Black Box Penetration Testing

Κατά τον έλεγχο τύπου black box δεν δίνεται καμία πληροφορία σχετικά με τον τρόπο λειτουργίας της υπό εξέταση εφαρμογής. Η προσέγγιση αυτή επιτρέπει την δημιουργία ρεαλιστικών σεναρίων επίθεσης με σκοπό την καλύτερη κατανόηση των κινδύνων. Κατά την διάρκεια ενός ελέγχου black box οι ερευνητές μας προσπαθούν να αντλήσουν πληροφορίες για τον τρόπο λειτουργίας της εφαρμογής και να εντοπίσουν ευάλωτα σημεία. Στην συνέχεια εντοπίζονται και επιβεβαιώνονται οι ευπάθειες και εν τέλει ταξινομούνται ανάλογα με την ευκολία και τον αντίκτυπο μιας πιθανής εκμετάλλευσης τους από κάποιον επιτιθέμενο.

 

Ανάλυση Πηγαίου Κώδικα

Όταν είναι διαθέσιμος ο πηγαίος κώδικας μιας εφαρμογής συνήθως προτιμάται η ανάλυση του (code review), αφού αποτελεί την αποτελεσματικότερη τεχνική εύρεσης ευπαθειών. Η ομάδα μας τον χωρίζει στα κύρια μέρη του και αναζητά ενδελεχώς σημεία που θα μπορούσε να εκμεταλλευτεί ένας επιτιθέμενος ώστε να βλάψει την εφαρμογή (και τους χρήστες της) ή την υποδομή που την φιλοξενεί.
Οι γλώσσες στις οποίες η ομάδα των ερευνητών μας έχει εμπειρία στην ανάλυση τους είναι:

Application : C/C++, Java, .NET, Python, Perl
Web application: PHP, ASP.NET, JS, Python, Perl

 

Έλεγχος ασφάλειας mobile εφαρμογών

Η αυξανόμενη χρήση των smartphone και tablet έχει μετατοπίσει την ανάπτυξη λογισμικού προς τις φορητές συσκευές. Όπως συμβαίνει όμως με κάθε νέα πλατφόρμα, έτσι και στις mobile εφαρμογές δεν υπάρχει η κατάλληλη εμπειρία για να αποφευχθούν από απλά μέχρι πολύπλοκα προβλήματα ασφάλειας. Ειδικά όταν πρόκειται για συσκευές με πολυάριθμες δυνατότητες συνδεσιμότητας (WiFi, GSM,CDMA, Bluetooth, NFC), τα ανοικτά μέτωπα πολλαπλασιάζονται. Η Project Zero αναλαμβάνει τον έλεγχο ασφάλειας των mobile εφαρμογών  που αναπτύσσονται ή χρησιμοποιούνται από τον οργανισμό σας σε πλατφόρμες Αndroid και iOS.

 

Ασφαλής Σχεδιασμός εφαρμογών

Η εγγενής ασφάλεια μιας εφαρμογής εξασφαλίζεται πιο αποτελεσματικά όταν λαμβάνεται υπόψιν σαν παράμετρος από τα πρώτα βήματα του σχεδιασμού της. Μια ασφαλής αρχιτεκτονική μειώνει σημαντικά τον χρόνο που απαιτείται για την μετάβαση σε στάδιο παραγωγής καθώς και το κόστος του εκάστοτε πρότζεκτ. Η ομάδα της Project Zero μπορεί να σας βοηθήσει να εντοπίσετε κινδύνους σε όλα τα στάδια της ανάπτυξης και να σχεδιάσετε μία ολοκληρωμένη πολιτική ασφαλείας για την εφαρμογή σας.