
Аудит безопасности для дистрибьюторской компании
Заказчик - крупнейшая в своей области дистрибьюторская компания, обладающая логистической и складской системой, отвечающей мировым стандартам и способной максимально приблизить товар к конечному потребителю. Региональная сеть компании охватывает всю территорию Российской Федерации и состоит из более 40 филиалов в составе нескольких региональных управлений.
У заказчика имелась программа, разработанная для заказа товаров закупщиками розничных магазинов, и установленная в десятках тысяч розничных точек. В какой-то момент появилась информация о том, что конкурирующие компании внедряются в программное обеспечение заказчика, и собирают конфиденциальную информацию о его ценовой политике. Таким образом, конкуренты получали возможность предлагать собственную продукцию дешевле, и наносить материальный ущерб заказчику в размере нескольких сотен тысяч рублей ежедневно.
Заказчик обратился в нашу компанию в 2009 году с целью выявить возможные варианты утечек и устранить возможность дальнейшего нанесения ущерба. До обращения к нам, ранее неоднократно проводился аудит информационной безопасности программы, и она считалась хорошо защищенной. Тем не менее, работы, проведённые компанией «Текмэн», позволили выявить новые слабые места и возможности взлома программы. Мы нашли еще 6 способов взлома.
Тестирование по принципу «чёрного ящика» (то есть без знания внутренних механизмов работы продукта) позволило выявить четыре уязвимости. Заказчик сильно удивился полученным результатам и попросил подтверждений. В виде доказательств, нами был реализован один из выявленных сценариев, и заказчику была предоставлена собранная из программы база данных с информацией о товарах и их стоимости. После получения доступа к исходному коду системы удалось выявить еще две уязвимости. Результатом нашей работы стала документация с подробным описанием всех выявленных проблем и способов их ликвидации.
Тестирование заняло 6 недель, еще 2 недели ушло на составление документации и 2 недели на создание технического задания по устранению выявленных уязвимостей.
Проект был реализован командой в составе из 3 человек: руководитель проекта, специалист по информационной безопасности и технический писатель.