Khách hà ng cá»§a chúng tôi thuá»™c lÄ©nh vá»±c di động, Ä‘ang sá» dụng hà ng trăm phần má»m lá»›n nhá» khác nhau để khai thác và kinh doanh. Nhiá»u phần má»m thuê đối tác khác phát triển nên khó kiểm soát mức độ an toà n bảo máºt cá»§a ứng dụng. Dịch vụ kiểm thá» xâm nháºp VCHECK đã cho khách hà ng thấy trá»±c quan rá»§i ro nghiêm trá»ng khi má»™t ngưá»i dùng hợp lệ có thể chá»§ động lấy toà n bá»™ thông tin giao dịch cá»§a ngưá»i dùng khác như thế nà o.
Khách hà ng là má»™t nhà cung cấp dịch vụ viá»…n thông vá»›i hÆ¡n 20 năm hoạt động. Hiện tại, Khách hà ng là nhà cung cấp hà ng đầu Việt nam trong các lÄ©nh vá»±c: dịch vụ viá»…n thông truyá»n thống, VAS, sản phẩm khách hà ng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối và đầu tư nước ngoà i,…. Khách hà ng liên tục được ngưá»i sá» dụng bình chá»n là nhãn hiệu yêu thÃch nhất. Tổng doanh thu năm 2014 cá»§a Khách hà ng đạt gần 2 tá»· đô la Mỹ.
Äể há»— trợ các hoạt động quản lý, kinh doanh tốt hÆ¡n, khách hà ng đã thuê đối tác bên ngoà i phát triển thêm các phần má»m cho ná»™i bá»™ sá» dụng. Qua các phần má»m nà y, nhân viên trong công ty có thể đăng nháºp và o hệ thống, xá» lý các thông tin quan trá»ng vá» kế hoạch kinh doanh, ngân sách, doanh số má»™t cách dá»… dà ng.
Tuy nhiên đây lại là má»™t mối Ä‘e dá»a lá»›n cá»§a khách hà ng. Thá»±c tế có rất nhiá»u doanh nghiệp bị mất dữ liệu, thông tin ná»™i bá»™ từ chÃnh các nhân viên, ngưá»i dùng hoặc đối tác thương mại. Há» có kiến thức vá» thông tin cá»§a doanh nghiệp, biết được rằng doanh nghiệp có các phần má»m, trang web ná»™i bá»™,tháºm chà có cả quyá»n truy cáºp, đăng nháºp và o hệ thống. Từ đó biết được tất cả cÆ¡ cấu quản lý, doanh số, kế hoạch kinh doanh và rất nhiá»u thông tin máºt khác. Äây rõ rà ng là vấn để rất nghiêm trá»ng và khách hà ng cần lưu ý hà ng đầu.
Các nhân sá»± kỹ thuáºt kiêm nhiệm nhiá»u công việc khác nhau và khối lượng nhiá»u nên thông thưá»ng há» không đủ nguồn lá»±c và thá»i gian cÅ©ng như kỹ năng để thá»±c hiện việc đánh giá hay kiểm thá» xâm nháºp an toà n thông tin.
Trước đây, khách hà ng đã từng sá» dụng dịch vụ đánh giá từ bên ngoà i (Black Box) để đánh giá sá»± bảo máºt và an toà n thông tin cá»§a phần má»m Cổng thông tin bởi sá»± tấn công cá»§a các tác nhân bên ngoà i và o. Há» nháºn thấy dịch vụ tháºt sá»± có hiệu quả. Lần nà y, há» muốn kiểm soát, đánh giá độc láºp vá» an toà n thông tin phần má»m ná»™i bá»™ thuê đối tác bên ngoà i phát triển cÅ©ng như trước khi đưa phần má»m và o sá» dụng. Và VSEC cung cấp cho khách hà ng dịch vụ đáng giá từ bên trong (White box) cá»§a gói dịch vụ an toà n thông tin tổng thể VCHECK. Dịch vụ cho phép tìm ra các lá»— hổng bảo máºt từ bên trong ná»™i bá»™, cho phép nâng quyá»n ngưá»i dùng, và các lá»— hổng bảo máºt trong mã nguồn do láºp trình không an toà n.
Rất đơn giản, Khách hà ng cung cấp cho VSEC sÆ¡ đồ mạng, mã nguồn hệ thống, thông tin hoặc quyá»n truy cáºp thiết bị. Cán bá»™ kỹ thuáºt cá»§a VSEC sẽ rà soát mã nguồn cá»§a ứng dụng, tìm ra các lá»— hổng bảo máºt sau đó mô phá»ng lại lá»— hổng bằng việc giả láºp tấn công từ bên ngoà i. Vá»›i những thông tin được cung cấp thêm, các tà i khoản truy cáºp, cán bá»™ kỹ thuáºt Vsec sẽ cố gắng tìm ra các lá»— hổng nhằm nâng quyá»n ngưá»i dùng, lấy các dữ liệu không thuá»™c đặc quyá»n cá»§a tà i khoản được cung cấp. Công cụ chá»§ lá»±c là Checkmarx giúp kỹ sư tìm rà các lá»— hổng trong mã nguồn được cung cấp, sau đó mô phá»ng lại các lá»— hổng bằng việc tấn công từ bên ngoà i sá» dụng các công cụ Pentest, Blackbox.Chúng tôi chuyển giao toà n bá»™ cách thức thá»±c hiện cho Khách hà ng. Chúng tôi đưa ra đỠxuất khắc phục tạm thá»i vá»›i kỹ thuáºt sinh các tên táºp tin ngẫu nhiên và vá» lâu dà i thêm khả năng xác thá»±c ngưá»i dùng hợp lệ khi phần má»m nháºn được yêu cầu tải táºp tin.