Đánh giá mã nguồn tại công ty viễn thông

Tóm tắt

Khách hàng của chúng tôi thuộc lĩnh vực di động, đang sử dụng hàng trăm phần mềm lớn nhỏ khác nhau để khai thác và kinh doanh. Số lượng quá nhiều cộng với việc hệ thống của khách hàng từ khi hoạt động chưa được rà soát và áp dụng các tiêu chuẩn về lập trình, dẫn đến tình trạng khó kiểm soát độ an toàn bảo mật hệ thống. Dịch vụ Đánh giá mã nguồn ứng dụng của VSEC đã phát hiện các lỗ hổng và lỗi thiết kế trong các mã nguồn, giúp hệ thống đảm bảo tính tự vệ cho ứng dụng trong môi trường hoạt động.

Về khách hàng

Khách hàng là một những nhà cung cấp dịch vụ viễn thông hàng đầu Việt Nam với hơn 20 năm hoạt động. Hiện tại, khách hàng đang kinh doanh các lĩnh vực: dịch vụ viễn thông truyền thống, VAS, Data, Internet & truyền hình IPTV/cable TV, sản phẩm khách hàng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối và đầu tư nước ngoài. Trong 6 năm liền khách hàng liên tục được người sử dụng bình chọn là thương hiệu được yêu thích. Tổng doanh thu năm 2017 của khách hàng đạt xấp xỉ 2 tỷ đô la Mỹ.
Đây là một đối tác lớn và lâu năm của VSEC, thường xuyên sử dụng các dịch vụ VSEC cung cấp để kiểm tra độ an toàn cho hệ thống của mình.

Thách thức

Hệ thống ứng dụng của khách hàng được tạo ra và đưa vào sử dụng từ rất lâu nên mã nguồn có khá nhiều nhược điểm, không đủ an toàn trong thời điểm hiện tại. Những nhược điểm là những lỗi mà các nhà phát triển phần mềm ít được đào tạo và rất dễ mắc phải. Điều này dẫn đến sự bảo mật không toàn diện và nỗi lo sợ bị tấn công trong tương lai. Vấn đề này càng trở nên cấp thiết trong những năm gần đây bởi tính kết nối ngày càng tăng, các công nghệ và giao thức mới liên tục được bổ sung với tốc độ chóng mặt. Nếu không sửa chữa, khắc phục các nhược điểm kịp thời thì khả năng các ứng dụng bị tấn công và khai thác rất cao.

Thêm vào đó, khách hàng không có nhiều thời gian cho việc bảo mật, đội ngũ kỹ thuật kiêm nhiệm nhiều công việc khác nhau, không đủ nguồn lực và kỹ năng để thực hiện việc đánh giá hay kiểm thử xâm nhập an toàn thông tin.

Giải pháp

Không muốn mạo hiểm với những rủi ro thường trực có thể xảy ra, khách hàng quyết định sử dụng dịch vụ đánh giá mã nguồn của VSEC để kiểm tra tính tự vệ và quy chuẩn các mã nguồn trong hệ thống của mình.

Việc cần thiết đầu tiên chuẩn bị cho việc đánh giá mã nguồn là nghiên cứu kỹ lưỡng ứng dụng và lập hồ sơ toàn diện về các nguy cơ. Tiếp theo, các kỹ sư của VSEC nghiên cứu bố cục của mã nguồn để lập kế hoạch đánh giá mã nguồn cụ thể, sử dụng phương pháp kết hợp quét tự động và đánh giá thủ công để phát thiện các cách thức lập trình không an toàn, phát hiện các lỗ hổng như SQL injection, Cross site scripting, Back door, Sử dụng thuật toán mã hóa yếu và việc xử lý truy cập tài nguyên, dữ liệu một cách kém an toàn…

Sau khi phân tích, các kỹ sư kiểm chứng lỗi hiện hữu dựa trên phương diện của một kẻ tấn công, khai thác những lỗ hổng phát hiện trong mã nguồn. VSEC biết cách làm thế nào để khai thác các ứng dụng có nhược điểm bởi thế mạnh của VSEC là kiểm thử xâm nhập. Từ đó, chúng tôi kiểm tra tính bảo mật của mã nguồn trong 7 khía cạnh: xác thực dữ liệu đầu vào, xử lý lỗi, quản lý xác thực, quản lý quyền, quản lý phiên làm việc, ghi log và mã hóa.

Kết thúc quy trình đánh giá mã nguồn, các kỹ sư lập báo cáo trong đó đề xuất các giải pháp cụ thể áp dụng cho trường hợp của khách hàng.

Các thông tin cung cấp:

  • 8 hệ thống
  • 2359184 dòng mã
  • 126 chức năng rà soát.

Kết quả sau thực hiện:

  • 50 ngày thực thi
  • 57 lỗi được phát hiện bao gồm:
    • SQL Injection: 9
    • Use of a Broken or Risky Cryptographic Algorithm: 8
    • Reversible One-Way Hash: 14
    • Uncontrolled Recursion: 3
    • Cross-site Scripting: 18
    • Improper Output Neutralization for Logs: 1
    • Use of Hard-coded Password: 1
    • User-controlled data in path expression: 2
    • Improper Input Validation: 1

Lợi ích của dịch vụ

Triển khai nhanh gọn.
Phân tích thấu đáo và toàn diện, đảm bảo lưu trữ an toàn dữ liệu nhạy cảm.
Báo cáo chỉ rõ điểm mạnh – yếu, các phát hiện chi tiết cùng giải pháp phù hợp.
Vượt qua các hạn chế kiểm thử và tuân thủ các quy định tiêu chuẩn ngành.

Xem thêm các Case Study