Atitude Digital é o desenvolvedor italiano de treinamento virtual, oferecendo a plataforma inspiradora de hábitos: a ferramenta que ajuda a formar novas soft skills no uso de software corporativo. O projeto chave da Digital Attitude é o Microsoft Office 365 virtual trainer. Ele ensina aos clientes uma variedade de habilidades: por exemplo, salvar regularmente arquivos em uma pasta sincronizada com o OneDrive – em vez de salvar apenas na memória interna do computador. Como resultado, os clientes começam a usar todos os principais produtos da Microsoft com mais confiança e eficácia.
teste de penetração
O conceito inspirador de hábitos é baseado na teoria do nudge de Richard Thaler, o ganhador do Prêmio Nobel de Economia (Comportamental) de 2017. A própria Digital Attitude é a “parceira de ouro” da Microsoft, vencedora do Digital Transformation Champ Awards 2020. A clientela da empresa inclui produção de petróleo, bancos, seguros e saúde.
Cuidando da proteção
Tanto a Digital Attitude network quanto as operações são projetadas com alto nível de segurança em mente. De acordo com Denis Sumin, desenvolvedor full stack e especialista da Digital Attitude, “todo cliente tem apenas o ID. Não armazenamos e – mails, nomes ou endereços IP-tudo é quase anônimo. No entanto, nos preocupamos permanentemente que mesmo esses IDs não vazem para lugar nenhum”.
A plataforma inspiradora de hábitos também é protegida. Nenhum desenvolvedor tem acesso à versão de produção do habit-inspiring, portanto, uma implantação de produção independente é impossível: ela é implantada automaticamente por meio de uma conta específica da AWS. Todo commit é assinado digitalmente; a falsificação é, novamente, impossível. Cada solicitação pull é verificada por pelo menos dois desenvolvedores, portanto, a inserção de código prejudicial requer conluio de pelo menos três indivíduos.
“Temos tudo firmado lá dentro. Mas a área externa está além do nosso controle, então decidimos pelo teste de penetração para fortalecer a segurança da rede”, concluiu Denis Sumin.
O teste e o testador
O modelo Black Box pentest presume que os invasores não têm conhecimento da empresa e de seus sistemas – portanto, apenas ataques a recursos públicos, a partir dos endereços IP externos e URLs públicos, são imitados. O Pentest também examina servidores de E-mail, terminais e arquivos, bem como os outros serviços da web que revelaram um acesso na digitalização.
ITGLOBAL.COM com sede em São Petersburgo, a Rússia foi escolhida pela Digital Attitude como o pentest performer após uma análise minuciosa. Em particular, nenhum dos candidatos do Ocidente foi capaz de denotar qualquer cronograma para os preparativos do pentest e procedimento inicial. A princípio a Digital Attitude não considerou uma empresa russa, mas ITGLOBAL.COM apareceu para atender a todos os requisitos do desenvolvedor italiano. “Eu gostava de hackear há muitos anos, então alguns itens já eram muito familiares para mim. Além disso, ITGLOBAL.COM especialistas desde o início deixaram claro: como seria o teste, quais são os alvos dos ataques, quais ferramentas serão utilizadas. Agradeço uma abordagem tão meticulosa”, observou Denis Sumin.
Resultado: problema resolvido positivamente
O teste de penetração mostrou a vulnerabilidade de nível médio único na Digital Attitude, o Cross-Site Scripting. Imitando o ataque, ITGLOBAL.COM os testadores conseguiram inserir na página seu script que foi executado do lado do cliente. A vulnerabilidade foi imediatamente corrigida através da Política de segurança de conteúdo; a partir de agora os scripts no Digital Attitude são assinados com o certificado adicional. De acordo com Alexander Zubikov, ITGLOBAL.COM é Cabeça, ” mesmo as vulnerabilidades de média escala podem levar a grandes problemas. Um intruso pode obter a versão do cliente do hábito-inspiradora-e obter acesso ao computador de um cliente. Ou alterar o conteúdo original da atitude Digital, minando assim a confiança à empresa. Ou simplesmente roubar os cookies do cliente-com sequelas bem conhecidas”.
“Honestamente, não esperávamos nenhuma violação de segurança. So kudos to ITGLOBAL.COM por apontar corretamente nossa fraqueza, ainda que a única. Agradecemos a cooperação com o prestador de serviços russo. Tudo foi muito transparente e profissional; o nível do nosso parceiro é realmente muito avançado”, acrescentou Denis Sumin.
ITGLOBAL.COM é o Grupo Internacional de empresas, fornecedor de produtos e serviços de TI, fundado em 2008, quando obteve o status de 1st VMware service provider da Rússia. ITGLOBAL.COM especializada em gerenciamento dos cenários de TI dos clientes – além de sua própria infraestrutura em nuvem. Com sede em São Petersburgo, na Rússia, a marca está representada em Moscou, na Rússia; Minsk, na Bielorrússia; Amsterdã, na Holanda. Mais de 10 outros locais, incluindo Grã-Bretanha, Turquia, China, EUA e Indonésia, estão em andamento.
