Penetračné testovanie desktopových aplikácií

Penetračné testovanie desktopových aplikácií

Prečo sa zamerať na bezpečnosť natívnych aplikácií

Desktopový klient je zvyčajne poslednou "míľou" podnikovej bezpečnosti. Beží s oprávneniami používateľa (v niektorých prípadoch aj administrátora), pracuje s citlivýmicertifikátmi, komunikuje s  backendom a jeho kompromitácia umožňuje:

  • eskaláciu lokálnych privilégií a získanie prístupu k doménovýmprihlasovacím údajom,
  • bočný pohyb v prostredí,
  • manipuláciu s obchodnými procesmi prostredníctvom používateľského rozhrania,
  • použitie dôveryhodného podpisu pri šírení škodlivého softvéru v dodávateľskomreťazci.


Hlavné ciele testu

  1. Detegovať zraniteľnosti v binárnomkóde a konfigurácii  – pretečenie bufferu, únos DLL, nekontrolované načítavanie knižníc, IPC chyby.
  2. Preskúmať mechanizmus aktualizácií – integritu balíkov, kontrolu podpisov, útoky na zníženie kvality (downgrade).
  3. Zhodnotiť úroveň bezpečnosti operačného systému a EDR – či dokáže blokovať techniky injekcie a‑nástroje po zneužití.
  4. Zmerať dopad na odolnosť organizácie  – schopnosť SOC odhaliť a zvládnuť incident, rýchlosť nápravy.

Fázy penetračného testu desktopovej aplikácie

Fáza testovania
01
Zber informácií
Zisťujeme základné informácie o aplikácii: spôsob distribúcie, použité knižnice a mechanizmus aktualizácií.
02
Analýza aplikácie
Skúmame vnútorné fungovanie aplikácie a sledujeme jej správanie po spustení. Cieľom je pochopiť jej štruktúru a logiku.
03
Hľadanie slabých miest
Testujeme rôzne vstupy a scenáre s cieľom identifikovať chyby, ktoré by mohli byť zneužité.
04
Overenie zraniteľností
Posudzujeme, či je možné identifikované chyby reálne zneužiť, napríklad na obídenie bezpečnostných obmedzení alebo získanie vyšších oprávnení.
05
Udržanie prístupu a ďalšie testy
Overujeme, či je možné v systéme zotrvať aj po reštarte a aké ďalšie kroky by mohol útočník podniknúť (napr. získanie prístupov iných používateľov).
06
Simulácia pohybu v sieti
Simulujeme laterálny pohyb útočníka v internej sieti po získaní prvotného prístupu.
07
Záverečná správa a odporúčania
Výstupom je detailná správa s technickým aj manažérskym zhrnutím, hodnotením závažnosti zistení a návrhom nápravných opatrení. Po ich implementácii test opakujeme.


Typické zraniteľnosti desktopových klientov

  • Nezabezpečené aktualizácie – aplikácia sťahuje aktualizácie bez šifrovania alebo overenia pôvodu. Útočník tak môže nasadiť upravený inštalačný balík so škodlivým obsahom.
  • Nechránené načítavanie knižníc – program načítava dôležité súbory z nesprávneho alebo nebezpečného miesta, čo môže umožniť spustenie škodlivého kódu.
  • Nebezpečná inštalácia – aplikácia nesprávne spracováva konfiguračné súbory, čo môže viesť k spusteniu kódu, ktorý tam vkladá útočník.
  • Slabá izolácia aplikačných častí – v aplikáciách postavených na webových technológiách (napr. Electron) nie sú jednotlivé časti správne oddelené, čo môže útočník využiť na preniknutie do systému.
  • Prístupové údaje v kóde – dôležité prihlasovacie údaje alebo kľúče sú v aplikácii pevne zapojené a útočník ich môže ľahko nájsť a zneužiť.


Regulácia a kontext s DORA

  • Podľa článku 25 DORA spadá penetračné testovanie desktopových aplikácií pod povinné základné testovanie systémov podporujúcich kritické alebo dôležité obchodné funkcie.
  • Frekvencia: aspoň 1× ročne pre regulované subjekty alebo pred každým nasadením novej hlavnej verzie.
  • Výstupom musia byť zdokumentované zraniteľnosti, plán nápravy a overenie odstránenia; výsledky z kritickýchaplikácií môžu podliehať dohľadovému preskúmaniu.


Požiadavky na testovací tím

  • Odbornosť v reverznom inžinierstve – vnútornosti Windows, štruktúra PE, chyby v pamäti.
  • Certifikácie – napr. OSCP, CEH, CRTP alebo eCPPTv2 potvrdzujúce prax v zneužívaní klientskych aplikácií.
  • Nezávislosť – interný tím musí byť organizačne oddelený od vývoja; externý tím musí spĺňať kritériá poistenia zodpovednosti a dôvernosti.

Prínosy pre organizáciu

Zníženie rizika supply chain útokov

Proaktívne overovanie aktualizačných mechanizmov minimalizuje riziko kompromitácie ešte pred tým, ako sa zraniteľnosť dostane do produkcie.

Silnejšia ochrana endpointov

Optimalizácia konfigurácie EDR zvyšuje schopnosť detegovať reálne techniky, taktiky a postupy útočníkov (TTPs), nie len generické hrozby.

Vyššia úroveň secure codingu

Vývojový tím získava konkrétne PoC ukážky zraniteľností a praktické vzory nápravných opatrení, ktoré zlepšujú kvalitu kódu už v ďalších iteráciách.

Regulačná istota a dôveryhodnosť

Pre banky a poisťovne predstavuje jasný dôkaz uplatňovania princípu „security by design“ voči dohľadovým orgánom a posilňuje dôveru partnerov aj klientov.


Prečo spolupracovať s BDO?

BDO poskytuje služby v súlade so špecifickými požiadavkami európskych regulátorov (napr. ECB, EBA, ESMA) a štandardmi ako DORA, NIS2 či ISO/IEC 27001. Naša metodika kombinuje statické a dynamické testovanie aplikácií, znalosť regulácií a hlboké technické know-how – vrátane prístupu, ktorý reflektuje špecifické aplikačné riziká a sektorové hrozby v európskom finančnom prostredí.

  • Znalosť regulačného rámca
    Rozumieme požiadavkám DORA, NIS 2 a vieme prispôsobiť testy tak, aby sa výstupy dali využiť pri dohľade a audite. Pomáhame nastaviť testovaciu stratégiu a zabezpečujeme jej súlad s inými typmi testovania (TLPT, penetračné testy).
  • Nezávislosť a dôveryhodnosť
    Ako nezávislá konzultačná firma ponúkame objektívne a dôveryhodné výsledky. Naša práca je signálom kvality pre regulátorov a interné vedenie klienta.


Technická odbornosť a skúsenosti
Náš tím má hlboké skúsenosti s reverzným inžinierstvom, analýzou binárneho kódu a testovaním klientskych aplikácií v prostredí Windows. Používame špičkové nástroje ako IDA, Ghidra, Burp Suite, WinDbg alebo fuzzery (napr. AFL++, libFuzzer). Naši špecialisti sú certifikovaní organizáciami OSCP, CRTP, ECPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a ďalšími. Má skúsenosti s testovaním veľkých bánk, poisťovní a poskytovateľov IKT a má skúsenosti s testovaním aplikácií pre banky, poisťovne a poskytovateľov služieb e-governmentu.

CISO CISSP OSCP eCPPT PenTest RedTeam CEH CREST BURPSuite

Hlavné kontaktné osoby

Martin Hořický
Martin Hořický
Manager • CISO
i View bio
Marek Kovalčík
Partner
i View bio