Тестирование информационных систем
Содержание
Введение
. Сведения об организации СООО «Гейм
Стрим»
. Техническое обеспечение
. Программное обеспечение
. Техника безопасности
. Структура и работа предприятия
СООО «Гейм Стрим»
. Индивидуальное задание
Заключение
Введение
С 23.07.12 по 09.09.12 мною была пройдена
практика на предприятии СООО «ГеймСтрим» по адресу: Республика Беларусь, г.
Минск, ул. Либаво-Роменская, д. 23 в должности хак-мастер. Была освоена работа
по тестированию информационных систем на степень защищенности и безопасности от
разного рода информационных атак.
. Сведения об организации СООО «Гейм
Стрим»
информационная система безопасность
защищенность
СООО «Гейм Стрим» образовано в 2005 году с целью
разработки программного обеспечения интеллектуальных систем и визуализации
данных.
Компанией создано много ярких и уникальных
компьютерных игр, в частности - «Операция Багратион» (стратегия в реальном
времени, посвященная освобождению Беларуси от войск немецко-фашистских
захватчиков, которая заняла первое место в номинации «Лучшая стратегическая
игра» на Конференции Разработчиков Игр в Москве в 2008г.).
В 2009 году компания выпустила компьютерную игру
ORDER OF WAR, которая была издана крупнейшей японской компанией SquareEnix и
названа "Лучшей стратегической игрой КРИ 2009".
В данный момент студия продолжает работу над
MMO-проектом WORLD OF TANKS (игрой, которая собрала фактически все основные
призы на самых значимых тематических выставках последних трех лет и установила
мировой рекорд по одновременному количеству он-лайн игроков, что официально
подтверждено Книгой рекордов Гиннесса).
Также компания занимается разработкой масштабных
технологий в области интернет и рекламы. Компания работает с крупнейшими
предприятиями силиконовой долины Калифорнии, в т.ч. Yahoo!.
Компания находится по адресу: 220028, Республика
Беларусь, г. Минск, ул. Либаво-Роменская, д. 23.
. Техническое обеспечение
Основной упор компании «Гейм Стрим» направлен на
сетевое оборудование. Для функционирования и обслуживания на серверах
нескольких сотен тысяч игроков в режиме он-лайн, появилась необходимость в
использовании высокотехнологичного сетевого оборудования от лидеров в данной
области, которым без сомнения является американская транснациональная компания CISCO.
Сетевое оборудование компании CISCO
используемое на предприятии: маршрутизаторы, устройства сетевой безопасности
(межсетевые экраны, VPN, IDS и др.), Wi-Fi точки доступа, платформы оптической
коммутации, DSL-оборудование, кабельные модемы, универсальные шлюзы и шлюзы
удалённого доступа, коммутаторы сетей хранения данных (SAN,
StorageAreaNetwork).
Также, для обеспечения огромного количества
серверных расчетов необходимы большие вычислительные мощности. Компания
использует последние высокотехнологичные разработки передовых компаний, таких
как IntelCorporation,
NVIDIACorporation, CISCO,
AdvancedMicroDevices (AMD)
и другие.
Комплектация отдельной вычислительной единицы на
предприятии зависит от выполняемых задач. Таким образом, для 3D-моделирования
необходимо наличие более мощного графического ускорителя, для веб-дизайна,
разработки художественного оформления необходим монитор большого разрешения с
матрицей, наиболее точно передающей цветовое пространствоRGB
и т.д.
. Программное обеспечение
Так как структура предприятия охватывает
практически все области информационных технологий, то соответственно
используется большой спектр программного обеспечения для выполнения
всевозможных задач. Набор программного обеспечения для отдельной вычислительной
единицы, как и в случае технического обеспечения, зависит от характера
выполняемых задач на конкретной ЭВМ.
Нахождение именно на должности хак-мастера
позволило работать со следующим набором программного обеспечения: операционные
системы под управлениемWindows
7 и Linux (CentOS, Debian), Python 3.3.0 (игровой клиент имеет составляющие,
написанные на языке Python),
браузер Firefoxс
набором расширений для анализа веб-страниц, Macromedia® Flash MX (для анализа
интерфейсных элементов игрового клиента), HTTP Analyzer (для анализа трафика с
веб-ресурсом проекта), Wireshark(для анализа трафика игрового клиента), сам
игровой клиент WorldOfTanks.
. Техника безопасности
При работе, мною были изучены следующие
инструкции по технике безопасности.
) Не трогать руками провода, электрические вилки
и розетки работающего компьютера.
)Запрещается работать на компьютере мокрыми
руками или в сырой одежде.
)Нельзя работать на компьютере, который имеет
нарушение целостности корпуса или изоляции с неисправной идентификацией
включения питания.
)При появлении запаха гари или необычных звуков,
немедленно выключить компьютер.
)При появлении в процессе работы, каких либо
неотложных дел нельзя оставлять компьютер без присмотра. Необходимо выключить
компьютер ,если срок отсутствия превышает 20 мин .
) Нельзя что-либо класть на компьютер т.к. уменьшается
теплоотдача металлических элементов.
Требования безопасности перед работой на
компьютере.
) Осмотреть и привести в порядок рабочее место.
)Отрегулировать освещение на рабочем месте,
убедится в отсутствие потока встречного света.
)Проверить в правильности подключения
электрооборудования в сети.
)Протереть салфеткой поверхность экрана и
защитного фильтра.
) Проверить правильность установки стола и
клавиатуры.
Последовательность включения
компьютера
)Включить блок питания.
)Включить периферийные устройства.
)Включить системный блок.
Требования безопасности во время
работы.
) Продолжительность работы перед экраном не
должна превышать 1 часа.
) В течении всего рабочего времени стол
содержать в порядке.
) Открыть все вентиляционные устройства.
)Выполнять санитарные нормы: соблюдать режим
работы и отдыха.
) Соблюдать правила эксплуатации и
вычислительной техники в соответствии с инструкциями.
)Соблюдать расстояние до экрана в пределах
70-80см.
) Соблюдать установленный временем режим работы.
Выполнять упражнения для рук, глаз и т.д.
) Во время работы запрещается одновременно
касаться экрана и клавиатуры.
) Запрещается касаться задней панели системного
блока при включённом питании.
) Запрещается попадание воды на системный блок,
рабочую поверхность и другие устройства.
) Запрещается производить самостоятельное
вскрытие и ремонт оборудования.
Требования безопасности в аварийных
ситуациях
. Во всех случаях обрывов проводов питания,
неисправности заземления необходимо выключить компьютер.
. В случае появления рези в глазах, резком
ухудшении видимости, появлении боли в пальцах немедленно покинуть рабочее место
сообщить руководителю работ и обратится к врачу.
. При возгорании оборудования отключить питание
и принять меры тушения.
Требования безопасности после
окончания работы
. Произвести закрытие всех активных задач.
. Выключить питание системного блока.
. Выключить питание всех периферийных устройств.
. Отключить блок питания.
. Структура и работа предприятия
СООО «Гейм Стрим»
Компания Wargaming.net - один из ведущих
разработчиков компьютерных игр на мировом рынке. Одним из центров разработки
является студия СООО «Гейм Стрим» (Минск, Республика Беларусь). В Минском офисе
работает более 600 талантливых и амбициозных сотрудников (на март 2012 года).
СООО «Гейм Стрим» образовано в 2005 году с целью
разработки программного обеспечения интеллектуальных систем и визуализации
данных.
В компании работает более 600 специалистов:
программисты, гейм-дизайнеры, дизайнеры уровней, специалисты по звуку,
копирайтеры, 3D и 2D художники. Высокий уровень профессионализма специалистов
отдела мультимедийного контента позволяет компании создавать качественную
трехмерную и двухмерную цифровую графику для своих проектов и под заказ.
Дважды подряд Компания удостоена звания Лучшая
компания-разработчик в 2009 и 2010 на ведущей отраслевой Конференции
Разработчиков Игр (г. Москва):
Лучшая стратегическая игра КРИ-2008 - Операция
«Багратион»
Приз от прессы КРИ-2009
Лучшая клиентская онлайн-игра КРИ-2010 -
WorldofTanks
Лучшая игра
КРИ
2011 - World of Tanks
Приз зрительских симпатий КРИ 2011 -
WorldofTanks
Приз от индустрии КРИ
2011
На Electronic
Entertainment Expo (E3 - Los Angeles Convention center):
Награда
Best MMO 2011 (GameOgre)
Награда
Best Booth (Massively)
Награда
Best Booth (TenTonHammer)
Награда
Game that needed an award (GamePro)
Награда
Hidden Gem (GamePro)
Награда
Rising Star (MMORPG.com)
Премия Рунета (Народное голосование)
2011
Активно генерируя новые идеи, ставя амбициозные
цели, компания растет и запускает в разработку всё новые проекты.
Общую структуру организации можно описать
следующим образом:
отдел управления
(директор, заместители директора, аналитики бизнес-процессов, руководители
игровых проектов, менеджеры по развитию бизнеса, бизнес-ассистенты, ассистенты
руководителей, офис-менеджеры);
отдел PR, Рекламы и Маркетинга (ивент-менеджеры,
копирайтеры, MarketingProjectManagers,
PR-менеджеры,
менеджеры по рекламе, менеджеры по email-маркетингу);
отдел по работе с пользователями(гейм-мастера,
специалисты в службе технической поддержки пользователей, редактор/корректор);
отдел по разработке (программисты
различных языков программирования, руководители команд программистов, Web-разработчики,
программисты графики, разработчики мобильных приложений, аналитики разработки
продуктов);
отдел по тестированию и обеспечению
качества (специалисты по тестированию, гейм-тестеры,
хак-мастеры, системные администраторы);
отдел по игровому дизайну и
мультимедиа-проектированию(проектировщики интерфейсов,
веб-дизайнеры, дизайнеры игровых интерефейсов, 2D
и 3D-художники,
специалисты по фирменному стилю, художники по спецэффектам, видеодизайнеры,
видеообзорщики, аудио-менеджеры);
отдел кадров;
HR менеджмент
(специалисты по внутренним коммуникациям, HR BrandManagers);
Также, в организации присутствует обслуживающий
персонал.
Что особенно хотелось бы отметить, так это то,
что коллектив организации довольно дружный и общительный. Кроме того,
руководители организации заботятся о своих подчиненных и предоставляют
некоторый спектр услуг совершенно бесплатно, таких как питание в столовой,
обучение иностранным языкам, наличие бассейна и спортзала, профессиональное
обучение за границей.
. Индивидуальное задание
Просторы интернета пестрят предложениями о взломах
«вкусных» игровых аккаунтов на заказ. Особенно подвержены нападению известные
игры с многомиллионными он-лайнами по всему миру. И проекты компании «Гейм
Стрим» не исключение. Компания нанимает хак-мастеров для предотвращения самой
возможности взлома и полного анализа уязвимостей, так как заинтересована в
защите игровой аудитории и своих продуктов.
Нахождение в должности хак-мастера требует
следующих навыков и умение выполнять следующие задачи:
Требования:
• опыт разработки web-решений (Python, PHP, apache,
nginx, mysql)
• опыт использования и администрирования Linux
(CentOS, Debian)
• опыт технических тестов на уязвимости.
• широкий кругозор в области безопасности ПО
• опыт работы в разработке антивирусного ПО или
специалистом по безопасности
• опыт аудита уровня безопасности веб приложений
• опыт анализа и оценки рисков ИБ
Содержание работы:
• анализ кода игрового клиента, web-сервисов на
предмет уязвимости и взломов
• реагирование на попытки взломов, оперативное
решение и предотвращение
• анализ взломов и исследование принципов работы
актуальных ботов для вскрытия
• аудит LDAP и сети VPN
• аудит использования административных консолей
на кластерах
• аудит дата-центров
Выполнение индивидуального задания было решено
начать с анализа Web-интерфейса
на наличие распространенных уязвимостей, таких как PHP-инклудинг,
SQL-инъекций, CSRF-атак,
XSS-атак.
Краткий обзор и описание уязвимостей
web-интерфейсов.
Остановимся подробнее на каждой из этих
уязвимостей и кратко опишем их действие и опасность удачного выполнения.
1) PHP-инъекция
(PHP-инклудинг, англ. PHP injection), include-баг - один из способов взлома
веб-сайтов, работающих на PHP. Он заключается в том, чтобы выполнить нужный код
на серверной стороне сайта. Уязвимыми функциями
являются
eval(), preg_replace() (с
модификатором
«e»), require_once(), include_once(), include(), require(),
create_function().
Она возникает, когда по невнимательности,
незнанию, либо по какой-либо другой, известной только ему одному причине,
программист позволяет использовать данные, переданные сценарию в виде
параметров без дополнительной проверки в качестве параметра вышеперечисленных
функций.
Пример:
<?
...
$module =
$_GET['module'];$module.'.php';
...
?>
Этот скрипт уязвим, так как к содержимому
переменной $module просто прибавляется «.php» и по полученному пути
подключается файл.
Взломщик может на своём сайте создать файл,
содержащий PHP-код (#"577998.files/image001.gif">
С помощью этой уязвимости, злоумышленник может:
§ Украсть сессию авторизованного на портале
пользователя из файлов cookie;
§ Выполнить в браузере пользователя произвольный java-срипт
(всплывающая форма авторизации, ворующая пароли, перенаправление на фишинговый,
поддельный сайт и т.д.);
§ Воспользоваться в будущем для реализации CSRFатак.
Исправление уязвимости: фильтрация входных
данных у уязвимого параметра at_search.
Также, были найдены похожие XSS-уязвимости
почти во всех поисковых формах этого портала. Позже, все найденные уязвимости
были исправлены веб-программистами.
2) CSRF
Данный вид атак лучше всего искать в
веб-интерфейсе при реализации каких-либо функций и действий на портале.
Желательно при этом находится уже авторизованным пользователем на портале, так
как именно в этом случае становится доступен функционал, имеющий большое
значение.
Как оказалось, на портале совсем отсутствовала
защита от CSRFатак, и
злоумышленник, мог пользоваться некоторыми функциями любого авторизованного
пользователя от его имени, который попадал на специальную сформированную
злоумышленником страницу.
Например, с помощью GET-запроса
#"577998.files/image002.gif">
Сама ссылка на страницу с информацией об оплате
имела вид:
Как можно заметить, ссылка содержит параметр «payment»,
который совпадает с уникальным номером транзакции. Как оказалось, при изменении
ссылки, принимая значения параметра от 0 до 29512195, можно было просматривать абсолютно
все платежки этого агрегатора на текущий момент.
Мною был написан автоматизированный скрипт,
который проходил все значения этого параметра, и записывал в текстовый файл все
значения реквизитов (то есть e-mailпользователей)
и количество внесенных денежных средств. При этом, необходимо было обращать
внимание только на страницы с полем «Продавец» и его значением «WorldOfTanks»,
так как агрегатор платежей обслуживал и другие проекты, которые нам не
интересны. Собранная мною база e-mailпользователей
(они же логины при авторизации) насчитывала порядка 570 000 записей
платежеспособных игроков проекта, что является серьезной утечкой
конфиденциальных данных пользователей.
Имея на руках собранную базу логинов от аккаунтов
игроков, мною был проведен эксперимент, по попытке подбора паролей. Был написан
автоматизированный скрипт, который проверял каждый логин из базы на десять
самых распространенных паролей:
123456
qwerty
qwertyuiop
qazwsx
zaqxsw
qazwsxedc
gfhjkm
ghbdtn
Как показали результаты эксперимента, грубому
перебору по десятке перечисленных паролей поддались ~20% всех логинов.
Собранная статистика и результаты эксперимента
были переданы в отдел разработки программистам, которые заблокировали
возможность многократного неверного ввода пароля и/или логина на портале
проекта. Сама возможность сбора базы через сайт-агрегатор платежей была тоже
исправлена, путем добавления в адрес страницы параметра «hash»,
который генерировался для каждого платежа отдельно и был доступен только
пользователю, проводящему платеж: https://secure.xsolla.com/?payment=29512195&hash=ac53b097df...
Заключение
В ходе выполнения индивидуального задания на
должности хак-мастера в СООО «Гейм Стрим» я научился:
§ Проводить технические тесты на уязвимости
веб-интерфейса;
§ Проводить технические тесты на уязвимости
программного продукта;
§ Искать недокументированные возможности ПО или
веб-интерфейсов, приводящие к утечке данных или к появлению уязвимостей;
§ Реагирование на попытки взломов, искать
оперативное решение и предотвращение;
Прохождение мною практики на весьма необычной
должности показало мне, что не стоит пренебрегать безопасностью информационных
систем, необходимы постоянный аудит и тесты на безопасность. Требовать от
разработчика полной безопасности его результата деятельности не совсем
правильно, так как сторонний анализ наиболее эффективен, а разработчик может
сконцентрироваться на первоочередных задачах.