Il team di LSE Leading Security Experts ha vinto la Deutsche Post Security Cup tenutasi dal 29 aprile al 30 giugno 2013. La competizione è stata progettata per testare la sicurezza della gamma estesa di prodotti E-Post.
I due penetration tester Markus Vervier e Eric Sesterhenn di LSE Leading Security Experts hanno passato due mesi ad attaccare il sistema ampiamente indurito di E-Post. E-Post è la forma digitalizzata di tutti i servizi di comunicazione di Deutsche Post. Poiché questo sistema ha vari livelli di sicurezza, divenne presto evidente che i metodi di attacco comuni avevano poche possibilità di successo. Deutsche Post aveva incorporato vari livelli di sicurezza, così i due informatici hanno dovuto sviluppare nuovi attacchi combinati.
Solo uno dei bug conosciuti poteva essere attaccato con un exploit corrispondente. "Abbiamo dovuto cercare nuovi bug", dice il responsabile del progetto LSE Markus Vervier, riassumendo la procedura. Per fare questo, gli esperti di sicurezza hanno usato "metodi manuali" e i cosiddetti "fuzzing frameworks". Il team ha scoperto vulnerabilità nell'elaborazione dei file PDF, nei parser dei formati di file e persino negli scanner di virus.
Con un totale di 34 scoperte, i tester della LSE sono stati in grado di presentare il maggior numero di vulnerabilità scoperte alla commissione di revisione. Tuttavia, né loro né altri team sono riusciti a compromettere in modo duraturo o addirittura a impossessarsi del sistema E-Post all'interno del quadro stabilito.
Sven Walther, amministratore delegato e CTO di LSE dà quindi alla Posta ottimi voti: "Deutsche Post AG ha dimostrato un livello di sicurezza straordinariamente alto con E-Post. Può rivendicare un ruolo pionieristico in termini di sicurezza su Internet e sicurezza informatica". |ab