Raporty audytów bezpieczeństwa

[pkleczko]

Cześć,

W tym miejscu publikujemy pierwszy z raportów audytu security, przeprowadzony przez firmę Securitum. Wybaczcie, że z małym poślizgiem ale wynikało to głównie z faktu, że kolejne wydania aplikacji mobilnych, które rozwiązywały część ze zgłoszonych w raporcie podatności wymagały przeprowadzenia przed ich wdrożeniem produkcyjnym ponownych retestów. Każdy taki cykl zajmuje 5-7 dni. Raport wymagał również wprowadzenia informacji wyjaśniających dla części podatności (jak chociażby dodanie informacji o tym, że aplikacja webowa została w całości przeniesiona do aplikacji mobilnych jako ich integralna część i nie jest dłużej dostępna pod pierwotną domeną safesafe.app). To również miało wpływ na opóźnienie premiery, ale zależało nam na tym, aby w raporcie pojawiły się wyjaśnienia podejmowanych w trakcie decyzji.

[TL;DR]

Raport dotyczył: • Testów penetracyjnych aplikacji ProteGO Safe w wersji webowej oraz mobilnej • Testów bezpieczeństwa API mobilnego • Analizy kodu źródłowego aplikacji webowej • Testów penetracyjnych elementów infrastruktury

Prace były wykonywane w dniach: • 08.05.2020 – 12.05.2020 • 15.06.2020 – 21.06.2020 • 07.07.2020 – 09.07.2020 • 16.07.2020 – 17.07.2020

W kolejnych dniach do katalogu audits w tym projekcie dodamy kolejne raporty z audytów, jak tylko otrzymamy ich finalne wersje. O publikacji powiadomimy Was w tym wątku.

[jasisz]

Może dla porządku dorzucić tam też DPIA?

[MateuszRomanow]

Na szybko linkuję: https://github.com/ProteGO-Safe/specs/issues/141#issuecomment-641529926 @pkleczko warto dodać jak mówi @jasisz

[pkleczko]

DPIA również wylądowało w folderze audits: https://github.com/ProteGO-Safe/specs/blob/master/audits/DPIA_ProteGO_Safe-PL.xlsx

[MateuszRomanow]

Artykuł Fundacji Ponoptykon podsumowujący kwestie security i privacy: https://panoptykon.org/czy-instalowac-protego-safe

[pkleczko]

W folderze audits oraz na stronie MC zamieszczone zostały:

• Raport audytu bezpieczeństwa wykonany przez Seqred
• Raport audytu prywatności wykonany przez kancelarię Barta Litwiński

[potiuk]

News z dziś: Być może część dotycząca prywatności ProteGO Safe już nie będzie potrzebna.

https://www.technologyreview.com/2020/09/02/1007921/apple-and-google-have-launched-coronavirus-exposure-notifications-without-an-app/

Już w US Apple i Google wdrożyły model w którym nie trzeba aplikacji - coś o co od dawna apelowałem, m. in. w https://blog.kurasinski.com/2020/05/jarek-potiuk-musimy-zaufac-technologii/

Naprawdę - EN zaczyna być coraz bliżej do bycia faktycznie dobrym rozwiązaniem.

[SeraMoon]

Swoje wstępne uwagi dotyczące raportów prywatności i bezpieczeństwa pozostawiłam tutaj: https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-690287426

BTW.

o co od dawna apelowałem, m. in. w https://blog.kurasinski.com/2020/05/jarek-potiuk-musimy-zaufac-technologii/

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT @potiuk tyle się dowiedziałam.

[olekstomek]

Czy jest jakiś zaplanowany harmonogram audytów per wersja aplikacji (zmian wersji na poziomie minor czy major)? Ostatni audyt dotyczy wersji 4.2.1 (aktualna to 4.4.0).

[bartosztomczak]

@olekstomek Kolejne audyty będziemy rekomendować przy istotnych zmianach architektury lub usług ją tworzących. Trwa również audyt w ramach przygotowań do interoperacyjności rozwiązań w Europie - organizuje go https://reviewfacility.eu/