Cryptography and Network Security Assessment of QPR Software’s QPR Suite 2015.1

Abstract

As a final year project, a security assessment was done for QPR Software’s Suite 2015.1 software package. QPR Suite is a widely deployed software package for process and metrics management, used in Finland by the government, educational establishments and large corporations.

The goal of this final year project was to find security vulnerabilities in QPR Suite by using black box testing methodologies to identify issues, and then report the findings to QPR Software in the spirit of responsible disclosure.

The security assessment was carried out in a virtualized environment, using six virtual machines and evaluation versions of QPR Software’s Suite 2015.1.0 and 2015.1.1 versions.

During the security assessment multiple security vulnerabilities were identified and reported to QPR Software. Due to QPR Software not always being co-operative a few were also reported to CERT/CC, which is an organization that specializes in security incident co-ordination and reporting.

The publication of this thesis has been delayed to the end of 2015 to allow QPR Software to patch the reported security vulnerabilities and thus the thesis contains full disclosure versions of the identified security vulnerabilities. Security vulnerabilities were identified in all tested areas, and it is highly recommended that QPR Software immediately orders a full security assessment by a reputable security vendor, and fixes any further issues that are identified.

Insinöörityönä tehtiin tietoturva-analyysi QPR Softwaren QPR Suite -ohjelmistopaketista. Ohjelmistopaketti on Suomessa laajalti valtion, kuntien ja isojen yritysten käytössä. Tämän tietoturva-analyysin tarkoitus oli käyttää musta laatikko -testausmetodologiaa tietoturvavirheiden löytämiseen QPR Suite 2015.1 -ohjelmistopaketista ja raportoida nämä löydökset yritykselle vastuullisen raportoinnin periaatteiden mukaisesti.

Tietoturva-analyysia varten rakennettiin virtualisoitu ympäristö käyttäen kuutta virtuaalikonetta ja testaus suoritettiin ohjelmistopaketin 2015.1.0-, ja 2015.1.1-evaluointi versioilla.

Analyysissä löytyi useita kriittisiä tietoturvavirheitä muun muassa palvelimien välisestä kommunikaatiosta sekä käytetyistä kryptografisista algoritmeista jotka identifioitiin ja raportoitiin yritykselle sekä muutamassa tapauksessa yrityksen yhteistyöhaluttomuuden vuoksi CERT/CC:lle, joka on organisaatio, jonka tehtäviin kuuluu tietoturvauhkien raportointi ja korjausten koordinaatio ohjelmistosta vastuussa olevan yrityksen kanssa.

Opinnäytetyön julkaisua on viivästytetty vuoden 2015 lopulle, jotta QPR Softwarella olisi aikaa julkaista päivityksiä raportoituihin tietoturvavirheisiin. Viivästyksen vuoksi opinnäytetyö sisältää täydet virhekuvaukset raportoiduista tietoturvavirheistä. Tietoturvaongelmia löytyi kaikista testatuista alueista, ja olisi suositeltavaa, että yritys teettää pikimmiten täyden tietoturva-analysiin riippumattoman kolmannen osapuolen toimesta ja korjaa havaitut ongelmat.