Cryptography and Network Security Assessment of QPR Software’s QPR Suite 2015.1
Khawaja, Aki (2015)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015120218853
https://urn.fi/URN:NBN:fi:amk-2015120218853
Tiivistelmä
Insinöörityönä tehtiin tietoturva-analyysi QPR Softwaren QPR Suite -ohjelmistopaketista. Ohjelmistopaketti on Suomessa laajalti valtion, kuntien ja isojen yritysten käytössä. Tämän tietoturva-analyysin tarkoitus oli käyttää musta laatikko -testausmetodologiaa tietoturvavirheiden löytämiseen QPR Suite 2015.1 -ohjelmistopaketista ja raportoida nämä löydökset yritykselle vastuullisen raportoinnin periaatteiden mukaisesti.
Tietoturva-analyysia varten rakennettiin virtualisoitu ympäristö käyttäen kuutta virtuaalikonetta ja testaus suoritettiin ohjelmistopaketin 2015.1.0-, ja 2015.1.1-evaluointi versioilla.
Analyysissä löytyi useita kriittisiä tietoturvavirheitä muun muassa palvelimien välisestä kommunikaatiosta sekä käytetyistä kryptografisista algoritmeista jotka identifioitiin ja raportoitiin yritykselle sekä muutamassa tapauksessa yrityksen yhteistyöhaluttomuuden vuoksi CERT/CC:lle, joka on organisaatio, jonka tehtäviin kuuluu tietoturvauhkien raportointi ja korjausten koordinaatio ohjelmistosta vastuussa olevan yrityksen kanssa.
Opinnäytetyön julkaisua on viivästytetty vuoden 2015 lopulle, jotta QPR Softwarella olisi aikaa julkaista päivityksiä raportoituihin tietoturvavirheisiin. Viivästyksen vuoksi opinnäytetyö sisältää täydet virhekuvaukset raportoiduista tietoturvavirheistä. Tietoturvaongelmia löytyi kaikista testatuista alueista, ja olisi suositeltavaa, että yritys teettää pikimmiten täyden tietoturva-analysiin riippumattoman kolmannen osapuolen toimesta ja korjaa havaitut ongelmat.
Tietoturva-analyysia varten rakennettiin virtualisoitu ympäristö käyttäen kuutta virtuaalikonetta ja testaus suoritettiin ohjelmistopaketin 2015.1.0-, ja 2015.1.1-evaluointi versioilla.
Analyysissä löytyi useita kriittisiä tietoturvavirheitä muun muassa palvelimien välisestä kommunikaatiosta sekä käytetyistä kryptografisista algoritmeista jotka identifioitiin ja raportoitiin yritykselle sekä muutamassa tapauksessa yrityksen yhteistyöhaluttomuuden vuoksi CERT/CC:lle, joka on organisaatio, jonka tehtäviin kuuluu tietoturvauhkien raportointi ja korjausten koordinaatio ohjelmistosta vastuussa olevan yrityksen kanssa.
Opinnäytetyön julkaisua on viivästytetty vuoden 2015 lopulle, jotta QPR Softwarella olisi aikaa julkaista päivityksiä raportoituihin tietoturvavirheisiin. Viivästyksen vuoksi opinnäytetyö sisältää täydet virhekuvaukset raportoiduista tietoturvavirheistä. Tietoturvaongelmia löytyi kaikista testatuista alueista, ja olisi suositeltavaa, että yritys teettää pikimmiten täyden tietoturva-analysiin riippumattoman kolmannen osapuolen toimesta ja korjaa havaitut ongelmat.