Het team van LSE Leading Security Experts heeft de “Deutsche Post Security Cup” gewonnen die van 29 april tot 30 juni 2013 werd gehouden. De wedstrijd was bedoeld om de beveiliging van de uitgebreide reeks E-Post-producten te testen.
De twee penetratietesters Markus Vervier en Eric Sesterhenn van LSE Leading Security Experts waren twee maanden bezig geweest om het uitgebreid geharde systeem van E-Post aan te vallen. E-Post is de gedigitaliseerde vorm van alle communicatiediensten van Deutsche Post. Omdat dit systeem verschillende beveiligingslagen heeft, werd het al snel duidelijk dat gewone aanvalsmethoden weinig kans van slagen hadden. Deutsche Post had verschillende beveiligingslagen ingebouwd, zodat de twee computerwetenschappers nieuwe en gecombineerde aanvallen moesten ontwikkelen.
Nauwelijks een van de bekende bugs kon worden aangevallen met een overeenkomstige exploit. “We moesten op zoek naar nieuwe bugs,” zegt LSE-projectleider Markus Vervier, die de procedure samenvat. Daartoe maakten de beveiligingsexperts gebruik van “handmatige methoden” en zogenaamde “fuzzing frameworks”. Het team ontdekte kwetsbaarheden in de verwerking van PDF-bestanden, in bestandsformaat-parsers en zelfs in virusscanners.
Met een totaal van 34 bevindingen konden de LSE-testers het grootste aantal ontdekte kwetsbaarheden voorleggen aan de beoordelingscommissie. Noch zij, noch enig ander team is er echter in geslaagd om het E-Post-systeem binnen het vastgestelde kader duurzaam te compromitteren of zelfs over te nemen.
Sven Walther, Managing Director en CTO van LSE, geeft de Post dan ook uitstekende cijfers: “Deutsche Post AG heeft met E-Post een buitengewoon hoog veiligheidsniveau laten zien. Het kan aanspraak maken op een voortrekkersrol op het gebied van veiligheid op het internet en IT-beveiliging”.