Top 10 vulnerabilit??i care pot ap?rea într-un sistem informatic

16

O companie are nevoie de o evaluare corect? a sistemelor IT pentru a avea o activitate continu? ?i eficient?. Tocmai de aceea, organiza?iile ar trebui s? apeleze la o solu?ie tot mai important? ?i necesar? în zilele noastre – auditul IT. Scopul acestuia este de a determina ce vulnerabilit??i are un sistem informatic, pentru a le putea elimina cu solu?iile potrivite.

 

„Din p?cate, un audit IT are loc foarte rar în România, mai ales în sectorul aplica?iilor online. De asemenea, exist? numeroase cazuri în care un cump?r?tor al unui business online nu ?tie de fapt ce a achizi?ionat, deoarece neglijeaz? aspectul efectu?rii unui astfel de audit. De aceea, eu recomand ca un maxim de 5% din bugetul de dezvoltare al unei companii s? fie alocat contract?rii unei noi firme care s? furnizeze acest tip de serviciu. Doar în acest mod te po?i asigura c? serviciile livrate sunt de calitate ?i c? nu vei avea de pl?tit chiar mai mult în viitor, dup? ce se încheie perioada de garan?ie”, spune Alexandru L?pu?an, CEO & Founding Partner Zitec, unul dintre principalii produc?tori locali de aplica?ii online.

 

Auditurile tehnice pentru aplica?ii online pot include elemente precum securitatea aplica?iei, arhitectura aplica?iei, calitatea codului, dar ?i elemente ce ?in de atragerea clien?ilor pe o platform? online: viteza de înc?rcare, impactul asupra motoarelor de c?utare sau uzabilitatea.

 

Speciali?tii Zitec au elaborat un top cu cele mai r?spândite 10 vulnerabilit??i ?i gre?eli frecvente g?site în auditurile realizate în ultimele 12 luni: 

 

1. Parole ?i alte date confiden?iale, stocate neprotejat. Anumite date confiden?iale din cadrul unei companii pot ajunge în situa?ia de a fi stocate f?r? nici un fel de protec?ie sau folosindu-se metode de protejare insuficiente.

 

2. Fi?iere publice. În unele situa?ii exist? fi?iere cu date importante ce pot fi accesate foarte u?or din internet, acestea fiind practic publice. Fie c? acest lucru se datoreaz? neglijen?ei sau unei sc?p?ri de securitate, aceste fi?iere pot con?ine date sensibile sau informa?ii utile ce pot fi obiectul unor atacuri informatice.

 

3. Versiuni de software dep??ite. În produc?ie sunt folosite versiuni de software dep??ite, cu probleme de securitate critice cunoscute ?i remediate în versiuni ulterioare. Problemele de securitate cunoscute pot fi exploatate foarte u?or chiar de persoane f?r? cuno?tinte tehnice avansate, existând chiar ?i aplica?ii specializate în exploatarea acestor bre?e de securitate.

 

4. Dezv?luirea unor detalii tehnice. Exist? anumite cazuri în care o aplica?ie dezv?luie detalii tehnice sensibile atunci când una din componentele ei nu func?ioneaz?, informa?ii confiden?iale fiind f?cute publice prin intermediul mesajelor de eroare afi?ate.

 

5. Lipsa valid?rii datelor pe partea de server. O alt? vulnerabilitate a unui sistem informatic, g?sit? cu regularitate de speciali?tii Zitec în audit-urile realizate, este aceea în care se descoper? c? validarea datelor introduse de un utilizator se face doar în interfa?a afi?at? de browser, nu ?i la nivel de server. Acest lucru expune aplica?ia pentru mai multe tipuri de atacuri.

 

6. Conectarea la baza de date se face cu un utilizator care are permisiuni mult peste necesit??ile aplica?iei. Odat? compromise datele de acces, atacatorul poate câ?tiga u?or acces la toate bazele de date, unde pot exista ?i informa?ii ce apar?in de alte aplica?ii ale companiei.

 

7. Datele confiden?iale nu se transmit folosind un protocol securizat. Uneori se securizeaz? doar câteva pagini (login, register, checkout etc.) ?i nu tot site-ul, ceea ce face furtul de sesiune/identitate la fel de u?or ca pe un site neprotejat printr-un certificat de securitate.

 

8. Servicii care pot fi vectori de atac. Serverul de produc?ie are pornite servicii neutilizate, care, la rândul lor, au deschise port-uri. Aceste servicii sunt posibili vectori de atac (mai ales c?, fiind neutilizate, de obicei nu sunt actualizate la cele mai recente versiuni).

 

9. Fi?ierele de configurare ale aplica?iei sunt stocate în directoare publice. Riscul ca datele de configurare, incluzând uneori parole de acces sau alte date sensibile, s? fie accesate de personal neautorizat cre?te foarte mult în acest caz.

 

10. Vulnerabilit??i în fa?a unor atacuri de tip Denial of Service. Un exemplu ar fi stabilirea unei limite de memorie per conexiune de 10% (uneori considerabil mai mult) în memoria disponibil? a serverului. Astfel, 10 utilizatori concuren?i pot consuma întreaga memorie a serverului.

 

Faptul c? speciali?tii din spatele unei aplica?ii cunosc aceste probleme nu garanteaz? c? le vor lua mereu în seam? în cadrul solu?iilor produse de ei. De aceea, un audit de acest tip nu verific? neap?rat calitatea echipei de dezvoltatori, ci mai degrab? calitatea proceselor de dezvoltare folosite. De asemenea, acestea ajut? clientul (fie el ?i din cadrul aceleia?i companii) s? se asigure c? nu va fi el cel care va pl?ti în viitor pentru o eventual? lips? de calitate a produsului.

 

„Spre exemplu, noi realiz?m intern audituri periodice, al?turi de instructaje ale dezvoltatorilor, deoarece este mult mai u?or s? g?se?ti probleme într-un sistem decât s?-l construie?ti s? fie 100% sigur”, a ad?ugat L?pu?an.