Top 10 vulnerabilități care pot apărea într-un sistem informatic

O companie are nevoie de o evaluare corectă a sistemelor IT pentru a avea o activitate continuă și eficientă. Tocmai de aceea, organizațiile ar trebui să apeleze la o soluție tot mai importantă și necesară în zilele noastre – auditul IT. Scopul acestuia este de a determina ce vulnerabilități are un sistem informatic pentru a le putea elimina cu soluțiile potrivite.

„Din păcate, un audit IT are loc foarte rar în România, mai ales în sectorul aplicațiilor online. De asemenea, există numeroase cazuri în care un cumpărător al unui business online nu știe de fapt ce a achiziționat, deoarece neglijează aspectul efectuării unui astfel de audit. De aceea, eu recomand ca un maxim de 5% din bugetul de dezvoltare al unei companii să fie alocat contractării unei noi firme care să furnizeze acest tip de serviciu. Doar în acest mod te poți asigura că serviciile livrate sunt de calitate și că nu vei avea de plătit chiar mai mult în viitor, după ce se încheie perioada de garanție”, spune Alexandru Lăpușan, CEO & Founding Partner Zitec.

Auditurile tehnice pentru aplicații online pot include elemente precum securitatea aplicației, arhitectura aplicației, calitatea codului, dar și elemente ce țin de atragerea clienților pe o platformă online: viteza de încărcare, impactul asupra motoarelor de căutare sau uzabilitatea.

Specialiștii Zitec au elaborat un top cu cele mai răspândite 10 vulnerabilități și greșeli frecvente găsite în auditurile realizate în ultimele 12 luni:

1. Parole și alte date confidențiale, stocate neprotejat. Anumite date confidențiale din cadrul unei companii pot ajunge în situația de a fi stocate fără nici un fel de protecție sau folosindu-se metode de protejare insuficiente.

2. Fișiere publice. În unele situații există fișiere cu date importante ce pot fi accesate foarte ușor din internet, acestea fiind practic publice. Fie că acest lucru se datorează neglijenței sau unei scăpări de securitate, aceste fișiere pot conține date sensibile sau informații utile ce pot fi obiectul unor atacuri informatice.

3. Versiuni de software depășite. În producție sunt folosite versiuni de software depășite, cu probleme de securitate critice cunoscute și remediate în versiuni ulterioare. Problemele de securitate cunoscute pot fi exploatate foarte ușor chiar de persoane fără cunoștinte tehnice avansate, existând chiar și aplicații specializate în exploatarea acestor breșe de securitate.

4. Dezvăluirea unor detalii tehnice. Există anumite cazuri în care o aplicație dezvăluie detalii tehnice sensibile atunci când una dintre componentele ei nu funcționează, informații confidențiale fiind făcute publice prin intermediul mesajelor de eroare afișate.

5. Lipsa validării datelor pe partea de server. O altă vulnerabilitate a unui sistem informatic, găsită cu regularitate de specialiștii Zitec în auditurile realizate, este aceea în care se descoperă că validarea datelor introduse de un utilizator se face doar în interfața afișată de browser, nu și la nivel de server. Acest lucru expune aplicația pentru mai multe tipuri de atacuri.

6. Conectarea la baza de date se face cu un utilizator care are permisiuni mult peste necesitățile aplicației. Odată compromise datele de acces, atacatorul poate câștiga ușor acces la toate bazele de date, unde pot exista și informații ce aparțin de alte aplicații ale companiei.

7. Datele confidențiale nu se transmit folosind un protocol securizat. Uneori se securizează doar câteva pagini (login, register, checkout etc.) și nu tot site-ul, ceea ce face furtul de sesiune/identitate la fel de ușor ca pe un site neprotejat printr-un certificat de securitate.

8. Servicii care pot fi vectori de atac. Serverul de producție are pornite servicii neutilizate care, la rândul lor, au deschise port-uri. Aceste servicii sunt posibili vectori de atac (mai ales că, fiind neutilizate, de obicei nu sunt actualizate la cele mai recente versiuni).

9. Fișierele de configurare ale aplicației sunt stocate în directoare publice. Riscul ca datele de configurare, incluzând uneori parole de acces sau alte date sensibile, să fie accesate de personal neautorizat crește foarte mult în acest caz.

10. Vulnerabilități în fața unor atacuri de tip Denial of Service. Un exemplu ar fi stabilirea unei limite de memorie per conexiune de 10% (uneori considerabil mai mult) în memoria disponibilă a serverului. Astfel, 10 utilizatori concurenți pot consuma întreaga memorie a serverului.

Faptul că specialiștii din spatele unei aplicații cunosc aceste probleme nu garantează că le vor lua mereu în seamă în cadrul soluțiilor produse de ei. De aceea, un audit de acest tip nu verifică neapărat calitatea echipei de dezvoltatori, ci mai degrabă calitatea proceselor de dezvoltare folosite. De asemenea, acestea ajută clientul (fie el și din cadrul aceleiași companii) să se asigure că nu va fi el cel care va plăti în viitor pentru o eventuală lipsă de calitate a produsului.

„Spre exemplu, noi realizăm intern audituri periodice, alături de instructaje ale dezvoltatorilor, deoarece este mult mai ușor să găsești probleme într-un sistem decât să-l construiești să fie 100% sigur”, a adăugat Lăpușan.

 

SURSA: CW/Zitec

Etichete: