Gecad Net, companie specializata in furnizarea de solutii software si de securitate IT, a lansat un nou serviciu de auditare a aplicatiilor web si site-urilor de companie, menit sa identifice brese de securitate in acestea si sa ofere recomandari pentru remedierea vulnerabilitatilor.
“Serviciul se adreseaza agentiilor de dezvoltare web care au ca obiectiv sa furnizeze clientilor aplicatii certificate din perspectiva securitatii IT, magazinelor online dar si altor companii care doresc sa verifice daca website-urile sau aplicatiile web proprii sunt vulnerabile la atacuri informatice. Toate companiile care lucreaza cu date confidentiale si au prezenta online ar trebui sa treaca printr-un astfel de audit”, a aratat Alexandru Molodoi, CTO la Gecad Net.
Gecad Net estimeaza ca pana la sfarsitul acestui an va audita deja peste 100 de site-uri si aplicatii web.
Durata unui audit este variabila, ca si costul acestuia, cele doua elemente fiind determinate de complexitatea site-ului sau a aplicatiilor web analizate dar si de numarul de servere care le gazduiesc si numarul de puncte de acces in aplicatie sau site. “Spre exemplu, un site poate avea o zona de acces pentru administrare, alta pentru clienti si alta pentru partenerii de afaceri. Fiecare astfel de zona trebuie analizata separat”, a mai adaugat Alexandru Molodoi.
Serviciul furnizat de Gecad Net porneste de la analizarea situatiei existente la client, include scanarea aplicatiilor web cu tehnologii IBM de ultima ora, analizarea datelor colectate de catre echipa de specialisti in securitate IT a companiei si elaborarea, in finalul proiectului, a unui raport de audit. Raportul este structurat in functie de audienta – management, responsabili cu securitatea IT, dezvoltatorii aplicatiei – si poate ajunge la cateva sute de pagini. Raportul contine categoriile de vulnerabilitati descoperite, amenintarile la care website-ul sau aplicatia web auditate sunt expuse si recomandari pentru remedierea vulnerabilitatilor.
Cele mai frecvente amenintari la care sunt expuse site-urile web sunt XSS (cross-site scripting) si injectii de query-uri SQL. Prin XSS atacatorii introduc cod malitios in site-ul vulnerabil iar executarea acestuia la vizitatori, in procesul de navigare pe pagini, faciliteaza furtul de date de confidentiale, in acelasi timp punand in discutie credibilitatea site-ului vulnerabil si periclitand imaginea acestuia. Prin injectii cu cod SQL se pot obtine informatii din bazele de date ale aplicatiei sau website-ului vulnerabil sau chiar se pot modifica sau sterge cu totul datele sau obtine controlul asupra aplicatiei, de exemplu prin crearea unui utilizator si acordarea de drepturi de administrare pe aplicatia vulnerabila.
“Dintre toate site-urile romanesti pe care le-am studiat in ultimul an, cu ocazia auditarii sistemelor informatice ale companiilor ce le detin, mai mult de 80 la suta aveau cel putin o vulnerabilitate importanta. Piata online incepe sa se maturizeze si tot mai multe fime realizeaza ca nu pot supravietui in acest mediu decat daca furnizeaza servicii web de calitate si, mai ales, sigure”, a precizat Alexandru Molodoi.
Procesul de auditare poate dura 1-2 saptamani si trebuie repetat macar o data pe an sau odata cu fiecare release major de website sau aplicatie. “Infractorii informatici descopera zilnic noi amenintari care sa exploateze vulnerabilitati ale aplicatiilor web. Mai mult decat atat, tehnologiile de dezvoltare web evolueaza, alte vulnerabilitati apar dar si site-urile se afla intr-o continua evolutie. Un audit periodic e asemanator reviziei unui avion de pasageri. Daca nu ai un plan bine stabilit de auditare la intervale periodice sau atunci cand apar evenimente speciale, nu poti sa previi evenimentele neplacute”, conchide Alexandru Molodoi.
Sursa: GeCad ( www.gecad.ro )