GECAD NET, companie specializată în furnizarea de soluţii software şi de securitate IT, anunţă lansarea unui nou serviciu de auditare a aplicaţiilor web şi site-urilor de companie, menit să identifice breşe de securitate în acestea şi să ofere recomandări pentru remedierea vulnerabilităţilor.
"Serviciul se adresează agenţiilor de dezvoltare web care au ca obiectiv să furnizeze clienţilor aplicaţii certificate din perspectiva securităţii IT, magazinelor online dar şi altor companii care doresc să verifice dacă website-urile sau aplicaţiile web proprii sunt vulnerabile la atacuri informatice. Toate companiile care lucrează cu date confidenţiale şi au prezenţă online ar trebui să treacă printr-un astfel de audit", explică Alexandru Molodoi, CTO la GECAD NET.
Durata unui audit este variabilă, ca şi costul acestuia, cele două elemente fiind determinate de complexitatea site-ului sau a aplicaţiilor web analizate dar şi de numărul de servere care le găzduiesc şi numărul de puncte de acces în aplicaţie sau site. "Spre exemplu, un site poate avea o zonă de acces pentru administrare, alta pentru clienţi şi alta pentru partenerii de afaceri. Fiecare astfel de zonă trebuie analizată separat", adaugă Alexandru Molodoi.
Serviciul furnizat de GECAD NET porneşte de la analizarea situaţiei existente la client, include scanarea aplicaţiilor web cu tehnologii IBM de ultima oră, analizarea datelor colectate de către echipa de specialişti în securitate IT a companiei şi elaborarea, în finalul proiectului, a unui raport de audit. Raportul este structurat în funcţie de audienţă - management, responsabili cu securitatea IT, dezvoltatorii aplicaţiei - şi poate ajunge la câteva sute de pagini. Raportul conţine categoriile de vulnerabilităţi descoperite, ameninţările la care website-ul sau aplicaţia web auditate sunt expuse şi recomandări pentru remedierea vulnerabilităţilor.
Cele mai frecvente ameninţări la care sunt expuse site-urile web sunt XSS (cross-site scripting) şi injecţii de query-uri SQL. Prin XSS atacatorii introduc cod maliţios în site-ul vulnerabil iar executarea acestuia la vizitatori, în procesul de navigare pe pagini, facilitează furtul de date de confidenţiale, în acelaşi timp punând în discuţie credibilitatea site-ului vulnerabil şi periclitând imaginea acestuia. Prin injecţii cu cod SQL se pot obţine informatii din bazele de date ale aplicaţiei sau website-ului vulnerabil sau chiar se pot modifica sau şterge cu totul datele sau obţine controlul asupra aplicaţiei, de exemplu prin crearea unui utilizator şi acordarea de drepturi de administrare pe aplicaţia vulnerabilă.
"Dintre toate site-urile româneşti pe care le-am studiat în ultimul an, cu ocazia auditării sistemelor informatice ale companiilor ce le deţin, mai mult de 80% aveau cel puţin o vulnerabilitate importantă. Piaţa online începe să se maturizeze şi tot mai multe fime realizează că nu pot supravieţui în acest mediu decât dacă furnizează servicii web de calitate şi, mai ales, sigure", precizează Alexandru Molodoi.
GECAD NET estimează ca până la sfârşitul acestui an să fi auditat deja peste 100 de site-uri şi aplicaţii web. Procesul de auditare poate dura 1-2 săptămâni şi trebuie repetat măcar o dată pe an sau odată cu fiecare release major de website sau aplicaţie. "Infractorii informatici descoperă zilnic noi ameninţări care să exploateze vulnerabilităţi ale aplicaţiilor web. Mai mult decât atât, tehnologiile de dezvoltare web evoluează, alte vulnerabilităţi apar dar şi site-urile se află într-o continuă evoluţie. Un audit periodic e asemănător reviziei unui avion de pasageri. Dacă nu ai un plan bine stabilit de auditare la intervale periodice sau atunci când apar evenimente speciale, nu poţi să previi evenimentele neplăcute", conchide Alexandru Molodoi.