HomeStiri › Top 10 vulnerabilitati care pot aparea intr-un sistem informatic

Top 10 vulnerabilitati care pot aparea intr-un sistem informatic

11 septembrie 2012 | 10:59
O companie are nevoie de o evaluare corecta a sistemelor IT pentru a avea o activitate continua si eficienta. Tocmai de aceea, organizatiile ar trebui sa apeleze la o solutie tot mai importanta si necesara in zilele noastre ? auditul IT. Scopul acestuia este de a determina ce vulnerabilitati are un sistem informatic, pentru a le putea elimina cu solutiile potrivite.
Top 10 vulnerabilitati care pot aparea intr-un sistem informatic
Specialistii Zitec au elaborat un top cu cele mai raspandite 10 vulnerabilitati si greseli frecvente gasite in auditurile realizate in ultimele 12 luni:

1. Parole si alte date confidentiale, stocate neprotejat. Anumite date confidentiale din cadrul unei companii pot ajunge in situatia de a fi stocate fara nici un fel de protectie sau folosindu-se metode de protejare insuficiente. 

2. Fisiere publice. In unele situatii exista fisiere cu date importante ce pot fi accesate 
foarte usor din internet, acestea fiind practic publice. Fie ca acest lucru se datoreaza 
neglijentei sau unei scapari de securitate, aceste fisiere pot contine date sensibile sau 
informatii utile ce pot fi obiectul unor atacuri informatice.

3. Versiuni de software depasite. In productie sunt folosite versiuni de software depasite, 
cu probleme de securitate critice cunoscute si remediate in versiuni ulterioare. Problemele 
de securitate cunoscute pot fi exploatate foarte usor chiar de persoane fara cunostinte 
tehnice avansate, existand chiar si aplicatii specializate in exploatarea acestor brese de 
securitate.

4. Dezvaluirea unor detalii tehnice. Exista anumite cazuri in care o aplicatie dezvaluie 
detalii tehnice sensibile atunci cand una din componentele ei nu functioneaza, informatii 
confidentiale fiind facute publice prin intermediul mesajelor de eroare afisate.

5. Lipsa validarii datelor pe partea de server. O alta vulnerabilitate a unui sistem 
informatic, gasita cu regularitate de specialistii Zitec in audit-urile realizate, este aceea in 
care se descopera ca validarea datelor introduse de un utilizator se face doar in interfata 
afisata de browser, nu si la nivel de server. Acest lucru expune aplicatia pentru mai multe 
tipuri de atacuri.

6. Conectarea la baza de date se face cu un utilizator care are permisiuni mult 
peste necesitatile aplicatiei. Odata compromise datele de acces, atacatorul poate 
castiga usor acces la toate bazele de date, unde pot exista si informatii ce apartin de alte 
aplicatii ale companiei.

7. Datele confidentiale nu se transmit folosind un protocol securizat. Uneori se 
securizeaza doar cateva pagini (login, register, checkout etc.) si nu tot site-ul, ceea ce face 
furtul de sesiune/identitate la fel de usor ca pe un site neprotejat printr-un certificat de 
securitate.

8. Servicii care pot fi vectori de atac. Serverul de productie are pornite servicii neutilizate,
care, la randul lor, au deschise port-uri. Aceste servicii sunt posibili vectori de atac (mai ales
ca, fiind neutilizate, de obicei nu sunt actualizate la cele mai recente versiuni).

9. Fisierele de configurare ale aplicatiei sunt stocate in directoare publice. Riscul ca
datele de configurare, incluzand uneori parole de acces sau alte date sensibile, sa fie 
accesate de personal neautorizat creste foarte mult in acest caz.

10. Vulnerabilitati in fata unor atacuri de tip Denial of Service. Un exemplu ar fi stabilirea unei limite de memorie per conexiune de 10% (uneori considerabil mai mult) in memoria disponibila a serverului. Astfel, 10 utilizatori concurenti pot consuma intreaga memorie a serverului.  
Citeste mai multe despre: , , ,
Matei Hanea

Ce parere au cititorii

Nici un comentariu

Logheaza-te ca sa poti comenta.
Discuta online cu un psiholog oricand!