Sistemele IT sunt zilnic supuse unei serii întregi de ameninţări, care pun în pericol, uneori, un întreg business. Iată care sunt cele mai frecvente.

„Din păcate, un audit IT are loc foarte rar în România, mai ales în sectorul aplicațiilor online. De asemenea, există numeroase cazuri în care un cumpărător al unui business online nu știe de fapt ce a achiziționat, deoarece neglijează aspectul efectuării unui astfel de audit. De aceea, eu recomand ca un maxim de 5% din bugetul de dezvoltare al unei companii să fie alocat contractării unei noi firme care să furnizeze acest tip de serviciu, spune Alexandru Lăpușan, CEO & founding partner Zitec, unul dintre principalii producători locali de aplicații online.

Specialiștii Zitec au elaborat un top cu cele mai răspândite 10 vulnerabilități și greșeli frecvente găsite în auditurile realizate în ultimele 12 luni. Pe primul loc se află stocarea neprotejată a parolelor și altor date confidențiale. Anumite date confidențiale din cadrul unei companii pot ajunge în situația de a fi stocate fără nici un fel de protecție sau folosindu-se metode de protejare insuficiente.

În unele situații există fișiere cu date importante ce pot fi accesate foarte ușor din internet, acestea fiind practic publice. Fie că acest lucru se datorează neglijenței sau unei scăpări de securitate, aceste fișiere pot conține date sensibile sau informații utile ce pot fi obiectul unor atacuri informatice.


Versiunile de software depășite sunt o altă vulnerabilitate. În producție sunt folosite versiuni de software depășite, cu probleme de securitate critice cunoscute și remediate în versiuni ulterioare. Problemele de securitate cunoscute pot fi exploatate foarte ușor chiar de persoane fără cunoștinte tehnice avansate, existând chiar și aplicații specializate în exploatarea acestor breșe de securitate.

Dezvăluirea unor detalii tehnice - există anumite cazuri în care o aplicație dezvăluie detalii tehnice sensibile atunci când una din componentele ei nu funcționează, informații confidențiale fiind făcute publice prin intermediul mesajelor de eroare afișate.

O altă vulnerabilitate a unui sistem informatic, găsită cu regularitate de specialiștii Zitec în audit-urile realizate, este aceea în care se descoperă că validarea datelor introduse de un utilizator se face doar în interfața afișată de browser, nu și la nivel de server. Acest lucru expune aplicația pentru mai multe tipuri de atacuri.


Când conectarea la baza de date se face cu un utilizator care are permisiuni mult peste necesitățile aplicației, apare un nou moment vulnerabil. Odată compromise datele de acces, atacatorul poate câștiga ușor acces la toate bazele de date, unde pot exista și informații ce aparțin de alte aplicații ale companiei. Datele confidențiale nu se transmit folosind un protocol securizat. Uneori se securizează doar câteva pagini (login, register, checkout etc.) și nu tot site-ul, ceea ce face furtul de sesiune/identitate la fel de ușor ca pe un site neprotejat printr-un certificat de securitate.

Servicii care pot fi vectori de atac - serverul de producție are pornite servicii neutilizate, care, la rândul lor, au deschise port-uri. Aceste servicii sunt posibili vectori de atac (mai ales că, fiind neutilizate, de obicei nu sunt actualizate la cele mai recente versiuni). Un alt tip de vulnerabilitate constă în faptul că fișierele de configurare ale aplicației sunt stocate în directoare publice. Riscul ca datele de configurare, incluzând uneori parole de acces sau alte date sensibile, să fie accesate de personal neautorizat crește foarte mult în acest caz.

Pe ultimul loc dunt menţionate vulnerabilitățile în fața unor atacuri de tip Denial of Service. Un exemplu ar fi stabilirea unei limite de memorie per conexiune de 10% (uneori considerabil mai mult) în memoria disponibilă a serverului. Astfel, 10 utilizatori concurenți pot consuma întreaga memorie a serverului.