fbpx
Introdu un termen de cautare si apasa Enter

#thirdweek – Configurari necorespunzatoare de securitate

In a treia saptamana din seria “Ce face un website vulnerabil?” vom impartasi cu voi cateva informatii utile despre configurari de securitate necorespunzatoare. 

In ultimii ani s-a inregistrat o crestere a breselor de securitate determinate de configurari necorespunzatoare – aprox. 70% din datele compromise.

In primul rand, fiecare nivel din arhitectura unui website presupune configurare. Astfel, vom avea urmatoarele configurari corespunzatoare urmatoarelor:

  • server;
  • sistem de operare (e.g. Windows, Linux);
  • aplicatie (componentele software care sustin website-ul);
  • librarie (codul programatorului);
  • website-ul in sine.

Dupa cum probabil ai ghicit deja, configurarea gresita este o problema raspandita care poate aparea in oricare dintre nivelele anterior mentionate si care implica actiuni preventive in multiple nivele.

Cand vine vorba de servere, unele configuratii gresite implica existenta anumitor servicii inutile sau nefolosite, utilizarea de conturi si parole implicite, de configuratii incomplete sau implicite care nu au fost niciodata modificate, configuratii gresite ale certificatului SSL si ale setarilor de criptare. Toate aceste configuratii gresite sunt de obicei descoperite de catre atacatorii externi care pot dobandi acces cu usurinta la date sensibile.

O configuratie gresita a firewall-urilor este in mod special periculoasa pentru ca un firewall care permite gazdelor neautorizate sa se conecteze la server poate permite atacatorilor externi sa dobandeasca control asupra serverului.

Atunci cand vorbim de sistemul de operare, una dintre cele mai comune greseli de configurare este politica slaba de parole. Cuvintele din dictionar pot fi atacate prin forta bruta, astfel ca parolele simple pot fi ghicite cu usurinta. Mai mult, parolele simple ale conturilor administrative pot indica faptul ca alte sisteme au parole slabe. 

Nu uita: cu o simpla cautare pe internet poti obtine toate parolele implicite cunoscute pentru conturile de administrare!

Alte exemple de configurare necorespunzatoare a sistemului de operare sunt absenta actualizărilor periodice (care asigură reparatii ale vulnerabilitatilor si impiedica bresele de securitate), acelasi nivel de acces acordat tuturor (toti membrii companiei au acces la date complete) sau sistemul standard  de logare este lasat implicit sau chiar dezactivat. Administratorul sistemului are responsabilitatea de a actualiza sistemul și de a corecta vulnerabilitatile.

Continuand lista cu erorile de configurare ale aplicatiilor, trebuie evidentiat faptul ca multe aplicatii prezinta caracteristici inutile (e.g. porturi, pagini, privilegii, conturi) care au probleme de securitate cunoscute. De asemenea, de multe ori setarile de securitate nu sunt setate sa protejeze valori, serviciile cloud au permisiuni de configurare necorespunzatoare, nu toate controalele de securitate sunt implementate sau sunt implementate necorespunzator.

Cand vorbim de codul scris de programatori, acestia din urma trebuie sa aplice masuri de securitate pentru a impiedica accesul catre resurse confidentiale. Chiar dacă programatorul pune în aplicare practici sigure de codare, este responsabilitatea echipei de integrare sa integreze corect aplicația in productie.

Dupa cum poti observa, vulnerabilitatile generate de configurarea necorespunzatoare nu se regasesc intr-o singura sursa, deci evitarea acestora presupune munca de echipa (programatori, administratori, management).

Pentru a asigura o configurare corespunzatoare, este recomandat sa:

  • mentii software-ul actualizat;
  • dezactivezi conturile implicite;
  • implementezi o politica de parole puternice;
  • activezi un control riguros de acces;
  • asiguri criptarea datelor;
  • realizezi teste de penetrare regulate pentru a identifica configuratiile necorespunzatoare si sa fii sigur ca toate vulnerabilitati identificate sunt corectate.

Citeste si celelalte articole din ultimele saptamani cu privire la “Ce face un website vulnerabil?”, respectiv Sfaturi de securitate pentru detinatorii de website si Erori de cod.

Va putem ajuta sa stati in siguranta!

Stim, de asemenea, cat de importante sunt costurile.

Ar trebui sa citesti si

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.