Identificarea și divulgarea de vulnerabilități ale aplicațiilor web

Foto: CERT-RO

Mass media abundă în știri privind incidente de securitate în care sistemele informatice ale unor entități au fost exploatate de la distanță, prin atacarea paginilor web, atacatorii reușind să obțină acces la datele utilizatorilor sau clienților. Cad victime acestor atacuri aproape toate tipurile de entități, de la instituții guvernamentale și până la companii indiferent de dimensiune sau domeniu de activitate.

Prezența pe internet și interacțiunea online cu utilizatorii au devenit esențiale. Accesul online al cetățenilor la servicii publice este omniprezent în cadrul politicilor fiecărui stat. În acest context, depistarea și remedierea în timp util a vulnerabilităților aplicațiilor online a devenit critică pentru protejarea utilizatorilor, pornind de la datele cu caracter personal si până la datele privind instrumentele de plată electronică ale acestora, fiind tot mai necesară instituirea de către toate entitățile prezente online a unui mecanism prin care persoanele care constată posibile probleme de securitate să le poată raporta.

Instituirea acestor mecanisme poate duce la o modificare de comportament, la o abordare etica a vetii online si are drept rezultat comunicarea vulnerabilitatilor identificate. Astfel, Ionică Bizău, un tânăr pasionat de securitatea informatica, a identificat si raportat o serie de vulnerabilități ale unui portal universitar, solicitând ajutorul CERT-RO în vederea semnalarii problemelor constatate.

Vulnerabilitățile identificate puneau în pericol datele cu caracter personal ale studenților și cadrelor didactice, în speță fiind vorba de următoarele tipuri de vulnerabilități:

• SQL injection
• Broken Authentication or Session Management
• Cross-Site Request Forgery (CSRF)
• Missing Function Level Access Control

Universitatea în cauză a răspuns pozitiv la semnalarea făcută prin CERT-RO cu care a ținut legătura pe toată perioada în care echipa de mentenanță a lucrat la remedierea vulnerabilităților semnalate.

În încheiere trebuie menționat faptul că deși importantă pentru menținerea securității datelor utilizatorilor, activitatea de testare de la distanță a aplicațiilor web în vederea identificării de vulnerabilități poate prezenta și riscuri din punct de vedere juridic pentru Raportor, Codul Penal incriminând fapte precum Accesul fara drept în sistem informatic, Transferul neautorizat de date, în anumite condiții testele putând întruni și elementele constitutive ale infractiunilor de Alterare a integrităţii datelor informatice sau Perturbarea funcţionării sistemelor informatice.

Riscurile susmenționate obligă raportorii și cercetătorii în securitate informatică la atenție sporită și luarea de masuri adecvate, între care se înscriu obținerea acordului deținătorului infrastructurii testate (spre exemplu prin contracte de pentesting) sau întreprinderea doar a acelor acțiuni din cadrul testării care nu reprezintă fapte din sfera penală. În același timp, oprirea testelor la momentul la care prima vulnerabilitate a fost identificată, fără a încerca exploatarea acesteia pentru a depista vulnerabilități subsecvente este obligatorie, oricât de mare ar fi curiozitatea și tentația de a continua.

Găsiți mai multe detalii despre CVD pe pagina dedicată: https://cert.ro/pagini/CVD