Cu website-ul la consultatie

Gecad Net, furnizor de solutii software si de securitate IT, a lansat in cea de-a doua jumatate a lunii iunie un serviciu de auditare a aplicatiilor web si a site-urilor de companie, pentru identificarea breselor de securitate.
“Am observat ca in timpul auditurilor realizate pe infrastructura IT a mai multor companii, precum si in cursul altor proiecte de securitate, faptul ca foarte multe dintre website-urile acestor firme erau vulnerabile. In unele cazuri, a fost vorba chiar de furnizorii de servicii Internet care ofera hosting pentru sute de site-uri”, a declarat pentru revista Financial Director Alexandru Molodoi, Chief Technology Officer la Gecad Net.

Compania estimeaza ca pana la sfarsitul acestui an va audita peste 100 de site-uri si aplicatii web. Procesul de auditare poate dura 1-2 saptamani si trebuie repetat cel putin o data pe an. “Ne-am hotarat sa facem si o scurta cercetare de piata in urma careia ne-am convins ca astfel de servicii de auditare a aplicatiilor web si site-urilor, chiar daca sunt servicii de nisa, vor fi tot mai cautate de catre companiile implicate in mediul online”, spune Molodoi.

Din categoria unor astfel de companii, fac parte agentiile de dezvoltare web care au ca obiectiv furnizarea de aplicatii certificate din perspectiva securitatii IT, magazinele online, dar si firme mari, cu un continut complex de informatie online, care doresc sa verifice daca paginile de Internet sunt vulnerabile la atacuri informatice.

“Toate companiile care lucreaza cu date confi dentiale si au prezenta online ar trebui sa treaca printr-un astfel de audit”, spune Molodoi.

Durata unui audit este variabila, ca si costul acestuia, cele doua fiind determinate de complexitatea website-ului, a aplicatiior analizate, a numaurului de servere care le gazduiesc si a numaruui de puncte de acces in aplicatie sau site.

“Serviciul nu se adreseaza companiilor foarte mici, care dispun de un site cu cateva pagini de prezentare si un blog. In principal, cu aceste servicii de auditare vizam agentii de dezvoltare web, magazine online si companii medii si mari”, spune oficialul Gecad Net. Costul unui serviciu de audit poate pleca de la 2.000 – 3.000 de euro, pentru auditarea unei aplicatii mai putin complexe, si poate ajunge pana la cateva zeci de mii de euro, pentru o aplicatie sau un website foarte elaborat, estimeaza reprezentantii furnizorului de securitate.

Serviciul de auditare furnizat de Gecad Net include scanarea aplicatiilor web cu tehnologii IBM, analizarea datelor colectate si elaborarea unui raport de audit. Raportul contine categoriile de vulnerbabilitati descoperite, amenintarile la care website-ul sau aplicatia web auditata sunt expuse si recomandari pentru remedierea vulnerabilitatilor.

“Cea mai mare parte a costurilor o reprezinta achizitionarea de licente pentru tehnologiile IBM utilizate pentru scanarea aplicatiilor web. Din aceasta cauza nici costul unui audit nu este foarte mic”, afirma Molodoi.

Potrivit reprezentantului Gecad Net, aproximativ 80% dintre site-urile romanesti pe care compania sa le-a auditat in ultimul an aveau cel putin o vulnerabilitate de securitate. Gecad Net a inceput deja cateva proiecte de auditare, dar pentru moment prefera sa nu faca publice numele companiilor care beneficiaza de aceste servicii.

Calul troian, plin cu angajati neinstruiti

Nu exista companie care sa nu aiba vulnerabilitati la nivel operational si, de regula, cele mai multe amenintari vin din interior organizatiei, cand “angajatii neinstruiti cad usor victimele unor incercari de social engineering, spre exemplu, si divulga date confidentiale sau angajati rauvoitori, care utilizeaza informatiile accesibile in reteaua companiei pentru propriu lor beneficiu”, spune Molodoi. “De cele mai multe ori o fac pentru obtinerea de bani sau pur si simplu din dorinta de a stirbi imaginea si increderea in companie. Astfel de situatii implica de regula fosti angajati sau angajati care urmeaza sa paraseasca in curand respectivul loc de munca”.

In ceea ce priveste aplicatiile web, care stau in spatele paginilor de Internet, precum bazele de date accesibile online, acestea sunt vulnerabile in special la atacuri XSS (crosssite scripting) si injectii de interogari SQL, spun specialistii Gecad Net. Prin XSS, atacatorii introduc un cod malitios in website-ul vulnerabil, iar vizitatorii, fara sa stie, il executa, facilitand astfel furtul de date confidentiale.

“Prin injectii cu cod SQL se pot obtine informatii din bazele de date ale aplicatiei sau website-ului vulnerabil sau chiar se pot modifica sau sterge cu totul datele sau obtine controlul asupra aplicatiei, de exemplu, prin crearea unui utilizator si acordarea unor drepturi de administrare pe aplicatia vulnerabila”, spun consultantii in securitate ai Gecad Net.

Deocamdata, Gecad Net are doar sase angajati in cadrul diviziei care furnizeaza serviciile de audit, atat din departamentul tehnic, cat si din cel de vanzari.

“Avem cativa concurenti pe aceasta nisa de piata, majoritatea fiind companii care mai ofera servicii de securitate IT sau de infrastructura IT. Nu intentionam deocamdata sa extindem acest serviciu pe plan international”, spune Molodoi.

Furtul de identitate, cea mai mare problema

“Cei implicati in activitati de spaming si phishing continua sa-si imbunatateasca abilitatile de imitare si falsificare a caracteristicilor de identificare specifice mesajelor legitime. Totusi, mesajele de tip text isi dovedesc in continuare eficacitatea, rotunjind in fiecare luna la 50.000 cifra totala a victimelor furtului de identitate”, a declarat la inceputul lunii iulie seful laboratorului de cercetare antispam al BitDefender, Vlad Valceanu.

Potrivit unei analize efectuate de BitDefender in perioada ianuarie-iunie 2008, mesajele ce promoveaza actiuni ale unor companii listate la bursa au scazut de la 25% la doar 2% din volumul total, in vreme ce spam-ul bazat pe imagini a urmat cursul descendent inceput in 2007.

Furtul informatiilor confidentiale ramane in continuare strans legat de spamul de tip text, care a inregistrat o crestere de 70% in prima jumatate a anului 2008, in comparatie cu 20% in perioada similara a anului trecut, spun analistii BitDefender. Spam-ul de tip imagine a continuat sa scada, reprezentand doar 3% din totalul mesajelor nesolicitate, fata de 60% in prima jumatate a lui 2007.

Principalele elemente de identificare falsificate apartin cu predilectie institutiilor financiare din Statele Unite, iar posibilele victime provin din randul vorbitorilor nativi de limba engleza care au domiciliul in Statele Unite, Marea Britanie sau Canada, desi specialistii BitDefender au primit si multe sesizari referitoare la atacuri ce s-au desfasurat in Spania, Italia si Franta. Cele mai multe argumente invocate de mesajele nelegitime pentru obtinerea de informatii confidentiale sunt in continuare negative si se refera la blocarea sau expirarea contului, dar si la diverse solicitari de actualizare din motive de securitate.

Si in Romania, incidentele de phishing au devenit tot mai frecvente, acestea fiind in stransa legatura cu dezvoltarea serviciilor de tip e-banking si e-commerce. In acelasi timp, in cazul in care autorii sunt identificati, acestia risca amenzi destul de mici, mai ales in cazul prelucrarii datelor cu caracter personal, legislatia fiind permisiva.

Valoarea totala a pietei locale de consultanta este evaluata la aproximativ 460 milioane de euro, potrivit unei estimari realizate de firma de consultanta strategica Roland Berger Romania, calcul furnizat exclusiv pentru cotidianul Business Standard.

Cea mai mare parte a pietei, ca valoare de business, este reprezentata de segmentele de audit si consultanta financiara (segment estimat la 140-150 milioane de euro) si de consultanta juridica (aproximativ 130-140 milioane euro). “Industria consultantei este in plina efervescenta, in prezent. Segmentele cu cea mai mare penetrare a serviciilor sunt auditul si avocatura. Atat timp cat piata continua sa urce cu 15-20% pe an, este inca loc pentru toata lumea, urmand ca abia apoi sa trecem printr-o faza de consolidare”, a declarat Codrut Pascu, managing partner al Roland Berger Romania.

Din punctul de vedere al penetrarii serviciilor de consultanta, auditul si consultanta juridica sunt urmate de consultanta IT, si abia apoi de consultanta strategica si de management, sustine Pascu.

“Tocmai de aceea, consultanta strategica are cel mai mare potential de crestere dintre toate segmentele de piata”, explica seful Roland Berger. Acesta este de parere ca dimensiunea pietei de profil locale se situeaza undeva la jumatatea pietelelor similare din Ungaria sau Cehia si la doar o treime din piata poloneza.