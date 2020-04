Fost ministru al Comunicațiilor, Alexandru Petrescu consideră că prăbușirea site-ului IMM Invest, la scurt timp după lansarea lui de către guvern, este o problemă tehnică care nu are legătură cu niciun atac informatic.

`Cu Guvernul Orban intotdeauna altcineva este de vina! Odata cu lansarea in cursul diminetii de 17 aprilie a portalului IMM Invest si prabusirea acestuia 30 de minute mai tarziu, domnul ministru Citu a reperat imediat vinovatii: nu mai este urmarit de spioni prin cofetarii, sunt anonimii care lanseaza atacuri cibernetice. Dl ministru a exclus din start cele mai evidente motive: dimensionarea inadecvata a aplicatiei in raport cu volumul mare de trafic, testare insuficienta in mediu de productie a potentialelor vulnerabilitati tehnice precum si sisteme de securitate cibernetica minimale. Cu putina introspectie tehnica legata de structura, se poate observa ca este o configurare defectuoasa a site-ului unde se depun electronic aplicatiile.

api.imminvest.ro nu permite accesul de la site-ul www.imminvest.ro, pentru ca headerul Access-Control nu este configurat.

Partajarea resurselor încrucișate (CORS) este un protocol care permite script-urilor care rulează pe un client browser să interacționeze cu resurse de la o altă origine. Acest lucru este util, deoarece, datorită politicii de aceeași origine urmată de XMLHttpRequest și preluare, JavaScript poate efectua call-uri doar către adrese URL de la aceeași origine ca locația în care se execută scriptul. De exemplu, dacă o aplicație JavaScript dorește să efectueze un call AJAX către un API care rulează pe un domeniu diferit, ar fi blocată să facă acest lucru datorită politicii de aceeași origine

Un alt aspect important este legat de certificatul SSL pentru accest site, care dupa cum se poate observa este gratuit, practica mai putin intalnita in ceea ce priveste site-urile de factura bancara sau guvernamentala. Un pachet comercial are un plus de beneficii relevante in acest context (suport tehnic, garantii, incredere pentru clientii, si valabilitate cuprinsa intre 1 si 2 ani) la un cost rezonabil de pana la 10 dolari pe an.

In timp ce construiam argumentatia de mai sus, institutia care gestioneaza portalul IMM Invest admite, dealtfel public, ca este putin viabil scenariul atacului cibernetic.

In diagrama atasata se poate observa utilizarea unui certificat SSL gratuit (https://letsencrypt.org/ care ofera doar certificate gratuite) , lucru de obicei nemaintalnit la un site ce presupunea securizare maximala.

As recomanda un certificat EV in genul celor folosite in sectorul bancar, care pe langa protectia crescuta, ofera o garantie pana la 1.75 Mil$', a scris Alexandru Petrescu pe Facebook.

