211service.com
Nebezpečí v nedostatcích webové databáze
Minulý týden, federální žalobci obvinil Alberta Gonzaleze , muž, který již byl obviněn z krádeže téměř 100 milionů účtů kreditních a debetních karet od maloobchodníka TJX, za údajnou spolupráci s dalšími třemi lidmi na nabourání se do dalších pěti společností. Gonzalez a jeho kohorty údajně ukradli nejméně dalších 130 milionů účtů kreditních a debetních karet.
V každém případě došlo k počátečnímu kompromisu prostřednictvím webu oběti pomocí techniky známé jako SQL injection, o které se mimo kruhy počítačové bezpečnosti jen zřídka mluví.
Útok využívá komponenty webových stránek, které umožňují vstup uživatele, jako jsou vyhledávací pole a přihlašovací stránky. Pokud webová aplikace dostatečně nezkontroluje platnost řetězce znaků, může útočník zadat speciálně naformátovaný řetězec, který bude po zpracování převeden na databázový příkaz. Vzhledem k tomu, že většina webových databází používá strukturovaný dotazovací jazyk neboli SQL, je útok znám jako SQL injection.
Jde o hrozbu střední úrovně, kterou zbytek odvětví tak dlouho ignoroval, až si útočníci uvědomili, že jde o široce otevřené pole, říká Dan Holden, produktový manažer týmu IBM X-Force pro výzkum zranitelnosti.
Vzhledem k tomu, že weboví vývojáři nejsou typicky programátoři – a většina programátorů není adekvátně vyučována bezpečnostním postupům – jsou online aplikace plné chyb vkládání SQL.
Big Blue zaznamenal zdvojnásobení počtu útoků SQL injection od prvního do druhého čtvrtletí roku 2009. V posledních několika letech obsadily zranitelnosti, které umožňují SQL injection, jedno ze tří prvních míst v každoročním seznamu nedostatků. V loňském roce se do ní dostalo asi 20 procent z 5 600 zranitelností Národní databáze zranitelnosti souvisely s SQL injection.
Vývojáři pracují v programovacích jazycích na vysoké úrovni a prostě nejsou naučení řešit zranitelnosti, říká Holden. Chyby a zranitelnosti se objevují, protože lidé dělají chyby a jsou to lidé, kdo programuje aplikace.
Bezpečnostní firma ScanSafe tento týden zdůraznila toto nebezpečí a oznámila, že našla téměř 100 000 webových stránek, které byly kompromitovány pomocí SQL-injection útoku, který obsahoval škodlivý kód.
Je to, jako by to zasáhlo pubertu, říká Holden. SQL injection si začalo přicházet na své.