Przez ataki SQL Injection tracone są setki miliony dolarów

W Stanach Zjednoczonych wkrótce rozpocznie się proces, w którym na ławie oskarżonych zasiądą Rosjanie i Ukraińcy oskarżeni o kradzież numerów 160 milionów kart kredytowych. Hakerzy uderzali za pomocą ataków SQL Injection.

Przez ataki SQL Injection tracone są setki miliony dolarów

haker

Piątka Rosjan i Ukraińców działała w latach 2005-2012. W tym czasie udało im się wykraść dane z systemów informatycznych NASDAQ, sieci Carrefour, Discover Bank, Dow Jones, Hannaford czy Heartland. W sumie weszli w posiadanie danych z ponad 160 milionów kart kredytowych. Starty wywołane ich działalnością wstępnie oszacowano na 300 milionów dolarów.

Media donosiły, że hakerzy posługiwali się wyrafinowanymi metodami ataków. Tymczasem eksperci do spraw bezpieczeństwa systemów IT ostrzegają, że w rzeczywistości ataki nie były szczególnie skomplikowane. W wielu przypadkach wykorzystywano wstrzyknięcie kodu SQL (SQL Injection).

Zobacz również:

Było tak między innymi w przypadku na sieć NASDAQ, w przypadku której wykorzystano lukę na stronie pozwalającej odzyskać zapomniane hasło użytkownika. Podobnie było w przypadku korporacyjnych sieci JC Penney, Visa Jordan czy Diners Singapore. I tu wykorzystywano błędy w kodzie, by rozszerzyć przywileje administracyjne hakerów, którzy następnie wykorzystywali złośliwe oprogramowanie do wykradania danych.

Eksperci do spraw bezpieczeństwa w sieciach IT przypominają, że podatność na ataki SQL Injections jest w tej chwili piętą achillesową w systemach informatycznych. O ile luki, błędnie napisany kod, da się w prosty sposób wyeliminować, to w większych aplikacjach sieciowych związane jest to z koniecznością sprawdzenia olbrzymiej ilości kodu. W wielu przypadkach firmy nie mają po prostu dostępu do odpowiedniej ilości zasobów, by poradzić sobie z problemem.

O takim stanie rzeczy głośno mówi między innymi założyciel WhiteHat Security, Jerremiah Grossman. „Twoi programiści muszą skupić się na tworzeniu nowych funkcji udostępnianych klientom, co przełoży się na zwiększenie zysku firmy w przyszłości. Jeśli zwolnią, albo zaczną pracować przy czymś innym, jak chociażby łatanie luk w kodzie, musisz pogodzić się z poświęceniem części zdobywanych środków. Na zrobienie wszystkiego brakuje po prostu czasu i zasobów. (…) Jeśli zamierzasz wykraść dane, to SQL Injection jest najlepszym i najszybszym sposobem włamania się do bazy danych. Od strony technicznej nie ma w zasadzie niczego, czego byśmy nie wiedzieli o tej formie ataku. Wiemy co to jest, wiemy jak zapobiec atakom i jak naprawić kod. Najważniejszą kwestią pozostaje skala problemu i ograniczona ilość dostępnych zasobów” – mówił Grossman na lamach serwisu Networkworld.

W przyszłości prawdopodobnie usłyszmy więc o kolejnych atakach przeprowadzanych na większą i mniejszą skalę. Jeśli jednak zależy ci na bezpieczeństwie danych, to prawdopodobnie powinieneś zwrócić uwagę na to, co mówią eksperci. Sprawdzenie kodu SQL może uchronić firmę przed utratą danych, pieniędzy i zaufania klientów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200