300 mln USD wykradła z baz danych giełdy NASDAQ i firm takich jak: Carrefour, Discover Bank, Dow Jones, czy Hannaford piątka hakerów z Rosji i Ukrainy. Działania skazanych niedawno hakerów dobitnie pokazują jak bardzo kosztowne mogą okazać się braki w walidacji zapytań SQL i błędy w zabezpieczeniach środowisk bazodanowych.
Działająca na terenie Stanów Zjednoczonych grupa hakerów za cel swoich działań wybierała m.in. amerykańskie instytucje finansowe i handlowe. Piątce hakerów udowodniono liczne włamania i kradzież wrażliwych danych – m.in. Numerów kart kredytowych i informacji niezbędnych do autoryzacji transakcji.
Z dokumentacji procesowej wynika jednak, że hakerzy stosunkowo rzadko sięgali po wymyślne narzędzia hakerskie. Ataki w większości przypadków opierały się na wstrzyknięciu kodu SQL i wykorzystaniu znanych luk w zabezpieczeniach środowisk bazodanowych. I tak, w przypadku sieci NASDAQ wykorzystano błąd w mechanizmie odzyskiwania zapomnianego hasła dostępu. Nieautoryzowany dostęp do bazy posłużył następnie do pozyskania praw administracyjnych i kradzieży poufnych danych.
Zdaniem analityków tak duże straty dowodzą skali zagrożeń wynikających z nienależytego zabezpieczenia korporacyjnych baz danych przed atakami typu SQL Injection. Ataki tego typu zwykle wykorzystują błędy w oprogramowaniu baz danych lub współpracujących z nimi aplikacji internetowych. Ataki opierająca się na wstrzyknięciu kodu SQL są dziś jedną z najpopularniejszych metod pozyskania nieautoryzowanego dostępu do środowisk informatycznych. Stosunkowo proste do usunięcia luki i błędy są jednak trudne do wykrycia bez odpowiednich środków.
Jeremiah Grossman, cytowany przez amerykański Computerworld założyciel firmy WhiteHat Security podkreśla jednak, że w wielu firmach dominuje podejście zakładające przeznaczenie maksymalnych nakładów pracy na rozwój nowych aplikacji i funkcjonalności wspierających cele biznesowe. “Zmiana kierunku prac programistycznych na działania niezwiązane bezpośrednio z tworzeniem narzędzi wspierających biznes jest postrzegana wręcz jako marnotrawienie środków, które mogłyby zostać przeznaczone na rozwój biznesu” – uważa Jeremiah Grossman. Według niego głównym problemem są tu nadmierne ograniczenia zasobów niezbędnych do rozwoju i zabezpieczenia środowisk informatycznych.
Tymczasem wyszukiwanie i usunięcie wszystkich – lub chociaż większości – luk pozwalających potencjalnie na przeprowadzenie ataku typu SQL Injection jest działaniem pracochłonnym. Skąd też należyte zabezpieczenie przez tego typu naruszeniami bezpieczeństwa wymaga w wielu firmach zmiany gospodarowania zasobami IT.
