David Litchfield, ředitel společnosti Next Generation Security Software, provedl výzkum týkající se bezpečnosti databází vystavených na internetu a dospěl k překvapivému závěru: půl milionu z nich není vůbec zabezpečeno firewallem. Jedná se zhruba o 368 000 Microsoft SQL Serverů a 124 000 serverů využívajících technologii Oracle.
Bez firewallu jsou databáze snadno zranitelné a vystavené útokům hackerů. Společnosti tak velmi riskují data, která v nich mají uložená, ale zjevně je to neznepokojuje, komentuje situaci Litchfield. Podobný výzkum provedl navíc už před dvěma roky a situace se od té doby ještě zhoršila, neboť v roce 2005 Litchfield detekoval kolem 350 000 nezabezpečených serverů, z toho 210 000 v té době používalo systém od Microsoftu a 140 000 od Oracle. Litchfield si všímá i faktu, proč během dvou let počet nezabezpečených serverů od Microsoftu výrazně stoupl, zatímco Oracle servery si mírně polepšily. Podle něj může být tato situace způsobena i tím, že technologii od Microsoftu je většinou snazší implementovat.
Litchfield také poukazuje na to, že nezabezpečené databázové servery často nejsou ani aktualizovány a systémy obsahují řadu bezpečnostních děr, na které sice již existují záplaty, ale v řadě případů nejsou vůbec aplikovány. Ještě dnes našel Litchfield 4 % SQL serverů, které nebyly imunní vůči červu s názvem SQL Slammer, který řádil v roce 2003. Zhruba 82 % současných SQL serverů běželo na starém SQL Server 2000 software a jen méně než polovina z nich měla nainstalovaný poslední dostupný Service Pack. Co se týká Oracle serverů, pak 13 % z nich používalo starší software, který nebyl dlouhou dobu aktualizovaný.
Litchfiled říká, že tato čísla jsou děsivá, ale vlastníci nezabezpečených databází se tím zjevně příliš nevzrušují a dokud jejich systém funguje, jsou spokojeni. Nicméně tato situace nahrává všem potenciálním útočníkům nebo červům, kteří tak mají možnost napáchat díky podceňování bezpečnostních hrozeb velké škody.
Přečtěte si také:
Zabraňte ztrátám citlivých informací, nabádá Symantec
602SQL Server jako open source
Jedenáctá databáze Oracle přichází