Ve světě to vyvolalo posměšky na stranu Microsoftu a v řadách zodpovědných osob ve firmě nejprve zmatek, pak trapas a pobouření. Hlavní bezpečností poradce Microsoftu pro Evropu, Blízký východ a Afriku Roger Halbheer událost komentoval jako „nešťastnou“. Problém byl již odstraněn, nicméně celá událost ukazuje, že i informační systému velkých společností jsou napadnutelné. Společností, které se zabývají výrobou a distribucí softwaru majícího zajistit, aby k něčemu takovému nedocházelo.
Hacker získal přístup do webové SQL pomocí techniky známé jako „SQL injekce“, které využívá webové programátorské chyby.
Web nejprve přijal speciálně upravené SQL dotazy ve formě URL (webová adresa), které následně přijala SQL databáze. Jelikož dotaz obsahoval neočekávaný formát URL, poslal zpět server chybovou hlášku.
Jak chybových hlášek přibývalo, získal hacker určitou představu o tom, jak je databáze strukturovaná a mohl upravit SQL dotaz tak, že databáze již nejen údaje poskytovala, ale vykonávala příkazy poslané hackerem. Nakonec přišel na správný příkaz, který do databáze vložil přesměrovávací odkaz na externí stránku. HTML kód v databázi byl pravděpodobně formátu "<link xhref=http://h.1asphost.com/remoter/css.css type=text/css rel=stylesheet>".
Další je již jasné, jakmile návštěvník zadal do webového prohlížeče adresu www.microsoft.co.uk, databáze načetla místo originálních dat obrázky a text ze stránky http://h.1asphost.com/ . Ta je nyní, vzhledem k logickému zájmu veřejnosti, naprosto přetížená.
Existuje několik způsobů, jak podobným útokům zabránit. První je, že databáze nemá vůbec vracet chybové hlášky, druhým, že systém by měl zkontrolovat zadané webové adresy a některé by vůbec neměly být zpracovány.
SQL injekce útoky jsou na vzestupu, k čemuž přispívá i stále širší propojování vnitropodnikových dat a webových aplikací, mnoho citlivých údajů je vloženo do SQL databází. Pokud najde hacker díru v bezpečnosti, může se do databáze navrtat. A rozhodně nejde jen o spektalkulární zostuzení napadené firmy, jako v tomto případě. Mnohdy se jedná o nenápadnou krádež spousty citlivých dat na objednávku konkurence.
Grafika: www.zone-h.org
- - Alexandr Radecký
PŘEDPLATNÉ
ČLÁNKY DO MAILU