211service.com
Het gevaar van fouten in de webdatabase
Vorige week hebben federale aanklagers aangeklaagd Albert Gonzalez , een man die al is aangeklaagd voor het stelen van bijna 100 miljoen creditcard- en betaalpasrekeningen van winkelketen TJX, omdat hij naar verluidt met drie andere mensen werkte om nog eens vijf bedrijven te hacken. Gonzalez en zijn cohorten zouden naar verluidt ten minste nog eens 130 miljoen creditcard- en debetkaartrekeningen hebben gestolen.
In beide gevallen was het aanvankelijke compromis via de website van het slachtoffer met behulp van een techniek, bekend als SQL-injectie, waarover zelden wordt gesproken buiten computerbeveiligingskringen.
De aanval maakt gebruik van websitecomponenten die gebruikersinvoer toestaan, zoals zoekvakken en inlogpagina's. Als de webtoepassing de geldigheid van de tekenreeks niet adequaat controleert, kan een aanvaller een speciaal opgemaakte tekenreeks invoeren die, wanneer deze wordt verwerkt, wordt omgezet in een databaseopdracht. Aangezien de meeste webdatabases de gestructureerde querytaal of SQL gebruiken, staat de aanval bekend als een SQL-injectie.
Het is een middelmatige dreiging die de rest van de industrie zo lang heeft genegeerd, dat de aanvallers zich realiseren dat het een wijd open veld is, zegt Dan Holden, productmanager voor IBM's X-Force-onderzoeksteam voor kwetsbaarheden.
Omdat webontwikkelaars doorgaans geen programmeurs zijn - en de meeste programmeurs niet voldoende worden onderwezen in beveiligingspraktijken - zitten online applicaties vol met SQL-injectiefouten.
Big Blue heeft het aantal SQL-injectie-aanvallen zien verdubbelen van het eerste naar het tweede kwartaal van 2009. In de afgelopen jaren hebben kwetsbaarheden die SQL-injectie mogelijk maken, een van de top drie plaatsen ingenomen in de jaarlijkse lijst met fouten. Vorig jaar kwam ongeveer 20 procent van de 5.600 kwetsbaarheden binnen in de Nationale kwetsbaarheidsdatabase waren gerelateerd aan SQL-injectie.
Ontwikkelaars werken in programmeertalen op hoog niveau en ze worden gewoon niet geleerd om met kwetsbaarheden om te gaan, zegt Holden. Bugs en kwetsbaarheden treden op omdat mensen fouten maken, en het zijn mensen die applicaties programmeren.
Beveiligingsbedrijf ScanSafe onderstreepte het gevaar en kondigde deze week aan dat het bijna 100.000 webpagina's had gevonden die waren gecompromitteerd met behulp van een SQL-injectie-aanval met kwaadaardige code.
Het is alsof de puberteit is bereikt, zegt Holden. SQL-injectie begint goed tot zijn recht te komen.