Хакер #305. Многошаговые SQL-инъекции
В воскресенье утром эксперт по безопасности Алан Шимель обнаружил, что его
персональный блог, часто упоминаемый разными журналистами, указывает на веб-сайт,
содержащий жесткое гей-порно. Придя в ужас он понял, что кто-то взломал его
почтовый ящик на Yahoo! Mail и выкрал важные материалы, которые он готовил для
Internal Revenue Service. Кто-то также разослал откровенные порнографические
открытки родителям детей, которых он тренировал, как наставник Малой бейсбольной
лиги.
Будучи старшим сотрудником по стратегии фирмы StillSecure, Шимель оказался в
числе трех широко известных экспертов в области сетевой безопасности,
атакованных на этой неделе неизвестными злоумышленниками. Так, личный почтовый
ящик на Gmail, принадлежащий Петко Д. Петкову из GNUCitizen, был вскрыт, и 2 Гб
его содержимого стали достоянием общественности. Также были преданы гласности
логи домашнего блога Тома Ферриса из Security-Protocols.com.
Что отличает эти атаки от всех остальных, так это степенью злобы. Хакеры,
похоже, больше пытались нанести ущерб репутации экспертов, чем просто
продемонстрировать их неспособность закрывать доступ к своим собственным данным.
Злоумышленники публично поклялись объявить войну более чем двум дюжинам
экспертов, фирм и журналистов, специализирующихся на сетевой безопасности. Кроме
Шимеля, Петкова и Ферриса в этом списке также находятся Дэн Камински, Джоанна
Рутковска, Гади Эврон, Матасано и Тэо де Раадт.
Самое пугающее во всем этом то, что до сих пор непонятно, как такие атаки
удалось провести. Петков написал по электронной почте, что он подозревает
использование межсайтового скриптинга в атаке на его ящик Gmail. Другие
полагают, что хакером удалось получить доступ к персональнм данным через личные
блоги жертв, которые обычно используют системы типа TypePad и WordPress. В этих
программах постоянно обнаруживаются все новые дыры защиты и уязвимости. Шимель
тоже согласен с тем, что административный пароль его блога (http://stillsecureafteralltheseyears.com/)
(хостинг которому на момент публикации обеспечивал GoDaddy) также использовался
для взлома ящика на Yahoo Mail.
Все эти атаки стали еще одним напоминанием о том, что безопасность в Интернет
никак не гарантирована даже тем, чей уровень технических знаний значительно
превосходит таковой у среднестатистического пользователя.