Старые-добрые хакеры нынче стали сплошь бизнесменами, перед взломом каждой
цели осуществляющими анализ простоты и выгодности атаки. И в наши дни для них
нет более заманчивой мишени, чем корпоративные базы данных.
Причина проста – такие базы содержат конфиденциальную информацию, которую
легче всего продать, например, списки клиентов или записи о различных выплатах.
Администраторы баз данных не очень-то утруждают себя вопросами безопасности, к
тому же базы подобного рода довольно часто привязаны к веб-приложениям, которые,
как выясняется, легко взломать.
В своем ежегодном исследовании компания Verizon Business приводит сведения о
том, что 30% всех случаев компрометации данных в 2008 пришлось на базы данных.
Что еще хуже, взломы баз данных стали причиной утечки 75% всех украденных
записей. Это неудивительно, поскольку взлом одной-единственной базы данных может
нанести серьезный урон, если в ней хранилась много конфиденциальной информации.
Некоторые из таких баз становятся уязвимыми из-за самых простых огрехов. Так,
в 2008 году организация Independent Oracle Users Group провела опрос, в ходе
которого выяснила, что 26% организаций устанавливают патчи на базы данных Oracle
лишь более чем месяцев спустя после их выхода, а 11% не делают этого вообще.
Распространены и такие ошибки, как установка тестовых баз на рабочие серверы и
привязка чувствительных данных к ненадежным веб-приложениям.
Помимо этого, тесная связь с веб-приложениями делает базы уязвимыми для
SQL-инъекций. По информации IBM ISS X-Force, такие инъекции в прошлом году стали
самой часто эксплуатируемой веб-уязвимостью, при этом число SQL-инъекций по
сравнению с 2007 годом возросло на 134%.
