Хакер #305. Многошаговые SQL-инъекции
Двадцатишестилетний хакер из Джорджии недавно
признал себя виновным в краже данных
более чем 675 тысяч кредитных карт, что привело к мошенническим сделкам на
сумму более чем 36 миллионов долларов.
Согласно протоколам суда, Роджелио Хэкетт младший сохранял украденные данные
кредитных карт на своих компьютерах и в учетных записях электронной почты. Он
часто продавал эти данные, которыми позже пользовались для нелегального снятия
денежных средств. Хэкетт, приговор которому будет вынесен в июле, может провести
за решеткой 12 лет.
Как он делал это? Через SQL-инъекции. Он получал доступ к серверным базам
данных с помощью веб-приложения, которое эффективно использует эти же базы
данных. "В августе 2007 года, а затем через какое-то время снова, он проник в
базы данных провайдера услуг по приобретению билетов и заполучил номера
кредитных карт", - говорит Рэнди Сабетт, партнер и один из председателей отдела
Internet and Data Protection юридической фирмы SNR Denton LLP. "Не исключено,
что по крайней мере в ходе нескольких атак, которые он проводил, он был
засечен".
"Он пользовался уязвимостями в SQL", - говорит Сабетт. "И не смотря на то,
что SQL-инъекции хорошо описаны и изучены, мы замечаем, что время от времени
компании страдают именно от этих атак".
Внимание на небольшие цели
Хакерская атака Хэкетта не кажется такой уж выдающейся при сравнении с атакой
Альберта Гонсалеса, который стоял за
взломом Heartland Payment
Systems, что привело к краже данных 130 миллионов кредитных и дебетовых
карт, и которая также была осуществлена при помощи внедрения SQL-кода. Но
как отмечает известный аналитик Gartner Research Авива Литан, дело Хэкетта
подчеркивает то, каким распространенным и разнообразным стало хакерство. "На
каждого арестованного Роджелио Хэкетта приходится по меньшей мере еще дюжина "Хэкеттов"
или "хакеров", которые остаются на свободе", - говорит Литан.
Согласно докладу Data Breach Investigations Report 2011 года компании Verizon,
в то время как количество
полученных данных снизилось с 144 миллионов в 2009 годы до 4 миллионов в
2010 году, количество взломов возросло. Доклад Verizon этого года включает
анализ 761 взлома с целью получения данных, что является самым большим числом за
те 7 лет, когда ежегодно выходит доклад. В 2010 году количество взломов примерно
соответствовало общему количеству проанализированных взломов за предыдущие 6
лет.
Основной фактор роста: хакеры нацеливаются на небольшие, менее надежные базы
данных. "В настоящее время это по большей части неорганизованные преступления,
потому что многие из самых изощренных хакеров, включая Гонсалеса, сейчас уже за
решеткой", - говорит Брайан Сартин, директор по исследованиям компании Verizon и
автор новейшего доклада о взломах с целью получения данных.
Литан говорит, что "мы должны относиться серьезнее к ограблениям небольшого
масштаба, которые могут существовать вне поля видимости правоохранительных
органов и компаний по выпуску платёжных карт более длительный период времени,
потому что их размах не так уж велик", - говорит она. "Этот арест также
подтверждает то, что хакер может быть откуда угодно, а не только из Восточной
Европы.
SQL-инъекция: слишком просто.
Согласно протоколам суда, Хэкетт начал свою хакерскую "карьеру" в конце 90х
годов, когда он находил уязвимости в обработке SQL и пользовался ими. Более чем
10 лет спустя, тот же метод атаки все еще действует. "Эти SQL-инъекции как бы
позволяют пролезать через дырку в заборе, а не входить через парадную дверь", -
говорит Сабетт. Джош Корман, директор по исследованиям Enterprise Security
Practice компании The 451 Group, говорит, что SQL-инъекции зачастую идут прямо
через брандмауэры. "Вот почему мы должны обращать внимание на уровень
безопасности приложений", - говорит Корман. "Брандмауэры должны быть
усовершенствованы – например, добавлением брандмауэра веб-приложений".
Дэн Гросу, консультант по безопасности информационных технологий, который в
2009 году писал в блоге об основе атаки Heartland – SQL-инъекции – говорит, что
для обнаружения и пресечения таких атак нужно избавиться от того, что не
обработано должным образом. "Это поможет избавиться от проблемы в корне, поэтому
это лучшее, что можно сделать", - говорит он. "Честно говоря, индустрия не
занимает активной позиции, а только реагирует на уже произошедшее. Учреждения
выпускают веб-приложения для того, чтобы быть конкурентоспособными на динамично
развивающемся рынке, делая тем самым упор на опыт пользователей и на
дополнительные навороты, но тратя мало усилий на разработку, проверку и
тестирование систем безопасности".
Сабетт говорит, что многие предприятия не вкладывают средства в улучшения
систем безопасности потому что у них нет для этого стимула. "Что может дать
компаниям стимул защитить себя лучше? Должно ли это быть в списках
государственных требований или совершаться организованно? Мы еще не дошли до
того момента, когда равновесие станет возможным".