Кажется, нет в мире ИБ уже более затасканного примера, чем SQL-инъекция. Это классический вариант атаки, проводимой по недосмотру разработчиков того или иного Web-ресурса, и активно эксплуатируемой злоумышленниками для получения незаконного доступа к указанному ресурсу. Распространены SQL-инъекции, вследствие распространенности уязвимостей, пригодных для их организации, чуть более чем повсеместно.
Но вопрос не в том, как часто они встречаются, а в том, к каким последствиям могут привести. Довольно часто от возможности организации SQL-инъекции владельцы сайтов отмахиваются, как, к примеру, владельцы бизнесов – от возможности утечки конфиденциальной информации из их компании. Аргументы просты: даже если на нашем сайте окажется внедренное с помощью SQL-инъекции вредоносное ПО, мы его быстро удалим, и нас везде разбанят. Поэтому нет острой необходимости в том, чтобы тратить средства на аудит безопасности и закрытие «дырок» в сайте. К сожалению, часто оказывается, что это, мягко говоря, чересчур оптимистичный взгляд на вещи.
«Для взломов банкоматов и хищения $45 млн хакеры использовали SQL-инъекции», ‑ пишут нам в новостях . Как вы думаете, сайт, через который были украдены эти деньги, может сказать, что не видит в SQL-инъекциях ничего особенно страшного?
Из той же новости: "Злоумышленники, скорее всего, получили важную информацию, скомпрометировав пользовательский web-портал при помощи SQL-инъекции. Далее, вероятнее всего, были использованы кейлоггеры и инструменты удаленного доступа, которые предоставили киберпреступникам доступ к CVC или CVV-данным, хранящимся на магнитных полосах предоплаченных кредитных карт, - отмечает эксперт. – Они также получили доступ к базе данных банковских идентификационных номеров (BIN) и продублировали необходимую информацию, при помощи которой получили доступ к счетам по закрытой сети банкоматов. Далее они использовали специальное оборудование, при помощи которого записывали информацию о счетах на магнитную ленту банковских или подарочных карт, а также на электронные ключи от отельных номеров. При помощи созданных таким образом поддельных карт, злоумышленники снимали денежные средства со счетов жертв в банкоматах".
Промолчим о том, что ко всей этой информации злоумышленники могли бы получить доступ и в том случае, если бы эти данные были похищены в результате заранее спланированной или случайной утечки. Дело в том, что тот, кто плюет на безопасность, рано или поздно должен платить. Это правило, в котором не бывает исключений, если, конечно, говорить о какой-то более-менее продолжительной последовательности случаев наплевательства на безопасность.
Думаю, что вы сами можете привести немало примеров того, что незначительная, на первый взгляд, проблема оказывалась причиной крупных финансовых убытков или даже гибели людей. На языке юристов такая ситуация называется преступной халатностью. К сожалению, когда речь идет об информационной безопасности, о понятии преступной халатности почему-то забывают…
Р. Идов,
ведущий аналитик компании SearchInform
