La pericolosità degli attacchi informatici attuali è legata alla motivazione del gesto. Se nel corso degli anni abbiamo fatto abitudine agli attacchi con spinte ideologiche, politiche, morali o industriali, al giorno d’oggi ci troviamo a fare i conti con un nuovo fattore : la noia. Il parere comune di molti analisti della sicurezza informatica è che il livello di insicurezza attuale della rete viene spinto sempre più in alto dalle migliaia di individui senza scrupoli armati di notebook e Backtrack. In realtà le generalizzazioni hanno sempre fatto più male che bene e se è vero che un qualsiasi adolescente fornito dell’ultima versione della suite per il penetration testing punta e clicca può arrecare grossi danni a siti web e server è anche vero che il fattore di rischio deve essere analizzato approfonditamente, puntando il dito non solo sull’attaccante ma soprattutto sulla vittima. La sicurezza informatica sembra essere ancora un optional per moltissime organizzazioni, piccole, grandi e medie alle prese con l’ormai indispensabile presenza online. Piuttosto che prevenire le minacce molte società si accorgono dei danni quando oramai è troppo tardi per intervenire.
Quali sono i rischi più attuali? Tra le minacce più gravi puntate come una spada di Damocle sulla testa di aziende grandi e piccole vi è l’iniezione SQL. Questo particolare tipo di attacco permette di penetrare le difese di un applicativo web come una lama affondata nel burro. Teoricamente nessuna piattaforma di database è immune agli attacchi di tipo sql che rappresentano un metodo subdolo e difficile da rilevare.
Poche ore fa si è diffusa la notizia di un attacco ad un server di proprietà della nota società Toshiba. La macchina, con hostname tacp.toshiba.com è stata attaccata da un blackhat noto sotto lo pseudonimo di VoiD. La violazione ha permesso all’attaccante di estrarre 350 record composti da indirizzi email e password dalla tabella Tbl_Gb_Users contenuta all’interno del database attivo sul server che è stato appunto penetrato grazie ad un’iniezione SQL. Una news come le altre che si aggiunge al lungo elenco di violazioni che si susseguono oramai quotidianamente sull’intera rete internet.
Il punto debole, bersaglio privilegiato per l’attaccante è soprattutto l’applicativo web costruito da zero e basato su un progetto spesso curato da programmatori privi di un gruppo solido alle spalle. E’ per questo motivo che diventa molto spesso fondamentale affidarsi ai collaudati framework di sviluppo piuttosto che riscrivere da zero un progetto software. Inoltre al giorno d’oggi il lavoro dell’attaccante è stato facilitato da un numero considerevole di strumenti per l’automazione delle iniezioni SQL che non sono più un attacco privilegiato riservato a cerchie ristrette di blackhat ma un’arma mainstream che può essere messa in campo con un semplice punta e clicca.
L’iniezione SQL sfrutta una particolare vulnerabilità di un applicativo web che a causa di errori di programmazione non è capace di filtrare correttamente i dati in ingresso. Se vi state chiedendo come sia possibile per i principali collettivi blackhat estrarre migliaia di indirizzi email e password dai database delle grandi aziende come Sony,ega e Toshiba troverete la vostra risposta nelle iniezioni SQL. Che cosa succede durante un attacco di questo tipo? Gli applicativi web costruiti con tecniche di programmazione approssimative costituiscono la preda più ambita per i cracker che sfruttano le carenti tecniche di validazione degli input dei siti web più deboli. Con un’iniezione SQL l’attaccante può appendere degli input maligni alle istruzioni lecite inviate al codice. Considerando un semplice esempio, dopo un login su una pagina web le informazioni circa l’utente Giovanni verranno estratte per la visualizzazione a schermo utilizzando la seguente istruzione :
http://miosito.it/utenti/scheda.php?id=Giovanni
Un attaccante potrebbe invece costruire l’input per estrarre dati in modo non autorizzato aggiungendo una query SQL come segue :
http://miosito.it/utenti/scheda.php?id=Giovanni order by 1
Se l’applicativo web è costruito seguendo i principali canoni della programmazione il codice solleverà un’eccezione di errore per gestire adeguatamente il tentativo di attacco. Se l’applicativo è invece vulnerabile all’iniezione il risultato della query rileverà alcune delle informazioni contenute all’interno del database. Inviando delle query costruite in modo adeguato è possibile estrarre l’intera struttura di un database e con essa l’intero contenuto dello stesso.
Le iniezioni SQL costituiscono il principale fattore di rischio e sono attualmente al primo posto nella triste classifica dei metodi di attacco. La grande disponibilità di tool per l’automazione degli attacchi sta trasformando il panorama informatico in un campo di battaglia e le vittime sono numerosissime, e soprattutto di fama mondiale. Sempre nella giornata di oggi il CSO di Paypal ha lanciato un appello affinchè i membri dei principali collettivi blackhat attualmente operanti vengano assicurati alla giustizia. LulzSec, Anonymous solo per citare alcuni nomi hanno utilizzato e continuano ad utilizzare le iniezioni SQL per estrarre username, email e password da obiettivi sempre più ambiziosi. La pubblicazione di 90.000 indirizzi email di militari americani corredati delle relative password in formato hash (una grossa percentuale è stata già decodificata) è infatti l’ultimo clamoroso attacco da parte di Anonymous ai database della società Booz Allen Hamilton, in odore di appalto con il Pentagono La cattiva pratica di memorizzare login e password in chiaro all’interno dei record dei database unita alla pericolosità delle iniezioni SQL fanno l’attacco perfetto.
Pingback: Il tuo sito web? Viene attaccato sette volte al secondo | Servizi managed e gestione server – Il blog di Servermanaged.it
Pingback: Password e abitudini,quando la sicurezza non fa rima con la comodità | Servizi managed e gestione server – Il blog di Servermanaged.it