10 anni fa è stata pubblicata la prima ricerca sulle SQL Injection. Un decennio dopo questa vulnerabilità è ancora una delle più diffuse: un pericolo per le aziende ed i network.

Che cos’è una SQL Injection?

SQL Injection è la vulnerabilità più sfruttata nelle applicazioni web che utilizzano database relazionali. Un hacker può inviare al database comandi SQL arbitrari che verranno eseguiti dal server, esponendolo i dati a rischi che possiamo ben immaginare (accesso non autorizzato, la perdita di tutti i dati, etc).

Un attacco SQL Injection può verificarsi quando un’applicazione web utilizza i dati forniti dall’utente senza un’adeguata convalida o codifica.

Gli aggressori forniscono dati di input appositi per ingannare l’interprete SQL ed eseguire comandi non presenti nel codice originale dell’applicazione. L’interprete non sarà in grado di distinguere il codice malevolo dal codice buono, e li eseguirà senza problemi.

Se l’attacco va a buon fine, il malintenzionato potrà creare, leggere, aggiornare o modificare i dati memorizzati nel database. La SQL Injection permetterebbe di accedere ad informazioni sensibili come password, numeri di previdenza sociale, anagrafiche dei clienti e dati di produzione, carte di credito o altri dati finanziari.

Quando nasce la SQL Injection?

L’inventore delle SQL Injection è probabilmente Rain Forest Puppy, un esperto di sicurezza informatica che per primo descrisse la tecnica di attacco in un articolo su Phrack, nel 1998: NT Web Technology Vulnerabilities (nota: l’articolo è molto tecnico).

Attacchi basati sulle SQL Injection hanno violato i più svariati sistemi informatici di aziende e compagnie di tutto il mondo. Ecco cosa è successo in 10 anni:

  • Febbraio 1998: Rain Forest Puppy rilascia i primi documenti sulle SQL Injection;
  • Marzo 2002: L’azienda di moda Guess viene violata e 200.000 carte di credito sono a rischio;
  • Luglio 2005: il sistema informatico dell’University of Southern California presenta applicazioni vulnerabili;
  • Dicembre 2006: hacker hanno accesso a 800.000 record di studenti dell’UCLA (University of California, Los Angeles);
  • Giugno 2007: il sito di Microsoft UK viene modificato e cancellato tramite SQL Injection;
  • Aprile 2008: sono 500.000 i siti web infetti da Malware grazie a vulnerabilità di SQL Injection;
  • Anno 2008: viene violato l’Heartland Payment System. Rubati 130 milioni di carte di credito;
  • Agosto 2010: mezzo milione di siti web sono colpiti da SQL Injection automatizzate;
  • Novembre 2010: viene attaccato il sito web della Royal Navy;
  • Marzo 2011: viene rubata la lista delle email dei clienti Expedia;
  • Marzo 2011: Oracle acquisisce MySQL, oracle.com viene compromesso tramite SQL Injection;
  • Aprile 2011: centinaia di migliaia di web site vengono attaccati in massa;
  • Aprile 2011: violato il produttore di firewall applicativi Barracuda Network;
  • Maggio 2011: viene violata la Certification Authority Comodo (in grado di emettere certificati SSL per qualsiasi sito su Internet) attraverso un suo partner in Brasile;
  • Maggio 2011: vengono violati sei siti di Sony: Sony BGM Greece, Sony Music Japan, Sony Canada, Sony Pictures France, Sony Pictures Russia, Sony Music Portugal.
  • Giugno 2011: violati: PBS, il CanadianConservative Party, il sito web della CNN l’azienda di videogiochi Sega.

Un hacker malevolo ha tutti gli strumenti per sfruttare le vulnerabilità della vostra applicazione web con attacchi di tipo SQL Injection, per questo bisogna sviluppare le applicazioni in modo sicuro ed effettuare verifiche della sicurezza con una periodicità certa.

Se ritenete che il vostro sistema possa essere a rischio, fate valutare i sistemi informatici della vostra azienda a professionisti della IT security: Easy Audit vi aiuterà a individuare le vulnerabilità dei vostri sistemi. Il tutto garantito dal bollino Easy Audit Checked, una garanzia per i vostri clienti.

Related posts