הזרקת SQL: עדכנית תמיד למרות גילה

(של אלסנדרו רוגלו)
11/03/24

לפני מספר שבועות פרסמתי מאמר שכותרתו: "התקפת SQL Injection: מה זה?", חושב בכנות לומר דברים ידועים לכולם ומבלי להכנס לעומק העניין...

בשבועות האחרונים נאלצתי לשנות את דעתי!

למעשה, רבים יצרו איתי קשר בבקשה לקבל הסברים והתייאשו לגבי האפשרות לבצע פיגועים דומים.

כמובן שתגיד: "אבל מאיזה כוכב הם מגיעים???!". אני לא שופט, גם בגלל אני עצמי מגלה כל יום דברים, פחות או יותר בנאליים עבור חלקם, שלא שמעתי עליהם.

השאלות העיקריות מתמקדות באפשרות האמיתית של מתקפה זו: "אתה יכול לתת לי דוגמא?", שואלים אותי...

כאן יש צורך לכתוב משהו יותר ממה שכבר נאמר במאמר הקודם שלי, לא כל כך מנקודת מבט טכנית אלא להיזכר בכמה התקפות.

ניקח לדוגמא את התיק פורסם על ידי שבוע המידע בשנת 2009. קבוצת האקרים ממוצא טורקי כנראה, m0sted, תקף את אתר האינטרנט של מפעל תחמושת של הצבא (מפעל תחמושת מקאלסטר במקאלסטר, אוקלה.) ואת האתר של מרכז ההנדסה הטרנס-אטלנטי של צבא ארה"ב, בווינצ'סטר.

לפי מה שפורסם, ההאקרים השתמשו בטכניקה של SQL Injection לנצל פגיעות במסד הנתונים של שרת SQL של ​​מיקרוסופט כדי לגשת לאתרי אינטרנט.

ברגע שהם קיבלו גישה, ההאקרים שינו כמה דפים על ידי הוספת הודעות נגד ארצות הברית וישראל.

בואו נסתכל על מקרה אחר. כמה שנים מאוחר יותר, בשנת 2011, סוני פיקטורס ספגה מתקפה דומה. כ-77 מיליון חשבונות ברשת פלייסטיישן נפגעו עבור נזק מוערך של כ-170 מיליון דולר. ההאקרים הצליחו לגשת למסד הנתונים של המשתמשים ולנתונים אישיים, כולל כרטיסי אשראי. במקרה הזה סוני האשימה אנונימי על גניבת נתוני כרטיס האשראי אך הצהיר בפומבי כי אין לו אחריות לאירוע. 

מטבע הדברים, מכיוון שמדובר ב-SQLi, המערכות בסיכון הגבוה ביותר הן אלו המשתמשות בבסיסי נתונים גדולים. מה יותר גדול ממאגרי המידע של חברות תקשורת כמו ספקי אימייל?

למעשה, בשנת 2012 הגיע תורה של Yahoo! קבוצת ההאקרים הידועה בשם D33D הוא האשם הסביר של המתקפה נגד התשתית של יאהו, כ-400.000 חשבונות נפגעו במתקפה.

יכולתי להמשיך עם דוגמאות עדכניות יותר, אבל אני חושב שמועיל יותר להזכיר לכולם שסוג ההתקפה הזה ממשיך להיות אחד הנפוצים ביותר ונראה שמתכנתים ומנהלי מסדי נתונים לא לומדים הרבה מההיסטוריה. 

כדי לתמוך במה שאני אומר אתה יכול להסתכל על הדו"ח אמון גלים של יוני 2023. בהתבסס על רשת גלובלית של "עציצי דבש" (צנצנות דבש, כלומר מטרות שווא למשיכת האקרים) הדו"ח מנתח את סוגי ההתקפות נגד מאגרי מידע בכמה מדינות רגישות (רוסיה, אוקראינה, פולין, בריטניה, סין ואיחוד האירופי). מדינות) מנסה להתמקד בשיטות ובטכניקות בהן נעשה שימוש. קריאה מעניינת לסקרנים יותר.

תודה כמו תמיד לחברים של סיינט.

להעמיק:

- https://www.itnews.com.au/news/hackers-hit-us-army-websites-146603

- https://www.informationweek.com/it-sectors/anti-u-s-hackers-infiltrate-a...

- https://www.theguardian.com/technology/2011/apr/26/playstation-network-h...

- https://www.theguardian.com/technology/blog/2011/may/05/anonymous-accuse...

- https://www.csmonitor.com/Technology/Horizons/2012/0712/Yahoo-hack-steal...

- https://siliconangle.com/2023/06/13/trustwave-report-finds-attacks-targe...

- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/honeypot...

- https://github.com/PenTestical/sqli