• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Pavel Stěhule: SQL injektáž může firmu připravit o celý byznys

Karel Wolf
26. 2. 2010
| Články

Nešvarem dnešní doby je trend programovat rychle a efektivně na úkor kvality. Na riziku SQL injektáže komerčních aplikací, jednoho z největších bezpečnostních strašáků dnešní doby, se tak stejnou měrou podílejí pohodlní programátoři i manažeři, říká Pavel Stěhule, IT expert pracující v Laboratořích CZ.NIC, výzkumném a vývojovém centru správce české národní domény .CZ.

O SQL injektáži se v poslední době hodně mluví, ale povědomí o principech útoku a hlavně jeho rizicích trochu pokulhávají. Jaké jsou vůbec základní druhy ohrožení, které SQL injektáž do byznysu přináší?

Základní riziko pro firmy je, a to si řada manažerů dosud nejspíše neuvědomuje, ztráta samotného byznysu. Z pohledu uživatele je to pak ztráta, nebo zveřejnění citlivých (např. osobních) dat, nebo rovnou peněz. Když se to pokusím rozvést, tak firma průnikem do svých databází může přijít o svá data, v trochu méně katastrofické variantě pak o know-how a důvěru. Ztráta důvěry je přitom riziko, které není radno podceňovat. Určitě by bylo zajímavé zjistit, nakolik například otřásly úspěšné útoky na levné webhostingové služby jejich zákaznickými základnami. Ale nejde jen o hostingové služby. Pokud by se stala nedůvěryhodnou například e-mailová služba Seznamu nebo Google, většina uživatelů odejde a vzhledem k oblíbenosti služby to ohrozí celý byznys této velké společnosti.

Pavel Stehule
Pavel Stěhule je IT expert
pracující v Laboratořích CZ.NIC,
výzkumném a vývojovém centru
správce české národní domény.

Dalším dobrým příkladem jsou e-shopy. Ještě dříve, než jsem se začal problematikou SQL injektáže více zabývat, tak jsem třeba nevěnoval takovou pozornost tomu, komu svěřuji svoje kontaktní údaje, natož pak číslo karty. Dnes si již vybírám daleko obezřetněji. Jinými slovy, nízko-nákladový obchod se vám ve finále může docela prodražit.

Trochu problém je v tom, že já jakožto běžný uživatel nemám informace, jak moc dobře zabezpečený daný obchod je. Velký i malý obchod může mít stejné bezpečnostní nedostatky. Typickou chybou je například to, když ukládá do databáze informace o platbách, namísto toho, že je hned zahodí, nebo pošle dál.

Mediálně známé případy z Ameriky ukázaly, že je riziko poměrně vysoké a obchody, které útokům neodolaly, na čas ohrozily důvěru v celý trh a snížily obraty. Osobně raději upřednostňuji ty větší, kde si myslím, že je pravděpodobnost rizika přece jenom o něco menší.

Představují větší riziko vendor lock-in aplikace, nebo Open-source? Pokud tedy vůbec lze podobnou otázku zodpovědět.

Metoda SQL injektáže je z principu použitelná, ať zdrojové kódy znáte, nebo ne. To je věc, která je mimo diskuzi. Pokud ovšem toto hledisko vynecháme, tak si myslím, že bude rizikovější spíše uzavřený software. Je to z toho důvodu, že masivně používaný Open-source software, jako například WordPress, prošel a neustále prochází masivním uživatelským testováním a pokud zde díra je, tak je zpravidla rychle odhalena. U E-shopu, který napsala soukromá společnost , je situace opačná, čímž riziko vzrůstá. Ani u velice dobře známého kódu vám ovšem nepomůže, pokud ho nepoužíváte správně.

Měl jsem za to, že útočníky často láká právě to množství instancí, ve kterých ony „velmi dobře známé kódy“ běží. Jak to tedy je?

Pokud máte na mysli automaty, které zkouší prolomit vstupy do CMS systémů jako je již zmíněný WordPress, Drupal a další, nebo třeba Wikipedia, pak ano. Jenže problém není ani tak u originálního kódu, který podléhá častým aktualizacím a chyby se v něm neohřejí příliš dlouho, jako jeho derivátům. Pokud si vezmete původní software, ten přepíšete, tím pádem se odříznete od aktualizací, pak se stáváte velmi zranitelní vůči všem chybám, na které se mezi tím přišlo a u vás nejsou upravené.

Jaké typy aplikací bývají napadány nejčastěji?

Pokud jde o napadnutelnost, tak je to prakticky vše, co využívá nějakou SQL databázi. Před lety tato zranitelnost v systému Windows NT ohrozila velkou část byznysu software Microsoftu. Když se ale zaměříme na motivaci, pak nejvíce útočníky lákají osobní údaje, nebo data, ze kterých se dá finančně profitovat. Velmi žádanou komoditou na černém trhu jsou například čísla kreditních karet.

Velkým rizikem nízkonákladových hostingových služeb je například již to, že zpravidla z důvodu šetření nákladů nepoužívají skutečné virtualizované servery, ale pouze virtualizovaný webserver (nejčastěji Apache). To má za následek, že se skrz kteroukoli jednu napadnutelnou aplikaci dostanete ke všem zbývajícím i když jsou ošetřené. Následně můžete vesele instalovat viry, rozesílat červy, nahlížet do databáze.

Již několikrát jsem se setkal s názorem, že jsou některé dražší databáze proti injektáži imunní. Jaká je realita?

Dražší databáze vám riziko SQL injektáže rozhodně nesníží. Problém je na aplikační úrovni. Nicméně, při nevhodně nakonfigurované databázi, lze skrz SQL injektáž zaútočit na hostitelský operační systém. Většina moderních databází má nějakou funkcionalitu, která dokáže volat funkce systému. Když nad touto funkcionalitou získáte kontrolu, můžete přepisovat data v souborovém systému. Pak stačí, abych si upravil třeba PHP kód nějaké aplikace, která na serveru běží a svůj útok zkombinoval například s rozesíláním virů a máte tu hrozbu jako hrom.

Jaké bývají nejčastější cíle SQL útoků a jak velká je hrozba ve srovnání s jinými bezpečnostními riziky.

Bohužel ani jednu otázku nelze uspokojivě zodpovědět, protože na povrch vyplave jen malé procento útoků. Zajímavé by bylo zjistit, kolik například bylo úspěšně napadeno bankovních systémů, ani jedna strana útoku vám to ale dobrovolně nejspíš neřekne.

Atraktivním cílem útoků jsou systémy, kde se lze dostat k osobním údajům, respektive jednoznačně identifikovatelným řetězcům, jako jsou třeba čísla kreditních karet. Pokud by se čistě hypoteticky někdo naboural do databází Google, bude mít najednou k dispozici tolik údajů, že je bez opravdu velkého zázemí pravděpodobně nedokáže efektivně zpracovat. Pokud se však zaměří na řetězce, jako je číslo kreditní karty, nebo čísla účtů může být jeho dataminig úspěšný. Samozřejmě jeho cílem může být také třeba jen poškodit renomé společnosti, pak si může gratulovat.

Jaký vliv má na SQL injektáž použitá architektura? Nebude riziko injektáží s příchodem Cloud computingu rapidně narůstat?

Na riziko injektáže nemá architektura vliv. U cloudu je samozřejmě riziko, které je spojeno s tím, že je to něco nového. Programátoři, kteří s nimi přicházejí do styku tudíž nemusí mít dostatek zkušeností, aby se uvědomili některá elementární rizika a dostaly se jim pod kůži správné pracovní návyky.

Pokud jsem to teď správně pochopil základní chyba je tedy v programátorech.

Stoprocentně, ale pozor, chyba je stejnou měrou i v manažerech, kteří nejsou schopní si uvědomit správné priority. Hlavním cílem IT posledních let se stala produktivita za každou cenu. Tedy pracovat levně a rychle. Úplně zde chybí například jistá sebekázeň, sebekontrola, profesionální hrdost. To je potřeba změnit, jinak se nepohneme dále.

Běžně se programátoři zapojují do komerčního vývoje bez potřebných zkušeností a znalostí – k čemuž jsou pobízeni, případně nuceni svými manažéry. Levná pracovní síla, která se učí za provozu , není v tomto oboru řešením.

Jaká je tedy ideální prevence? Co byste poradil ať již programátorům, nebo firmám?

Ideální prevence je zaměstnávat lidi, kteří o riziku SQL injektáže vědí, rozumí mu a nepodceňují je. A když již máte existující kód, tak pak důkladná revize kódu. Vývoj se tím prodlouží a tím pádem stoupnou náklady, ale dlouhodobá návratnost, která se odrazí například v pověsti stabilní bezpečné aplikace, je k nezaplacení. Navíc ušetříte na opravách kódu později. Další možností jsou penetrační testy. Riziko tu spočívá trochu v tom, že pokud je test neúspěšný, tak jste sice utratili balík peněz, ale nezjistili prakticky nic.

Když už se firma rozhodne k revizi kódu, co může udělat proto, aby si mohla být jistá, že výsledkem bude skutečně maximálně bezpečný kód?

V podstatě stačí používat API, které je bezpečné. Jedná se o takzvané „prepared statements“ a „parametrizated queries. Jakékoli jiné API by mělo být striktně odmítáno. Programátoři vás například mohou přesvědčovat, že mají kontrolované vstupy (například zakázali určité řetězce či znaky). Jenže v takovém případě nikdy nevíte, jestli někdo kombinací vstupů na různých úrovních přeci jen nemůže hacker v součtu dosáhnout stejného výsledku, jako kdyby do formuláře zadal najednou celý kód. Jediná bezpečná cesta je tedy použití statického SQL.

Můžete ještě na závěr popsat, jak takový typický útok vypadá?

Cracker si zpravidla vezme automat s databázi, kde má připravené fragmenty kódu a následně zkouší pro jednotlivá URL, na kterých se nalézají vytipované aplikace, jednotlivé dotazy. Jedná se zpravidla skutečně o crackery, málokdy se do útoků pouštějí programátoři, kteří problematice skutečně rozumí. Riziko právního postihu je příliš velké. Tito lidé ale mohou připravovat automaty pro SQL útoky, které pak prodávají kriminálním živlům, kteří je nasadí do reálného provozu. Jde o to, že psaním kódu se žádnému riziku právního postihu nevystavují (zatím a zde v Evropě). Naopak profesionálním podvodníkům je riziko lhostejné, pokud přináší adekvátní finanční návratnost.

Děkuji za rozhovor.

Rubriky: HardwareInternetRozhovorySecurity

Související příspěvky

Hosting v karanténě – zvláštní služby datacenter
Zprávičky

Huawei na fóru v Mnichově představil nový koncept ukládání dat

20. 5. 2022
Hewlett Packard Enterprise v Česku staví nový výrobní závod na superpočítače
Články

Hewlett Packard Enterprise v Česku staví nový výrobní závod na superpočítače

20. 5. 2022
Swift 3 OLED s procesory Intel Core řady H 12. generace
Zprávičky

Swift 3 OLED s procesory Intel Core řady H 12. generace

20. 5. 2022
Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení
Zprávičky

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

20. 5. 2022

Zprávičky

Hosting v karanténě – zvláštní služby datacenter

Huawei na fóru v Mnichově představil nový koncept ukládání dat

Pavel Houser
20. 5. 2022

Dochází ke zvětšování nepoměru životního cyklu mezi výpočetní a datovou infrastrukturou. Množství dat celosvětově velmi

Swift 3 OLED s procesory Intel Core řady H 12. generace

Swift 3 OLED s procesory Intel Core řady H 12. generace

Pavel Houser
20. 5. 2022

Na trh přichází také nové konvertibilní notebooky Acer Spin 5 a Acer Spin 3.

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

Pavel Houser
20. 5. 2022

Zákazníci mohou využívat odhady hodnoty v reálném čase, aby mohli své vybavení maximálně využít

Microsoft po pokutě mění fungování svého cloudu

ČTK
19. 5. 2022

Americká softwarová společnosti Microsoft, které evropské úřady pro kontrolu hospodářské soutěže udělily pokutu 1,6

MPSV bude mít v červnu či červenci výsledky analýzy k řešení problémů s IT

ČTK
19. 5. 2022

Ministerstvo práce by mělo mít v červnu či červenci jasno, jak bude dál řešit

ČTÚ připraví podmínky pro výběrové řízení na další sítě pro digitální rozhlas

Pavel Houser
19. 5. 2022

ČTÚ letos nachystá podmínky pro výběrové řízení na provozovatele sítí pro vysílání DAB+, tedy

Ruská pobočka Googlu vyhlásí bankrot

ČTK
18. 5. 2022

Ruská součást americké internetové společnosti Google vyhlásí bankrot. Oznámil to dnes mluvčí firmy. Korigoval

Acronis: přes rostoucí útoky jen čtvrtina IT správců testuje obnovu dat alespoň jednou měsíčně

Pavel Houser
18. 5. 2022

I když více než 90 % administrátorů zálohuje u svých zákazníků minimálně jednou denně,

Tiskové zprávy

Memsource: český start up s globálním významem má nového CEO

Huawei pořádá Summit digitálních talentů

Nový výzkum naznačuje, že poskytování kompletní digitální zkušenosti zaměstnanců je na hybridním pracovišti zásadní

Infor pomohl DBK David + Bader obnovit provoz po kybernetickém útoku

Společnost Acer uvádí na trh prémiový konvertibilní Chromebook a Chromebook Tablet

Predator Helios 300 SpatialLabs Edition přináší nový rozměr hraní her

Zpráva dne

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Redakce
15. 5. 2022

Zdaleka ne každý má stovky dolarů, které by chtěl utratit za softwarové upgrady svého...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Datová hydrologie?

Pavel Houser
11. 4. 2022

Po datových skladech přišla datová jezera, následují datové proudy a datové oceány. Tyto technologie alespoň představuje...

Nadcházející akce

  1. Hannover Messe 2022

    30. května - 2. června

Zobrazit všechny Akce

Slovník

DTMF

ABC ČR

IEP

Nejpopulárnější články

Ransomwarový útok stojí české oběti 8,25 milionu korun

Ransomware zasáhl 77 % českých organizací

Redakce
29. 4. 2022

Hrátky s magnetickými víry

Excitony mohou proudit materiálem i při pokojové teplotě

Pavel Houser
2. 5. 2022

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

itbiz
25. 4. 2022

Hrozbám v 1. čtvrtletí dominovala kybernetická válka mezi Ukrajinou a Ruskem

Redakce
6. 5. 2022

Technologické predikce, aneb sedm statečných roku 2021

Objev jednosměrné supravodivosti bez magnetického pole slibuje revoluci

Pavel Houser
4. 5. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události byz Byznys Cloud Ekomerce Hardware inter Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Neuvěřitelná molekula: Z atomů uhlíku sestavili Möbiovu pásku
  • Astrofotografie měsíce: Carina a sopka
  • Symetrie a krása v moderní fyzice

RSS AbcLinuxu RSS

  • Uncurled: zkušenosti s dlouhodobou správou open-source projektu (curl)
  • Erlang/OTP 25.0
  • Deno 1.22

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.