domenica 10 marzo 2024

SQL Injection: sempre attuale nonostante l'età

image

Qualche settimana fa ho pubblicato un articolo dal titolo: "Attacco SQL Injection: di che si tratta?",  pensando sinceramente di dire cose note a tutti e senza andare quindi troppo a fondo nella materia. 

In queste settimane mi sono dovuto ricredere!

Sono stati infatti in tanti a contattarmi chiedendo spiegazioni e increduli sulla possibilità di effettuare attacchi simili.

Certo direte: "Ma da quale pianeta arrivano!?!". Non sto a giudicare, anche perchè io stesso scopro ogni giorno cose, più o meno banali per alcuni, di cui io non avevo sentito parlare.

Le domande principali vertono sulla reale possibilità di questo attacco: "Mi fai un esempio?", mi domandano...

Ecco allora l'esigenza di scrivere qualcosa di più rispetto a quanto già detto nel mio precedente articolo, non tanto dal punto di vista tecnico ma ricordando qualche attacco.

Prendiamo per esempio il caso reso pubblico da Information Week nel 2009. Un gruppo hacker di probabile origine turca, m0sted, attaccò il sito web di una fabbrica di munizioni dell'esercito (McAlester Ammunition Plant in McAlester, Okla.) ed il sito web dello U.S. Army Corps of Engineers Transatlantic Center, in Winchester.  

Secondo quanto reso pubblico, gli hacker utilizzarono la tecnica di SQL Injection per sfruttare una vulnerabilità del database del server SQL di Microsoft per accedere ai siti web.

Una volta guadagnato l'accesso gli hacker hanno modificato alcune pagine inserendo dei messaggi contro gli Stati Uniti e Israele.

Vediamo un altro caso. Qualche anno dopo, nel 2011, la Sony Pictures ha subito un attacco simile. Circa 77 milioni di account della rete di PlayStation furono compromessi per un danno stimato in circa 170 milioni di dollari. Gli hacker riuscirono ad accedere al database degli utenti e ai dati personali, comprese le carte di credito. In quel caso la Sony accusò Anonymous del furto dei dati delle carte di credito che però affermò pubblicamente di non avere alcuna responsabilità in merito all'accaduto. 

Naturalmente trattandosi di SQLi i sistemi più a rischio sono quelli che impiegano grossi database. Cosa c'è di più grosso dei database delle società di comunicazione come i gestori della posta elettronica?

Ecco infatti che nel 2012 è la volta di Yahoo! Il gruppo hacker conosciuto come D33D è il probabile colpevole dell'attacco contro l'infrastruttura di Yahoo, nell'attacco furono compromessi circa 400 mila account.

Potrei continuare con esempi più recenti ma credo sia più utile ricordare a tutti che questo tipo di attacco continua ad essere uno dei più usati e sembra che programmatori e amministratori di data base non imparino molto dalla storia. 

A supporto di quanto dico potete dare uno sguardo al report di Trustwave del giugno 2023. Basato su una rete globale di honeypot (barattoli di miele, si intende falsi obiettivi per attirare gli hacker) il report analizza i tipi di attacchi contro database in alcuni paesi sensibili (Russia, Ucraina, Polonia, UK, Cina e Stati Uniti) cercando di mettere a fuoco metodi e tecniche usate. Lettura interessante per i più curiosi.

Grazie come sempre agli amici di Sicynt.

Alessandro Rugolo

Per approfondire:

- https://www.itnews.com.au/news/hackers-hit-us-army-websites-146603

- https://www.informationweek.com/it-sectors/anti-u-s-hackers-infiltrate-army-servers#close-modal

- https://www.theguardian.com/technology/2011/apr/26/playstation-network-hackers-data

- https://www.theguardian.com/technology/blog/2011/may/05/anonymous-accuses-sony-hack-playstation-network

- https://www.csmonitor.com/Technology/Horizons/2012/0712/Yahoo-hack-steals-400-000-passwords.-Is-yours-on-the-list

- https://siliconangle.com/2023/06/13/trustwave-report-finds-attacks-targeting-ms-sql-skyrocketing/

- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/honeypot-recon-global-database-threat-landscape/

- https://github.com/PenTestical/sqli

Nessun commento:

Posta un commento