Технологии безопасности

Сайт посвященный вопросам безопасности

SQL-инъекции за 15 минут

Возможно, многие хактивисты Anonymous — это дети до 13 лет, которые просто научились нажимать кнопки в определённых программах. По крайней мере, нынешние «хакерские инструменты» настолько просты, что освоить их способен даже ребёнок, пишет Forbes в статье «Теперь каждый может хакнуть сайт благодаря умным бесплатным программам».

Один из специалистов по безопасности, опрошенных изданием Forbes, сказал, что ему понадобилось всего 15 минут, чтобы научить своего 11-летнего сына осуществлять SQL-инъекции. Как известно, SQL-инъекции являются одним из популярных хакерских приёмов, в том числе используется хактивистами Anonymous.

Раньше SQLi осуществлялись вручную и требовали определённых навыков, но теперь появились программы вроде Havij и sqlmap, которые доводят процесс практически до автоматизма и доступны даже ребёнку.

Как результат, увеличивается количество хакеров, говорят специалисты. Утилиты очень широко известны. К примеру, та же Havij была создана всего год назад, но уже стала одним из самых популярных инструментов для автоматизации SQLi атак, включая воровство паролей, email-адресов, номеров кредитных карт и других данных. По информации исследовательской компании Imperva, около 88% всех SQL-инъекций в январе-марте текущего года было осуществлено с помощью Havij или sqlmap.

Например, в прошлом году хакерская группа LulzSec попала в заголовки новостей благодаря взлому PBS и публикации фальшивой статьи во встроенной системе управления контентом этого СМИ. Позже они рассказали, каким образом был осуществлён взлом — оказалось, всё очень просто, использовалась та же программа Havij.

Аналогично, из судебных документов по делу члена хакерской группировки CabinCr3w, которого пытались осудить за кражу конфиденциальной информации о 500 полицейских Солт-Лейк-Сити, известно, что он использовал «автоматизированный скрипт», то есть Havij или sqlmap.

Хактивисты Anonymous также использовали Havij в (неудачной) попытке похитить приватные данные из Ватикана в прошлом августе.

Любой может свободно скачать программу Havij и ввести URL сайта, с которого нужно снять конфиденциальные данные. Программа имеет удобный графический интерфейс, так что освоить её довольно просто. Sqlmap позиционируется как инструмент для тестирования безопасности и работает через командную строку, так что здесь всё-таки нужны некие начальные навыки, но при этом Sqlmap всё равно сильно автоматизирует процесс.

Изначально злоумышленники могут не знать, взломан сайт или нет, но и для этого существуют простые программы Acunetix и Nikto. Первая позиционируется как коммерческий инструмент тестирования сайтов на уязвимости, для неё есть бесплатная версия, а Nikto — вообще open source.

Специалисты по безопасности предупреждают, что Anonymous всё чаще прибегают к воровству конфиденциальной информации вместо использовавшегося раньше DDoS. Дело в том, что сейчас DDoS не привлекает столько внимания прессы, как утечка приватной информации, так что именно утечка является самым болезненным ударом, если вы хотите нанести жертве максимальный урон.