Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 30. juni 2011

Angrep mot web-servere, SQL Injection og gjenbruk av passord

De siste ukene har det vært mange angrep mot web-servere der informasjon fra bakenforliggende databaser har blitt lastet ned og siden blitt publisert på nettet. Dette har ført til at flere store firmaer har mistet intern informasjon og også informasjon om sine brukere, som brukernavn, passord og kredittkortinformasjon.

Vi ser en trend av angrep, blant annet mot mot firmaer som Sony, Fox og PBS. Angriperne kommer seg gjerne inn i systemene ved hjelp av svakheter i web-serverne, først og fremst SQL-injection, eller ved å logge seg inn med brukernavn og passord som de har stjålet fra innbrudd mot andre tjenester.

I Norge ble det i dag meldt om at web-sidene til Statoil i Norge, Sverige og Finland også har blitt utsatt for uønsket aktivitet: http://www.statoilfuelretail.com/en/newsandmedia/news/Pages/HuginPressRelease_1527060.aspx. Dette viser at norske selskaper heller ikke slipper unne den uønskede aktiviteten.

Noen som utgir seg for å  være angriperen postet den 23. juni informasjon fra Statoils interne SQL-server på følgende adresse: http://pastebin.com/aniYpbUj.  

Beskytt deg
Hva kan en så gjøre for å beskytte seg mot denne typen angrep? DHS, CWE og SANS i USA slapp for få dager siden dette årets utgave av "Top 25 Most Dangerous Software Errors". Alle som har ansvaret for en web-server som "almenheten" har tilgang til bør sjekke denne opp mot de vanligste feilene fra listen over. Koden til web-serveren bør gjennomgås og en praktisk test mot systemer bør også gjennomføres for å se om sikkerheten er på riktig nivå. Det er viktig at utvikling av kode blir gjort med hensyn på sikkerhet: http://www.cert.org/secure-coding/

Når det gjelder direkte angrep mot web-serverne er det særlig metoden "SQL-Injection" som benyttes. Denne svakheten ligger også på toppen av listen over svakheter nevnt over. Når en web-server skal presentere en web-side til en sluttbruker, hentes gjerne dataene til siden fra en database-server som ikke sluttbrukeren har direkte tilgang til. Det er web-serveren som sørger for bare å servere de dataene som brukeren faktisk skal ha. Ved å "injisere" SQL-kode i web-forespørslene, kan en angriper noen ganger få direkte tilgang til den bakenforliggende database-serveren. For å unngå denne typen angrep er det viktig å filtrere bort alle spesialtegn og SQL-kode fra forespørslene som kommer inn fra sluttbrukernes web-browsere.

Sett sikre passord
Et annet punkt på listen det ofte syndes mot, og som kan få store konsekvenser dersom uhellet først er ute, er punkt nr 8 og 25, manglende eller dårlig beskyttelse av brukernes passord. Brukernes passord bør aldri lagres i klartekst og beskyttes av gode hash-funksjoner med salt (ekstra tilfeldige data i tillegg til selve passordet).

Den siste tids hendelser med storslipp av brukernavn og passord setter også fokus på at mange brukere benytter det samme passordet på mange forskjellige tjenester. Lekkasje av brukernavn og passord fra én uviktig tjeneste, kan dermed føre til at angriperne får tilgang til viktigere tjenester som for eksempel PayPal, e-post eller bedriftens web-publiserings-system.

Vi foreslår at alle før ferien setter seg ned og lager lange og unike passord for de tjenestene på Internett som betyr mest for dem. Ha en sikker sommer!

 
>