211service.com
El peligro en las fallas de las bases de datos web
La semana pasada, los fiscales federales acusó a Albert González , un hombre ya acusado de robar casi 100 millones de cuentas de tarjetas de crédito y débito del minorista TJX, por presuntamente trabajar con otras tres personas para piratear otras cinco empresas. González y sus secuaces supuestamente robaron al menos 130 millones de cuentas de tarjetas de crédito y débito adicionales.
En cada caso, el compromiso inicial fue a través del sitio web de la víctima utilizando una técnica, conocida como inyección SQL, de la que rara vez se habla fuera de los círculos de seguridad informática.
El ataque aprovecha los componentes del sitio web que permiten la entrada del usuario, como los cuadros de búsqueda y las páginas de inicio de sesión. Si la aplicación web no verifica adecuadamente la validez de la cadena de caracteres, un atacante puede ingresar una cadena con formato especial que, cuando se procese, se convertirá en un comando de base de datos. Dado que la mayoría de las bases de datos web utilizan el lenguaje de consulta estructurado, o SQL, el ataque se conoce como inyección SQL.
Es una amenaza de nivel medio que el resto de la industria ha ignorado durante tanto tiempo, que los atacantes se han dado cuenta de que es un campo abierto, dice Dan Holden, gerente de producto del equipo de investigación de vulnerabilidades X-Force de IBM.
Debido a que los desarrolladores web no suelen ser programadores, y a la mayoría de los programadores no se les enseñan adecuadamente las prácticas de seguridad, las aplicaciones en línea están plagadas de fallas de inyección SQL.
Big Blue ha visto duplicarse el número de ataques de inyección SQL desde el primer al segundo trimestre de 2009. En los últimos años, las vulnerabilidades que permiten que ocurra la inyección SQL han ocupado uno de los tres primeros lugares en la lista anual de fallas. El año pasado, alrededor del 20 por ciento de las 5.600 vulnerabilidades ingresaron al Base de datos nacional de vulnerabilidad estaban relacionados con la inyección SQL.
Los desarrolladores están trabajando en lenguajes de programación de alto nivel y simplemente no se les enseña a lidiar con las vulnerabilidades, dice Holden. Los errores y las vulnerabilidades ocurren porque las personas cometen errores y son las personas las que programan las aplicaciones.
Subrayando el peligro, la empresa de seguridad ScanSafe anunció esta semana que había encontrado cerca de 100.000 páginas web que habían sido comprometidas mediante un ataque de inyección SQL para incluir código malicioso.
Es como si hubiera llegado a la pubertad, dice Holden. La inyección SQL ha comenzado a cobrar fuerza.