Estudo mostra que injeção de SQL e falta de criptografia de dados sensíveis facilitam a vida dos crackers.
O grupo hacker LulzSec ganhou as manchetes com seus ataques contra a Sony e o Senado dos EUA, entre outros. Mas ataques como estes são muitas vezes evitáveis, segundo um novo relatório patrocinado pelo Departamento de Segurança Interna dos EUA.
O estudo anual CWE (Avaliação de Fraquezas Comuns)/SANS Top 25 Erros Mais Perigosos de Software discute as maiores ameaças que os fabricantes de software e grandes organizações de TI enfrentam e como evitá-los. Cada ameaça é avaliada e classificada com base na sua prevalência, importância, e probabilidade de que cibercriminosos vão tentar tirar proveito dela (exploit).
Liderando a lista deste ano estão as ameaças como injeção de SQL, buffer overflow (estouro de memória), cross-site scripting, requisição forçada cross-site, e falta de criptografia em dados sensíveis. Se essas ameaças soam familiares, é porque vários desses exploits foram utilizados para roubar dados de servidores corporativos este ano.
Injeção de SQL
A injeção de SQL é um truque favorito entre os hackers e liderou o relatório CWE 2011 como a maior ameaça que as redes online enfrentam. "Para aplicações ricas em dados, a injeção de SQL é o meio para roubar as chaves do reino", diz o relatório. A idéia básica é que um cracker insere um código em um formulário on-line, como um pedindo o seu nome, endereço e assim por diante. Se as devidas precauções não forem tomadas para evitar isso, ele pode fazer o download, corromper ou alterar um banco de dados inteiro. Crackers ainda podem "roubar dados um byte de cada vez se tiverem que," de acordo com o relatório.
A injeção de SQL foi usada em ataques importantes, como os LulzSec contra a Sony Pictures e PBS, bem como na intrusão dos Anonymous na rede da empresa de segurança HBGary Federal. A técnica foi usado até para invadir o site MYSQL.com, da Oracle.
Depois de invadir a Sony Pictures, o LulzSec disse que a injeção de SQL é uma das vulnerabilidades "mais primitivas e comuns."
Falta de autorização
Essa falha permite que crackers manipulem software de uma forma que tenham acesso a dados que nunca deveriam ter sido capazes de ver. Este exploit foi usado contra o Citigroup no início de maio, quando crackers roubaram informações de de mais de 200.000 usuários de banco. Como? Alterando informações da conta pessoal "que estavam em campos na URL", diz a pesquisa. Basicamente, isso significa que quando o criminoso desembarcou em www.randombank.com/user/ account/123456, tudo o que tinha a fazer era mudar a URL para www.randombank.com/user/account/789012 para ganhar acesso a outra conta.
Dados sensíveis sem criptografia
É ruim o suficiente quando uma empresa ou organização facilita a invasão de crackers, mas fica pior quando os dados críticos, tais como senhas de contas, estão sem criptografia. O LulzSec ganhou acesso e liberou na web mais de 62.000 senhas em texto simples roubadas de várias bases de dados.
O estudo anual CWE (Avaliação de Fraquezas Comuns)/SANS Top 25 Erros Mais Perigosos de Software discute as maiores ameaças que os fabricantes de software e grandes organizações de TI enfrentam e como evitá-los. Cada ameaça é avaliada e classificada com base na sua prevalência, importância, e probabilidade de que cibercriminosos vão tentar tirar proveito dela (exploit).
Liderando a lista deste ano estão as ameaças como injeção de SQL, buffer overflow (estouro de memória), cross-site scripting, requisição forçada cross-site, e falta de criptografia em dados sensíveis. Se essas ameaças soam familiares, é porque vários desses exploits foram utilizados para roubar dados de servidores corporativos este ano.
Injeção de SQL
A injeção de SQL é um truque favorito entre os hackers e liderou o relatório CWE 2011 como a maior ameaça que as redes online enfrentam. "Para aplicações ricas em dados, a injeção de SQL é o meio para roubar as chaves do reino", diz o relatório. A idéia básica é que um cracker insere um código em um formulário on-line, como um pedindo o seu nome, endereço e assim por diante. Se as devidas precauções não forem tomadas para evitar isso, ele pode fazer o download, corromper ou alterar um banco de dados inteiro. Crackers ainda podem "roubar dados um byte de cada vez se tiverem que," de acordo com o relatório.
A injeção de SQL foi usada em ataques importantes, como os LulzSec contra a Sony Pictures e PBS, bem como na intrusão dos Anonymous na rede da empresa de segurança HBGary Federal. A técnica foi usado até para invadir o site MYSQL.com, da Oracle.
Depois de invadir a Sony Pictures, o LulzSec disse que a injeção de SQL é uma das vulnerabilidades "mais primitivas e comuns."
Falta de autorização
Essa falha permite que crackers manipulem software de uma forma que tenham acesso a dados que nunca deveriam ter sido capazes de ver. Este exploit foi usado contra o Citigroup no início de maio, quando crackers roubaram informações de de mais de 200.000 usuários de banco. Como? Alterando informações da conta pessoal "que estavam em campos na URL", diz a pesquisa. Basicamente, isso significa que quando o criminoso desembarcou em www.randombank.com/user/ account/123456, tudo o que tinha a fazer era mudar a URL para www.randombank.com/user/account/789012 para ganhar acesso a outra conta.
Dados sensíveis sem criptografia
É ruim o suficiente quando uma empresa ou organização facilita a invasão de crackers, mas fica pior quando os dados críticos, tais como senhas de contas, estão sem criptografia. O LulzSec ganhou acesso e liberou na web mais de 62.000 senhas em texto simples roubadas de várias bases de dados.
Nenhum comentário:
Postar um comentário