Computerworld News Service: Et SQL-angreb, der har påvirket mindst en halv million websites, kommer nu i den tredje bølge, som er mere hårdfør end tidligere versioner overfor sikkerhedsforanstaltninger, lyder det fra sikkerhedsanalytikere fra IBM.
"Jeg har fulgt SQL-injektioner i de sidste fem eller seks år. Og dette er noget af det mest komplicerede, jeg nogensinde har set," udtaler David Dewey, forskningsleder for X-Force-teknologien hos IBM's Internet Security-afdeling.
En SQL-injektion er et angreb mod et databasebaseret website, hvor hackeren udfører uautoriserede SQL-kommandoer ved at udnytte usikker kode på systemer, der er tilsluttet internettet.
Dewey taler om, at hackere denne gang gemmer sig på meget kompliceret vis bag tilsyneladende gyldige og godartede funktionaliteter.
Angrebene udvikler sig i takt med, at hackere ændrer de SQL-kommandoer, de bruger til at opnå deres mål, men resultatet er det samme.
SQL-angreb er blandt de mest almindelige internetangreb, delvist fordi en hacker ikke har brug for meget andet end en webbrowser og viden om SQL-forespørgsler.
Disse nyeste angreb er dog "ekstremt komplekse" og svære at opdage, før det er for sent, udtaler Dewey.
Hackere afsøger tilfældige IP-adresser i hele verden i en søgen efter websites, der er åbne for denne type angreb.
Mange succesrige og troværdige webbutikker påvirkes.
Websurfere, der lander på inficerede sites, bliver omdirigeret til "falske sites", der blot ser ud til at være i uorden med fejlmeddelelser og mangelfuldt indhold.
Brugerne angribes her med malware og tilføjes et voksende botnet.
Kan ikke undgåes - det går alt for hurtigt
Det sker så hurtigt, at der ikke er nogen måde at undgå det på.
"Det foregår med lysets hastighed," siger Dewey.
Han fortæller, at SQL-injektionerne så småt begyndte i januar, og at hackerne i april modificerede deres kommandoer til at undvige sikkerhedsforanstaltninger og antallet af angreb steg voldsomt.
For mindre end en uge siden fandt IBM's analytikere den seneste version, som Dewey kalder den tredje bølge.
Mens denne ny version er designet til at omgå de sikkerhedsforanstaltninger, der blev sat i stand i forbindelse med den anden bølge, så er det dog temmelig tydeligt, når et website først er blevet ramt.
"Denne her tingest prøver ikke på at være lusket. Den prøver grundlæggende at udslette alle ens databases registre og indsætte sit eget indhold i databasen," siger han.
Data slettes
Backend-data slettes, hvad enten det er kundekonti eller simple ting som blogindhold.
Autoweb, et britisk annoncerings- og markedsføringssite, der blev offer for et nyligt SQL-angreb, kom først ovenpå igen efter at have indført en række modforanstaltninger fra alt mellem at blokere de kinesiske IP-adresser, hvorfra angrebene kom, til at finde en udvikler, der evnede at rette op på en sårbarhed i virksomhedens webapplikation.
X-Forceholdet hos IBM foretog for nyligt nogle ændringer i, hvordan det opdager SQL-injektioner.
Disse ændringer gør det muligt at opdage angreb fra den seneste bølge, ifølge Dewey. Adskillige andre leverandører udgiver updates hver eneste uge for at bekæmpe problemet, bemærker han.
"Med vores beskyttelse har de ikke undsluppet os endnu - så vidt vi ved," siger han.
Oversat af Thomas Bøndergaard
