Анатомията на един хак




Анатомията на един хак

PCMagazine, Брой 6
Категория: Интернет , Мрежи
Етикети: хакери , SQL , хак
PC MAGAZINE
7.6.2010

Анатомията на един хак

Подробности за най-голямата кражба в историята на САЩ, извършена онлайн.

През март т.г. в света на високите технологии се говореше предимно за Apple iPad. Но в същото време в един съд в Бостън с много по-малко шум бе сложен край на най-голямото дело за кражба на самоличност в историята на Съединените щати. Съдия Дъглас Уудлок произнесе присъда на жителя на Маями Албърт Гонзалес (на 28 години) и на двама негови съучастници от руски произход. Те получиха различни присъди за затвор – от 17 до 25 години – за хакване на Heartland Payment Systems – компания, която обслужва транзакциите на доставчиците и компаниите, издатели на кредитни карти. Тримата обвиняеми са откраднали 130милиона номера на кредитни карти и по данни на обвинението са натрупали над 4 милиона долара в резултат на това свое деяние. Гонзалес и неговите съучастници са проникнали чрез хак в базите от данни, използвайки метод, наречен „SQL инжекция“ (SQL injection).

Зад хака

Много компании са изложени на опасност от хакове с SQL инжекции поради масовото разпространение на SQL

SQL (Structured Query Language) е компютърен език, разработен за по-лесно управление и разбор на огромни количества информация, съхранявани в големи бази данни. Джон Верди, главен консултант в компанията Electronic Privacy InformationCenter (EPIC), каза, че хакът със SQL инжекцията прилича много на атака чрез препълване на буфера (buffer overrun), но за разлика от нея, „при него същите действия се извършват с груба сила“. С други думи, Гонзалес просто е открил фалшивите команди, които трябва да изпрати на SQL базата данни в Хартлънд, за да получи нужната информация.

Според Моли Кроуфърд, главен юрисконсулт на Федералната комисия по търговия на САЩ, на работа в Отдела за защита на личните данни (Division of Privacy and Identity Protection), първият случай на хак с SQL инжекция, известен на комисията, е станал през 2005 година. Тогава хакер е откраднал данните на кредитна карта от един голям магазин за домашни любимци.

Доколко сериозен е проблемът с SQL инжекциите?

Какви са изводите от съпоставката на „SQL инжекцията“ с други, вече познати заплахи от интернет, като ботнетите? Г-н Верди казва, че ботнетите са по-често срещани, защото работят при нисък риск, но с по-малка полза за хакера. Повечето потребители не предоставят данни за всеки зловреден софтуер, открит от техният софтуер за защита. Поради тази причина „лошите“ остават в сянка. „Много малко вероятно е някога да бъдете хванат, че изпращате троянски кон на индивидуален потребител“, казва Верди. От друга страна, един SQL хак е много порисков, но и с по-голяма евентуална възвращаемост за хакера.

Г-н Верди твърди, че много компании са изложени на опасност от хакове с SQL инжекция заради липсата на солидни практики на защита. „Heartland Payment Systems направи нещо опасно – добавя той – Но и други компании правят такива неща.“

Има ли защита?

„Хубавото е – казва Кроуфърд – че хаковете с SQL инжекция са често срещани и сравнително лесни за предотвратяване чрез прости методи на криптиране.“ Макар че потребителите трябва много да внимават за това с кои трети компании работят доставчиците на услуги за техните кредитни карти, според Кроуфърд добре е да купуват само от доставчици, на които имат доверие. – Клой Олбънизиъс и Ерик Рий

НАЙ-ДОБРОТО ОТ ИНТЕРНЕТ

AppBrain

AppBrain е база данни, съдържаща популярни приложения за Android, които могат да се синхронизират с вашия телефон. Освен това сайтът следи приложенията, които инсталирате, и колко често ги актуализирате.

Friendgiftr

Тази уебуслуга ви дава възможност да раздавате предплатени карти за подаръци (gift cards) от над 140 търговци на дребно онлайн, като изберете магазина и след това пренасочите Friendgiftr към социалната мрежа на получателя, за да бъде доставен подаръкът.

Suite Arrival

В този сайт можете да поръчате тоалетни принадлежности и други неща, които ще ви трябват при пътуване, за да ви чакат на местоназначението, когато пристигнете.


Съдържание: