SQL-injectie

Cybercriminelen gebruiken SQL-injecties om kwetsbaarheden in software in webapplicaties uit te buiten en ongeautoriseerde toegang te krijgen tot uw gevoelige en waardevolle gegevens.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Wat is een SQL-injectieaanval?

u weten misschien niet wat een SQL-injectieaanval (SQLI) is of hoe het werkt, maar u kent zeker de slachtoffers. Target, Yahoo, Zappos, Equifax, Epic Games, TalkTalk, LinkedIn en Sony Pictures - al deze bedrijven werden gehackt door cybercriminelen met behulp van SQL-injecties.

Een SQLI is een type aanval waarbij cybercriminelen softwarekwetsbaarheden in webapplicaties misbruiken om gegevens te stelen, te verwijderen of te wijzigen, of om administratieve controle te krijgen over de systemen waarop de getroffen applicaties draaien.

Onderzoekers op het gebied van cyberbeveiliging beschouwen SQLI als een van de minst geraffineerde, eenvoudig te verdedigen cyberbedreigingen. Malwarebytes Labs plaatste SQLI op nummer drie in de The Top 5 Dumbest Cyber Threats that Work Anyway, onder vermelding van het feit dat SQLI een bekende, voorspelbare aanval is met eenvoudig te implementeren tegenmaatregelen.

SQLI-aanvallen zijn zelfs zo eenvoudig dat aanvallers kwetsbare websites kunnen vinden met behulp van advanced Google-zoekopdrachten, Google Dorking genaamd. Zodra ze een geschikt doelwit hebben gevonden, kunnen SQLI-aanvallers geautomatiseerde programma's gebruiken om de aanval effectief voor hen uit te voeren. Het enige wat ze hoeven te doen is de URL van de doelsite invoeren en kijken hoe de gestolen gegevens binnenrollen.

En toch zijn SQLI-aanvallen aan de orde van de dag. Sterker nog, als u een website of online bedrijf heeft, hebben cybercriminelen waarschijnlijk al geprobeerd om via SQL-injectie in te breken op uw website. Uit een onderzoek van het Ponemon Institute over The SQL Injection Threat & Recent Retail Breaches bleek dat 65% van de onderzochte bedrijven slachtoffer was van een SQLI-gebaseerde aanval.

Vaak aangevallen webapplicaties zijn onder andere social media sites, online retailers en universiteiten. Kleine tot middelgrote bedrijven zijn vooral kwetsbaar omdat ze vaak niet bekend zijn met de technieken die cybercriminelen gebruiken bij een SQLI-aanval en ook niet weten hoe ze zich tegen zo'n aanval moeten verdedigen.

Laten we daarom de eerste stap zetten in de verdediging tegen een SQL-injectie door onszelf te informeren over het onderwerp. Hier is uw inleiding op SQL-injecties.

"Een SQLI is een type aanval waarbij cybercriminelen softwarekwetsbaarheden in webapplicaties misbruiken om gegevens te stelen, te verwijderen of te wijzigen, of om administratieve controle te krijgen over de systemen waarop de getroffen applicaties draaien."

Hoe werkt een SQL-injectie?

SQL (kort voor structured query language) werd ontwikkeld in de vroege jaren 70 en is een van de oudste programmeertalen die vandaag de dag nog steeds wordt gebruikt voor het beheren van online databases. Deze databases bevatten zaken als prijzen en voorraadniveaus voor online winkelsites. Wanneer een gebruiker database-informatie nodig heeft, wordt SQL gebruikt om die gegevens te openen en aan de gebruiker te presenteren. Maar deze databases kunnen ook gevoeligere en waardevollere gegevens bevatten, zoals gebruikersnamen en wachtwoorden, creditcardgegevens en sofinummers. Dit is waar SQL-injecties om de hoek komen kijken.

Simpel gezegd is er sprake van een SQL-injectie wanneer criminele hackers kwaadaardige opdrachten invoeren in webformulieren, zoals het zoekveld, inlogveld of URL, van een onbeveiligde website om ongeautoriseerde toegang te krijgen tot gevoelige en waardevolle gegevens.

Hier is een voorbeeld. Stel je voor dat je naar uw favoriete online kledingsite gaat. uU bent aan het winkelen voor sokken en u'kijkt naar een Technicolor wereld van kleurrijke sokken, allemaal verkrijgbaar met een klik van uw muis. De wonderen van de technologie! Elke sok u die u ziet, bestaat ergens in een database op een server. Wanneer u een sok u vindt en op die sok klikt, stuurt u'een verzoek naar de sokkendatabase en de winkelsite antwoordt met de informatie over de sok u waarop is geklikt. Stel je nu voor dat uw favoriete online shopping website op een slordige manier is gebouwd, vol met SQL kwetsbaarheden die misbruikt kunnen worden.

Een cybercrimineel kan databasequery's zo manipuleren dat een verzoek om informatie over een paar sokken het creditcardnummer van een ongelukkige klant oplevert. Door dit proces keer op keer te herhalen, kan een cybercrimineel de diepten van de database induiken en gevoelige informatie stelen over elke klant die ooit heeft gewinkeld bij uw favoriete online kledingsite - inclusief u. Als we het gedachte-experiment nog verder doorvoeren, stellen we ons voor dat ude eigenaar is van deze kledingsite. u uw heeft te maken met een enorm datalek.

Eén SQLI-aanval kan cybercriminelen persoonlijke informatie, e-mails, logins, creditcardnummers en sofinummers van miljoenen consumenten opleveren. Cybercriminelen kunnen deze persoonlijke informatie vervolgens weer verkopen in de meest duistere hoeken van het dark web, om te worden gebruikt voor allerlei illegale doeleinden.

Gestolen e-mails kunnen worden gebruikt voor phishing- en malspamaanvallen. Malspamaanvallen kunnen op hun beurt worden gebruikt om slachtoffers te infecteren met allerlei destructieve malware, zoals ransomware, adware, cryptojackers en Trojaanse paarden (bijv. Emotet), om er maar een paar te noemen. Gestolen telefoonnummers voor Android en iOS mobiele apparaten kunnen het doelwit zijn van robocalls en sms-spam.

Gestolen logins van sociale netwerksites kunnen zelfs worden gebruikt om berichtspam te versturen en nog meer logins voor andere sites te stelen. Malwarebytes Labs Eerder rapporteerden we over gehackte LinkedIn accounts die werden gebruikt om andere gebruikers te spammen met InMail berichten die slechte URL's bevatten die gespoofed waren, of vervalst, om op een Google Docs inlogpagina te lijken waarmee cybercriminelen Google gebruikersnamen en wachtwoorden konden stelen.

"Een cybercrimineel kan databasequery's zo manipuleren dat een verzoek om informatie over een paar sokken het creditcardnummer van een ongelukkige klant oplevert."

Wat is de geschiedenis van SQL-injecties?

De SQL-injectie-exploit werd voor het eerst gedocumenteerd in 1998 door cyberbeveiligingsonderzoeker en hacker Jeff Forristal. Zijn bevindingen werden gepubliceerd in het langlopende hackerzine Phrack. Forristal, die schreef onder de naam Rain Forest Puppy, legde uit hoe iemand met eenvoudige coderingsvaardigheden ongeautoriseerde SQL-commando's kon toevoegen aan legitieme SQL-commando's en zo gevoelige informatie uit de database van een onbeveiligde website kon halen.

Toen Forristal Microsoft op de hoogte bracht van de gevolgen van de kwetsbaarheid voor hun populaire SQL Server-product, zagen ze het niet als een probleem. Zoals Forristal het verwoordde: "Volgens hen [Microsoft] is wat u'op het punt staat te lezen geen probleem, dus maak je geen zorgen om iets te doen om het te stoppen."

Wat Microsofts lakse reactie zo schokkend maakt, is dat veel industrieën en instellingen (toen en nu) ernstig afhankelijk waren van de databasebeheertechnologie van het bedrijf om hun activiteiten draaiende te houden, waaronder de detailhandel, het onderwijs, de gezondheidszorg, het bankwezen en human resources. Dit leidt ons naar de volgende gebeurtenis in de tijdlijn van de SQLI geschiedenis - de eerste grote SQLI aanval.

In 2007 werd de grootste winkelketen in de Verenigde Staten, 7-Eleven, het slachtoffer van een SQLI-aanval. De Russische hackers gebruikten SQL-injecties om de website van 7-Eleven te hacken en zo in de betaalkaartdatabase van de gemakswinkel te komen. Hierdoor konden de hackers geld opnemen in Rusland. Alles bij elkaar hebben de daders twee miljoen dollar buitgemaakt, zoals het tijdschrift Wired meldde.

Niet alle SQLI-aanvallen zijn ingegeven door hebzucht. In een ander opmerkelijk voorbeeld uit 2007 gebruikten cybercriminelen SQLI om administratieve controle te krijgen over twee websites van het Amerikaanse leger en bezoekers om te leiden naar websites met anti-Amerikaanse en anti-Israëlische propaganda.

Het datalek bij MySpace in 2008 geldt als een van de grootste aanvallen op een consumentenwebsite. Cybercriminelen stalen e-mails, namen en gedeeltelijke wachtwoorden van bijna 360 miljoen accounts. En dit is waarom we wachtwoorden niet hergebruiken van de ene site naar de andere.

De titel voor meest flagrante gebrek aan beveiliging gaat naar Equifax. Het datalek bij Equifax in 2017 leverde extreem persoonlijke informatie op (zoals namen, burgerservicenummers, geboortedata en adressen) voor 143 miljoen consumenten. Voor een organisatie die optreedt als de poortwachters van informatie voor elke Amerikaan, behalve voor degenen die van het net leven, u'zou je denken dat ze voorzorgsmaatregelen zouden nemen tegen een eenvoudige SQLI-aanval. Voordat het datalek plaatsvond, waarschuwde een onderzoeksbureau voor cyberbeveiliging Equifax zelfs dat ze vatbaar waren voor een SQLI-aanval, maar het kredietbureau ondernam geen actie totdat het te laat was.

In wat de griezeligste hack in de geschiedenis wordt genoemd, leidde een SQLI-aanval in 2015 op speelgoedfabrikant Vtech tot een inbreuk op de gegevens van bijna vijf miljoen ouders en 200.000 kinderen. In een gesprek met Motherboard, de online multimediapublicatie, beweerde de verantwoordelijke hacker dat hij geen plannen had met de gegevens en de gegevens nergens online had gepubliceerd. Omgekeerd legde de hacker ook uit dat de gegevens heel gemakkelijk te stelen waren en dat iemand anders er als eerste bij had kunnen komen. Inderdaad een schrale troost.

Als we verder gaan naar vandaag, dan zien we dat de SQLI-aanval nog steeds bestaat. Elke drie jaar maakt het Open Web Application Security Project (OWASP) een ranglijst van de Top 10 meest kritieke risico's voor webtoepassingen Security . In de meest recente editie van 2017 stond de SQLI-aanval op nummer één.

Afgezien van de lange levensduur van de SQLI-aanval, is het interessant dat SQLI-aanvallen op geen enkele manier zijn veranderd of geëvolueerd. SQLI-aanvallen werken en zullen blijven werken totdat mensen hun houding over cyberbeveiliging veranderen. Wees die verandering.

Nieuws over SQL-injecties

Welke invloed hebben SQL-injecties op mijn bedrijf?

Zoals gerapporteerd in ons Cybercrime Tactics and Techniques rapport, stegen cyberaanvallen (van alle soorten) op bedrijven met 55% in de tweede helft van 2018, terwijl aanvallen op individuele consumenten slechts met 4% stegen. De statistieken zijn niet verrassend. Bedrijven met een slechte beveiliging vormen een makkelijk doelwit voor criminelen, die een schat aan waardevolle gegevens hebben die miljoenen waard zijn.

Omgekeerd kan een bedrijf in het midden van een datalek miljoenen euro's verwachten. Uit een onderzoek van IBM blijkt dat de gemiddelde kosten van een datalek, inclusief herstel en boetes, $3,86 miljoen bedragen. Het eerder genoemde LinkedIn datalek kostte de zakelijke netwerksite uiteindelijk $1,25 miljoen in een schikking.

Na het datalek moest Target het grootste bedrag ooit betalen - 18,5 miljoen dollar - om de onderzoeken van meerdere staten te schikken. Dit kwam bovenop de $10 miljoen die Target betaalde om een class action lawsuit te schikken die was aangespannen door consumenten.

Toegegeven, dit zijn enorme datalekken die miljoenen consumenten treffen. Kleine tot middelgrote bedrijven kunnen echter nog steeds rekenen op een uitbetaling van 148 dollar per gestolen consumentengegevens.

De moraal van het verhaal? Neem uw beveiliging serieus en voorkom dat je een "doelwit" wordt voor cybercriminelen.

Hoe kan ik me beschermen tegen SQL-injecties?

Al dit handenwringen terzijde, u're here because u know SQL injections are a serious threat. Laten we er nu iets aan doen. Hier volgen enkele tips om uw bedrijven te beschermen tegen SQL-injectieaanvallen.

Update uw databasebeheersoftware. uw software is gebrekkig zoals het van de fabrikant komt. Dit is een feit. Bugvrije software bestaat niet. Cybercriminelen kunnen met een SQLI misbruik maken van deze kwetsbaarheden in de software, of exploits. u kun je beschermen door uw databasebeheersoftware gewoon te patchen en bij te werken.

Dwing het principe van de minste privileges (PoLP) af. PoLP betekent dat elke account alleen genoeg toegang heeft om zijn werk te doen en niets meer. Een webaccount die alleen leestoegang tot een bepaalde database nodig heeft, zou bijvoorbeeld op geen enkele manier gegevens moeten kunnen schrijven, bewerken of wijzigen.

Gebruik prepared statements of stored procedures. In tegenstelling tot dynamische SQL beperken prepared statements variabelen op binnenkomende SQL-commando's. Op deze manier kunnen cybercriminelen geen kwaadaardige SQL-injecties toevoegen aan legitieme SQL-statements. Opgeslagen procedures beperken op vergelijkbare wijze wat cybercriminelen kunnen doen door SQL-statements op te slaan in de database, die vanuit de webapplicatie worden uitgevoerd door de gebruiker.

Huur bekwame, ervaren ontwikkelaars in. SQLI-aanvallen zijn vaak het gevolg van slordig coderen. Laat uw softwareontwikkelaars van tevoren weten wat u verwacht op het gebied van beveiliging.

Wat als mijn persoonlijke gegevens zijn gestolen bij een datalek? u bekijk dan onze checklist voor datalekken. Daar u'll leren alles over het opruimen en veilig blijven na een SQLI-aanval gegevensinbreuk gevolgen u.

Bezoek OWASP. Het Open Web Application Security Project, afgekort OWASP, is de toonaangevende autoriteit op het gebied van webapplicaties en ze hebben veel aanvullende informatie over het voorkomen van SQL-injecties.

En als u maar niet genoeg kan krijgen van SQL-injectie in uw , bezoek dan de Malwarebytes Labs blog voor het laatste nieuws in de wereld van cyberbedreigingen en cyberbeveiliging.