Błąd SQL injection na amerykańskiej stronie Kaspersky Lab
Jak informuje nas pewna rumuńska strona poświęcona (jak wnioskuję z nazwy) szeroko pojętemu hackingowi, amerykańska strona producenta oprogramowania antywirusowego Kaspersky Lab jest podatna na atak typu SQL injection. Polega on na tym, że atakujący może zmusić serwer baz danych do wykonania dowolnego zapytania SQL jeżeli tylko przekaże go odpowiedniemu parametrowi POST albo GET. Trudno już bardziej ulatwić życie potencjalnym napastnikom. Klient bazy danych bez hasła słuchający na dostępnym porcie może byłby nieco wygodniejszy, ale trudniej by się nim było posłużyć z poziomu przeglądarki :-).
Niesamowite jest, że tak duża firma pozwala sobie na tak szkolny błąd. Nie trzeba wiele wyobraźni, by stwierdzić, że interfejs do bazy danych otwarty potencjalnie dla całego Internetu nie jest dobrym pomysłem. Liczenie na to, że wszystko będzie dobrze, jeżeli tylko nadamy odpowiedniemu parametrowi mało oczywistą nazwę (klasyczne security through obscurity) jest naiwością proszącą się o nieszczęście.
Cała sytuacja staje się szczególnie żałosna, gdy uświadomimy sobie, że główna usługa oferowana przez Kaspersky Lab jest związana z bezpieczeństwem właśnie. Zabezpieczenia WWW i antywirusowe to co prawda dwie różne rzeczy, jednak należy się zastanowić nad tym jaka jest polityka firmy jeżeli było możliwe wypuszczenie na szerokie wody Internetu serwisu, delikatnie mówiąc, niedobezpieczonego. Jeżeli firma nie potrafi zabezpieczyć danych swoich i swoich klientów, jaka jest szansa, że będzie w stanie obronić ich przed naprawdę złośliwym atakiem?
Warto przypomnieć sobie, że w 2006 r. Jewgienij Kasperski, założyciel firmy, straszył świat zalewem wirusów na Linuksa i Mac OS X. Wbrew tym czarnym przepowiedniom, nic takiego nie nastąpiło. Niektórzy (w tym autor tego tekstu) podejrzewają, że owe stwierdzenia były li tylko dezinformacją mającą na celu walkę z kurczeniem się rynku klientów na usługi antywirusowe wynikającą z migracji użytkowników z komputerów z systemem operacyjnym Windows.
Błąd Kaspersky jest na tyle groteskowy, że można rozważać hipotezę, że rumuńscy hakerzy jedynie blefują. Zastanawia się nad tym The Register i póki co wszystko wskazuje na to, że luka jest jak jak najbardziej prawdziwa.
(Znalezione dzięki Redditowi.)