Microsoft i HP chronią przed SQL injection

Firmy Microsoft oraz Hewlett-Packard udostępniły (niezależnie) darmowe narzędzia, których zadaniem jest ułatwienie administratorom chronienia zasobów informatycznych przed atakami typu SQL injection (poprzez identyfikowanie luk na stronach oraz wykrywanie złośliwego kodu).

"My przygotowaliśmy dwie takie aplikacje, zaś HP jedną. Ich podstawowe zadanie polega na umożliwieniu administratorom łatwego wykrycia luk w oprogramowaniu lub błędów w konfiguracji, które mogą zostać wykorzystane przez przestępców do przeprowadzenia ataku SQL injection" - mówi Mark Miller, dyrektor microsoftowego działu Trustworthy Computing.

Udostępnione właśnie aplikacje powstały niejako w odpowiedzi na ostatnią falę ataków wymierzonych w legalne strony WWW - ich celem było zwykle osadzenie na witrynach złośliwego kodu, który miał infekować komputery internautów odwiedzających dany serwis. Większość z tych ataków przeprowadzano właśnie poprzez SQL injection (polega on na wysłaniu do bazy odpowiedniego zapytania SQL). Warto wspomnieć, iż z opublikowanego kilka dni temu raportu firmy F-Secure wynika, że w ciągu pierwszych sześciu miesięcy bieżącego roku na całym świecie w ten sposób zaatakowanych zostało co najmniej 2 mln stron.

Microsoft: to nie nasza wina

Wraz z falą ataków pojawiły się sugestie, że mogą one być przeprowadzane z wykorzystaniem jakichś niezałatanych luk w oprogramowaniu serwerowym lub bazodanowym Microsoftu - koncern jednak konsekwentnie dementował te informacje. Zdaniem przedstawicieli firmy, przestępcy wykorzystują zwykle luki, które nie zostały na czas załatane przez administratorów (mimo dostępności odpowiedniej poprawki) lub błędy w konfiguracji oprogramowania.

Microsoft wciąż nie zmienił zdania w tej kwestii - firma postanowiła jednak pomóc klientom, dlatego też przygotowała narzędzia, których zadaniem jest ułatwienie wykrycia i załatania luk, a także poprawienie błędów w konfiguracji. "Udostępnienie tych aplikacji jest odpowiedzią na oczekiwania naszych klientów. Odnotowaliśmy ostatnio znaczny wzrost liczby ataków SQL injection i postanowiliśmy pomóc użytkowników w ochronie przed nimi" - tłumaczy Mark Miller.

Skanowanie URL

Pierwszym z dwóch przygotowanych przez Microsoft narzędzi jest program stworzony przez programistów pracujących nad IIS (Internet Information Services). Jest to nowa wersja aplikacji o nazwie "UrlScan" (poprzednie jej wydanie pojawiło się w 2003 r.). Jak czytamy na stronie Microsoftu, jest to "program zabezpieczający, który blokuje przetwarzanie niektórych typów żądań HTTP przez usługi IIS (Internet Information Services). Dzięki zablokowaniu niektórych żądań HTTP łatwiej jest zapobiegać odbieraniu przez serwer potencjalnie szkodliwych żądań". Najważniejszą innowacją jest fakt, iż UrlScan potrafi teraz skanować w poszukiwaniu złośliwego kodu nie tylko adres strony, ale także dodatkowe parametry zawarte w adresie URL. Przedstawiciele Microsoftu zapewniają, że program jest w stanie wykryć prawie wszystkie typy złośliwych ataków zaobserwowanych do tej pory.

Drugi program udostępniony przez koncern z Redmond przygotowany został przez zespół programistów pracujący nad SQL Server - nosi on nazwę "SQL Source Code Analysis Tool". Jego zadaniem jest analizowanie kodu ASP .Net pod kątem obecności luk oraz niebezpiecznego kodu (np. złośliwych zapytań).

HP też pomaga

Podobny program przygotował również koncern Hewlett-Packard; "HP Scrawlr" (czyli SQL Injector and Crawler) to rodzaj fuzzera, który analizuje strony WWW pod kątem luk, które mogą zostać wykorzystane do przeprowadzenia ataku SQL injection. Po zakończeniu analizy użytkownikowi przedstawiany jest szczegółowy raport, dzięki któremu możliwe jest zaplanowanie odpowiedniego uaktualnienia.

Więcej informacji oraz pliki do pobrania znaleźć można na stronach Microsoftu oraz Hewlett-Packarda.


Zobacz również