Австралийские эксперты определили главную угрозу для информационной безопасности - HiTech - новости и новинки компьютерного мира

ShooTer · 20.11.2003, 21:10

Почти три четверти всех компаний, использующих в работе онлайновые финансовые платежи, открыты для взлома методом SQL-инъекции. К таким выводам пришли специалисты австралийской компании B-sec, специализирующейся на обеспечении информационной безопасности, сообщает сайт газеты The Courier Mail.

По данным B-sec, 72% ведущих австралийских компаний могут подвергнуться хакерской атаке методом SQL-инъекции, которая позволяет ее организаторам получить неограниченный доступ к корпоративным базам данных. Для получения такого доступа в ходе SQL-инъекции хакер дописывает в стандартный веб-адрес специальный код.

Результаты двухлетних исследований B-sec, основанные на реальных хакерских атаках и тщательном изучении приложений, стали «настоящим шоком», считает специалист в области электронного права Лейф Геймерцфельдер (Leif Gamertsfelder). «Если этот изъян так широко распространен, единственным объяснением может быть упущение в работе корпоративного управления. Знай любой здравомыслящий директор или сотрудник компании о таком риске, дыра была бы закрыта мгновенно», - сказал Геймерцфельдер.

Геймерцфельдер убежден, что в случае пропажи чьих-то персональных данных компании крайне трудно будет доказать, что она использовала адекватные меры для предотвращения хакерских атак такого рода. В качестве примера юрист привел случай разбирательства Федеральной комиссии по торговле (FTC) США и компании Guess Inc.

FTC обвинила Guess в непринятии необходимых мер для защиты сведений о клиентах, несмотря на заявления, размещенные на веб-ресурсе компании. Информацию о гарантиях безопасности клиентов на сайте Guess в федеральной комиссии назвали «ложной или вводящей в заблуждение».

В FTC отметили, что персональные данные клиентов Guess не хранились в базе в зашифрованном виде, как это было заявлено на сайте. Таким образом, компания не смогла защитить себя и своих клиентов от хорошо известных видов хакерских атак. «В феврале 2002 года посетитель сайта Guess, владеющий знаниями SQL, мог свободно прочитать номера кредитных карт, хранящихся в базе данных компании», - говорится в выводе FTC.

Эксперты B-sec полагают, что SQL-инъекции являются сейчас проблемой номер 1 в сфере информационной безопасности.

Источник: Viruslist

20.11.2003, 21:10	# 1
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Австралийские эксперты определили главную угрозу для информационной безопасности Почти три четверти всех компаний, использующих в работе онлайновые финансовые платежи, открыты для взлома методом SQL-инъекции. К таким выводам пришли специалисты австралийской компании B-sec, специализирующейся на обеспечении информационной безопасности, сообщает сайт газеты The Courier Mail. По данным B-sec, 72% ведущих австралийских компаний могут подвергнуться хакерской атаке методом SQL-инъекции, которая позволяет ее организаторам получить неограниченный доступ к корпоративным базам данных. Для получения такого доступа в ходе SQL-инъекции хакер дописывает в стандартный веб-адрес специальный код. Результаты двухлетних исследований B-sec, основанные на реальных хакерских атаках и тщательном изучении приложений, стали «настоящим шоком», считает специалист в области электронного права Лейф Геймерцфельдер (Leif Gamertsfelder). «Если этот изъян так широко распространен, единственным объяснением может быть упущение в работе корпоративного управления. Знай любой здравомыслящий директор или сотрудник компании о таком риске, дыра была бы закрыта мгновенно», - сказал Геймерцфельдер. Геймерцфельдер убежден, что в случае пропажи чьих-то персональных данных компании крайне трудно будет доказать, что она использовала адекватные меры для предотвращения хакерских атак такого рода. В качестве примера юрист привел случай разбирательства Федеральной комиссии по торговле (FTC) США и компании Guess Inc. FTC обвинила Guess в непринятии необходимых мер для защиты сведений о клиентах, несмотря на заявления, размещенные на веб-ресурсе компании. Информацию о гарантиях безопасности клиентов на сайте Guess в федеральной комиссии назвали «ложной или вводящей в заблуждение». В FTC отметили, что персональные данные клиентов Guess не хранились в базе в зашифрованном виде, как это было заявлено на сайте. Таким образом, компания не смогла защитить себя и своих клиентов от хорошо известных видов хакерских атак. «В феврале 2002 года посетитель сайта Guess, владеющий знаниями SQL, мог свободно прочитать номера кредитных карт, хранящихся в базе данных компании», - говорится в выводе FTC. Эксперты B-sec полагают, что SQL-инъекции являются сейчас проблемой номер 1 в сфере информационной безопасности. Источник: Viruslist __________________ "That vulnerability is completely theoretical."