Nieuws

97% datalekken veroorzaakt door SQL Injection

zondag 22 januari 2012, 16:28 door Redactie, 5 reacties

SQL Injection is verantwoordelijk voor 97% van alle datalekken op het internet en is daardoor veel gevaarlijker dan geavanceerde malware, aldus één van de grootste banken ter wereld. Hoewel het probleem van SQL Injection al meer dan tien jaar bekend is, komt het nog altijd voor, aldus Neira Jones, hoofd betalingen van de Britse Barclays bank. "Datalekken zijn een statische zekerheid geworden", aldus Jones tijdens de Infosecurity persconferentie in Londen. "Als je kijkt waar individuen zich zorgen om maken, dan zit het beschermen van persoonsgegevens op hetzelfde niveau als sociale problemen zoals het voorkomen van misdrijven."

Engel
Bij SQL Injection wordt de invoer van gebruikers op een website niet goed gefilterd, waardoor die direct met de database kunnen communiceren en zo toegang tot allerlei vertrouwelijke gegevens krijgen. Ondanks de problematiek van SQL Injection en het grote aantal kwetsbare webapplicaties en websites, krijgt het onderwerp weinig aandacht, aldus Jones.

Ze stelt dat zaken als Advanced Persistent Threat (APT) ten onrechte veel meer aandacht krijgen. APT is de term die wordt gebruikt voor zeer geavanceerde aanvallen en malware, vaak ingezet voor cyberspionage. "Als iemand APT in de kamer zegt, sterft er een engel in de hemel, omdat APTs niet het probleem zijn", merkt Jones op. "Ik ze niet dat ze niet bestaan, maar laten we eerst de basis op orde krijgen. Weten bedrijven zeker dat ze niet kwetsbaar voor SQL Injection zijn? En hebben ze hun webapplicaties veilig geprogrammeerd."

Impact
Ook volgens Frank van Vliet, CTO van Certified Secure, verdient SQL Injection veel meer aandacht. "APT betreft een veel kleinere groep aanvallers, terwijl SQL Injection werkelijk door iedereen gedaan kan worden. Aangezien het net zo'n grote impact kan hebben, is het daardoor voor veel meer bedrijven een risico. Daarom is het belangrijk eerst de meest voorkomende dreigingen op te lossen, voordat er naar geavanceerde problemen wordt gekeken."

Verder moeten bedrijven volgens Jones beter hun logs in de gaten houden. Het duurt ongeveer zes a acht maanden voordat bedrijven door hebben dat ze gehackt zijn. Door meer inzicht in het eigen risicoprofiel te krijgen en eenvoudige proactieve maatregelen te nemen, zoals het in kaart brengen van dreigingen, zouden bedrijven 87% van de aanvallen kunnen voorkomen.

"Gejailbreakte iPhone kwetsbaar voor hackers"

Valse Angry Birds dupeert Android-gebruikers

Reacties (5)

22-01-2012, 17:03 door SLight

Tja, databanken zijn handig om veel gegevens in op te slaan en makkelijk te bekijken bij een misconfiguratie, maar voorkomen is beter dan genezen, dus pen testen.

22-01-2012, 20:45 door WhizzMan

97% is echt een onzingetal. Datalekken door papier in vuilnisbakken, verloren USBsticks, personeel wat er mee vandoor gaat, gestolen laptops en dergelijke zijn echt wel meer dan 3% van het aantal gevallen. Het hele is echt een onzinverhaaltje met niet geferifieerde of controleerbare data. Fear, Uncertainty en Doubt.

23-01-2012, 06:54 door golem

Door WhizzMan: 97% is echt een onzingetal. Datalekken door papier in vuilnisbakken, verloren USBsticks, personeel wat er mee vandoor gaat, gestolen laptops en dergelijke zijn echt wel meer dan 3% van het aantal gevallen. Het hele is echt een onzinverhaaltje met niet geferifieerde of controleerbare data. Fear, Uncertainty en Doubt.

SQL Injection is verantwoordelijk voor 97% van alle --> datalekken op het internet <--

Op papier - is niet een datalek op internet
USB-stick - is niet een datalek op internet
gestolen laptop - is niet een datalek op internet

Maar na wat zoekwerk via Google kwam ik op deze pagina.
http://www.infosecurity-magazine.com/view/20348/interview-barclaycards-neira-jones

En daar staat in het engels vrijwel hetzelfde verhaal, maar wordt er gesproken over 90% en
dus niet 97%. :)

Slightly more controversial is Jones’ take on advanced persistent threats. “It’s APT this, and APT that”, she says, bemused. “Ten years ago we started seeing the first SQL injections. We now know exactly how to prevent the SQL injection.” According to the [Verizon] DBIR report, explains Jones, default prevention, in combination with a lapse of credential and password management and bad log management, was responsible for approximately 90% of attacks.

23-01-2012, 10:10 door Anoniem

"Bij SQL Injection wordt de invoer van gebruikers op een website niet goed gefilterd"

Ugh. Nee dus, er wordt niet *ge-escaped* of er worden geen parametrized queries gebruikt. Je kunt wel proberen data te 'filteren' tegen SQLi, maar dat gaat niet lang goed.

24-01-2012, 17:42 door Anoniem

Er wordt gewoon niet fatsoenlijk getest, maar dat is niet alleen bij websites het geval.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer