Í Viðskiptablaðinu í dag, á bls. 17, fimmtudag er viðtal við mig varðandi SQL-innsetningaárásir.   

Hvað er SQL innsetning og hvaða skaða veldur hún fyrirtækjum?

SQL innsetning  eða SQL-injection er aðferð tölvuþrjóta að keyra eigin fyrirspurnir á gagnagrunn fórnarlambsins.SQL-innsetning er þekkt fyrirbæri í tölvuinnbrotum. Áður fyrr var algengt að brotist var á SQL-gagnagrunna til að komast yfir kerfisstjóraréttindi. Einnig var hægt að eyða eða setja inn ný gögn, t.d. áróður með því að skrifa yfir fréttir sem fyrir voru í grunninum. Nú er komið nýtt afbrigði af árásum og hafa hundruð þúsunda vefsíðna orðið fyrir barðinu á tölvuþrjótum.

Myndin sýnir í stórum dráttum hugmyndina á bak við SQL innsetninguna hjá tölvuþrjótunum.  Notandi (lesandi) er að panta ævintýraferð á spennandi og fallega hönnuðum vef (1). Hann fyllir pöntunarformið rétt út en þegar hann ýtir á staðfesta flyst hann á vefsetur sem inniheldur spilliforrit (2).  Í árásarhrinunni sem gengur yfir núna eru þrjú vefsetur sem innihalda spilliforritin en þau verða ekki gefin upp hér af öryggisástæðum.  Þegar notandi  kemur á spillta vefsetrið, þá flyst lítið forrit, svokallaður Trójuhestur yfir á tölvu notanda og opnar „bakdyr“ (3). Forritið lætur skúrkinn samstundis vita um að það sé komið á nýjan stað og bíður frekari fyrirmæla . Notandinn er kominn í  hóp laumuneta (4).   Ef notandi er ekki með vírusvarnir, þá getur hann orðið mesti ruslpóstsendari veraldar í stað þess að vera á leið í ævintýraferð.Nokkur íslensk fyrirtæki hafa orðið fyrir barðinu á tölvuþrjótunum með tilheyrandi rekstrartruflunum, sölustoppi, viðhaldskostnaði og jafnvel hlotið álitshnekki. 

2. Hvernig er þróunin erlendis varðandi þessi mál – er þetta ,,það nýjasta” eða koma stöðugt fram nýir skaðvaldar ?

Tölvuþrjótar eru hugmyndaríkir. Þeir eru fljótir að athuga allar mögulegar glufur þar til öryggishola finnst. Til þess nota þeir oft þróaðan hugbúnað. Það er viðskiptahugmynd á bak við árásirnar. Tölvuþrjótarnir eru knúnir fram af hagnaðarsjónarmiðum. Mikil  aukning á árásum hefur verið síðustu vikur og hafa öryggisfyrirtæki fjallað um ógnina. Einnig hefur Microsoft nýlega gefið út tilkynningu um hættuna og bent á lausnir. Fyrir viku fann ég 505 þúsund vefsíður sem höfðu verið sýktar með innsetningu með einni ákveðinni leitaraðferð. Nú er talan búin að hækka um 50% .  

3. Skaðar þetta ekki frekar lítil og meðalstór fyrirtæki sem hafa síður efni, fjármuni og mannskap til að byggja upp öryggismál hjá sér?

Það er enginn vefsetur óhult fyrir  árásum tölvuþrjóta. Séu veikleikar á vefþjónum, þá nýta tölvuþrjótar sé þá. Lítil og meðalstór fyrirtæki hafa í auknu mæli komið upp vefsíðum og eru oft með gagnagrunna þar á bak við til að gera vefi hraðvirkari og kvikari. Síðurnar eru oft smíðaðar í miklum flýti og viðhaldi er stundum ábótavant. Aukið flækjustig vefsíðna gerir vefþjóna berskjaldaðri og því þarf að athuga að öryggi þeirra. Það eru meiri líkur á að stór fyrirtæki innleiði öryggisstaðalinn ISO/IEC 27001 til að lágmarka tjón og efla öryggisvitund starfsmanna. Lítil og meðalstór fyrirtæki ættu að sjálfsögðu að huga að öryggismálum upplýsingakerfa og innleiðingu alþjóðlegra öryggisstaðla. Upplýsingar á vefþjónum eru verðmætar eignir og þurfa því viðeigandi vernd. Vefsíður eru auk þess andlit fyrirtækja út á við. Séu þær „hakkaðar“ verður fyrirtækið fyrir álitshnekki. Upplýsingaöryggi má líta á sem leið til að varðveita, leynd, réttleika og tiltækileika. Ef tölvuþrjótar nýta síðurnar til dreifingar vírusa er  ímyndarlegt stórslys. Upplýsingaöryggi má líta á sem leið til að varðveita, leynd, réttleika og tiltækileika.

4. Hvaða geta fyrirtæki helst gert til að sleppa undan þessu?

Besta leiðin til að koma í veg fyrir SQL innsetningu er kóðarýni. Rót vandans liggur í illa skrifuðum kóða á vefsvæði. Vefforritarar eiga að tryggja heilindi gagna sem skrifuð eru í gagnagrunninn og tryggja að ekki sé hægt að smeygja inn kóða. Fullgilding gagna á netþjóni og notkun formstikaðra reiðustefja (parameterized stored procedure) er góð aðferð. Athuga ber að tölvukerfi sem er veikt gagnvart SQL-innskotum gæti innihaldið veikleika á borð við XSS (cross site scripting) eða kóða-innskot. Rót þessara vandamála er sú sama: Gögn eru ekki fullgilt eða hreinsuð áður en þau eru notuð.Kerfisstjórar fyrirtækja ættu að banna umferð notenda á þessa þrjá þekktu vefi sem geyma spilliforritin . Sé fyrirtæki með lausnir frá þriðja aðila, t.d. fréttakerfi eða spjallborð, ættu þeir að athuga hvort ný útgáfa sé komin og uppfæra strax.  Jafnframt sækja viðbætur við forrit á vefþjóni og uppfæra reglulega.  Notendur eiga að sjálfsöguð að hafa vel uppfærðan veirurvarnarnarbúnað á tölvum sínum. Hafi vefsetur sýkst af innsetningu, þá er fyrsta verk að loka vefnum og hreinsa upp gagnagrunnin til að viðskiptavinir lendi ekki í smithættu. Síðan að hafa samband við vefforritara eða fá sérfræðinga til að gera öryggisúttekt á kóðanum, fá þá til að finna tilvik og gera tillögur að úrbótum.