Milhares de sites têm sido invadidos por crackers através de uma versão renovada de uma forma de ataque bastante tradicional conhecida como injeção de SQL. Entre os sites afetados, estão páginas brasileiras, inclusivealgumas com domínio gov.br, da gestão pública. O The Register indica ainda que páginas da Apple estiveram entre as vítimas, mais especificamente alguns podcasts do iTunes.

A maioria das páginas afetadas encontradas pelo Google, porém, já foram sanadas, mas novas vítimas continuam surgindo. O ataque usado é uma versão repaginada da conhecida injeção de SQL. Ela ataca servidores de bancos de dados que usam a linguagem SQL – ou seja, praticamente todos o programas comerciais como o Oracle, o My SQL, o DB2 ou o Microsoft SQL Server.

Simplificadamente, a técnica consiste em enviar comandos maliciosos para o site disfarçados de informações legítimas. Por exemplo, em vez de preencher um campo de “Nome” corretamente , o invasor envia no lugar comandos que o site desprotegido obedece, dando ao agressor efetivo controle do sistema.

Existem maneiras bem conhecidas de se proteger desse ataque, e que já são usadas pela maior parte dos sistemas online há muitos anos. Mas o pesquisador colombiano Manuel Humberto Santander Pelaez descobriu que está sendo usada uma técnica que disfarça os comandos, burlando algumas das mais populares medidas preventivas. Para isso, o que é injetado no site é um conjunto de números que não lembram os comandos doSQL. Tendo passado pela página do site e já dentro do sistema, esses números são transformados em texto, que é então interpretado como sendo um conjunto de comandos do sistema. A função CAST, padrão da linguagemSQL, é a peça central do truque.

O ataque que se espalhou coloca nos sites um link para um site russo que, por sua vez, pode disseminar malware. Porém, o especialista Mary Landesman, da ScanSafe, declarou ao The Register que o ataque não teve todo o sucesso possível: o código inserido pelo ataque não funciona corretamente em todos os sites, e é então ignorado pelo navegador.

A injeção de SQL é uma forma tão comum e banal de invasão que é usada com fins didáticos, foi documentada em livros para principiantes e a falta de proteção contra ela virou motivo até de piadas na internet (xkcd.com/327). Cair presa de um ataque de injeção de SQL é, hoje, considerado vergonhoso pelos especialistas em segurança.

Ainda assim continua fazendo vítimas, mesmo que a prevenção contra ela seja extremamente simples, mesmo para esta versão mais nova.

Via: Geek