“Zwei von drei deutschen Unternehmen hatten Hackerbesuch” (heise.de)
Laut einer Allensbach-Umfrage sind
15 Prozent der Unternehmen “häufig” das Ziel solcher Attacken,
20 Prozent “gelegentlich” und
29 Prozent “selten”…
Dass die restlichen 36% keine Attacken festgestellt haben, bedeutet natürlich nicht, dass es keinen Angriff bei ihnen gab.
Vor ein paar Tagen schlug hier die folgende Suchanfrage auf:
bekommen seitenbetreiber sql injection mit?
Ob ein Seitenbetreiber von einem Angriff via SQL-Injection Kenntnis erlangt, hängt davon ab welches Ziel der Angreifer verfolgt.
Automatisierte SQL-Injections werden i.d.R. sehr schnell erkannt, weil bei der Darstellung der betroffenen Seiten Änderungen erkennbar sind. Es tauchen Fehlermeldungen auf, nach dem Aufruf der Seite folgt eine Weiterleitung auf anderer Seiten oder dem Besucher wird ein angeblicher Virenbefall (Fake-AV) des eigenen Computers gemeldet.
Geht es dem Angreifer hingegen um die Gewinnung von Kundendaten, wie z.B. Kreditkartendaten, so wird nur das eigentliche Opfer, der Kreditkartenbesitzer, von dem Missbrauch etwas bemerken. Der Seitenbetreiber wird erst etwas von dem Einbruch erfahren, wenn sich vermehrt Kunden beschweren, dass die Kreditkarte unberechtigt belastet wurde. Geht der Angreifer hier mit Bedacht vor, so wird das Opfer kaum vermuten können, über welchen Shop seine Daten abgeflossen sind, sofern er nicht monogam nur einem Shop vertraut.
Da in sehr vielen Systemen noch immer ungesalzene Hashes von Passworten gespeichert werden oder diese gar im Klartext vorliegen, kann ein Angriff auch das Ziel verfolgen, Zugang zum E-Mail-Konto, Paypal, eBay, etc. des Opfers zu erlangen. Erkannte Passworte aus einem Shop sind meist auch für andere Dienste die der Kunde benutzt gültig, da Passworte sehr oft mehrfach vergeben werden. Auch hier wird der Seitenbetreiber sehr wahrscheinlich nie bemerken, dass er für den Missbrauch des E-Mail-Kontos, etc. seines Kunden verantwortlich ist.
Zum Teil ist es auch ohne SQL-Injection möglich auf fremde Datenbanken bzw. der darin gespeicherten Daten zuzugreifen.
Eine Googlesuche beispielsweise nach phpMyAdmin (Administrationsoberfläche von MySQL-Datenbanken), fördert unzählige ungeschützte Datenbanken zutage. In den Suchergebnissen findet man auch Shopsysteme und darin natürlich auch wieder Kundendaten. Auch über eine Suche nach SQL-Dumps (Backups) kann ein Angreifer sehr leicht an vertrauliche Informationen gelangen.
Von solchen Zugriffen bemerkt der Seitenbetreiber auch wieder nichts, sofern der Angreifer nicht zu unvorsichtig mit den gewonnenen Daten umgeht.
Zum Abschluss noch ein krasses Beispiel für die grenzenlose Dummheit die im Netz immer öfter anzutreffen ist, weil jeder eine Seite ins Netz schubst, auch ohne jegliches Fachwissen.
Da betreibt jemand eine statische Website, die nur HTML benutzt, ohne dynamische vom Server generierte Inhalte und ohne Datenbank. Sein Hoster stellt ihm auch eine Datenbank inkl. phpMyAdmin zur Verfügung. Er fühlt sich sicher, weil ja alles statisch ist und ihm gesagt wurde, dass da nichts passieren kann.
Der Zugang zu phpMyAdmin ist nicht per Passwort geschützt. Da die Website nicht auf die Datenbank zugreift, scheint der fehlende Schutz unwichtig zu sein.
Mit etwas MySQL und phpMyAdmin kann ein Angreifer aber ohne Probleme selber Dateien ins System schreiben:
use mysql;
DROP TABLE IF EXISTS `temptab`;
CREATE TABLE temptab (codetab text);
INSERT INTO temptab (codetab) values ('<?php phpinfo(); ?>');
SELECT * INTO OUTFILE '/kunde/htdocs/info.php' from temptab;
DROP TABLE temptab;
FLUSH LOGS;Je nach Konfiguration des Servers, kann ein Angreifer, auch außerhalb des Accounts der angegriffenen Website, Dateien schreiben.
Und zum Auslesen kann auch wieder MySQL genutzt werden:
LOAD DATA INFILE '/kunde/htdocs/config.php' INTO TABLE `hacker`
Wer nun glaubt, er wäre für Angreifer uninteressant, weil er keinen
Jahresumsatz von mehr als 500 Millionen Euro
hat, der wird früher oder später auch zum Opfer werden.
