La “piaga” del web si chiama SQL injection LizaMoon è il nome del recente attacco informatico identificato con la tecnica chiamata SQL injection: colpiti milioni di server web. 29/04/2011 – di Giuseppe Zaccaro LizaMoon è il nome del recente attacco informatico identificato con la tecnica chiamata SQL injection, che consiste nell’effettuare delle iniezioni di codice SQL (Structured Query Language), un linguaggio utilizzato per interrogare i database: leggerli, modificarli e gestire i dati in esso memorizzato. Anche l’attacco al sito della Sony Playstation di qualche giorno fa, dove sono state carpite le utenze di oltre 70 milioni di utenti, molto probabilmente è stato effettuato sempre con la tecnica SQL injection. Questa tecnica mira a colpire le applicazioni web che si appoggiano su un database di tipo SQL, sfruttando la mancanza dei controlli sulle informazioni ricevute in input, per intenderci tutti quei campi presenti nelle pagine web, nei quali inseriamo solitamente i nostri dati d’accesso oppure quelli dove effettuiamo una registrazione ad un nuovo servizio on line, dove hacker criminali individuano server web vulnerabili ed inseriscono codice maligno all’interno di una interrogazione (query) con il linguaggio SQL. Questo codice rimane quindi registrato all’interno del database e viene interpretato dai nostri computer e, in modo speciale quelli senza sistema operativo aggiornato o con scarsi antivirus, ogni volta che ci si collega al sito compromesso saranno infettati. Nel caso di LizaMoon, il codice fa aprire una finestrella (pop-up) con falsi allarmi relativi a presenza di virus piuttosto che spyware, con l’obiettivo di stimolare l’utente a installare “Windows Stability Center” (WSC), un finto antivirus totalmente inutile, con la finalità di convincere l’utente all’acquisto di un software per eliminare qualsiasi infezione del proprio computer. Le conseguenze prodotte sono imprevedibili: dal controllo del computer “da remoto”, al furto di informazioni sensibili. E se l’attacco, è riuscito a superare la notevole cifra di 4 milioni di siti web infetti in pochi giorni, immaginiamo quanti pop-up sono apparsi sugli schermi di ignari utenti visitatori. La soluzione a questa “piaga chiamata SQL injection” come l’ha definita il centro sviluppo Microsoft può essere vinta se combattuta contemporaneamente su due versanti: quello utente, privato o azienda, che prima di utilizzare i servizi on line deve accertarsi che il sistema operativo del proprio computer sia sempre aggiornato così come un buon antivirus-firewall possibilmente non gratuito. Dall’altro lato, dove ricadono comunque le responsabilità più importanti, ci sono gli amministratori dei server web. La previsione, il controllo e il blocco di caratteri pericolosi che possono essere immessi nei campi presenti nelle pagine di un sito web deve essere costantemente effettuato dall’amministratore del sito, così come la riduzione dei privilegi d’accesso ad un sito web e l’aggiornamento costante dei sistemi, ricordando agli sviluppatori che essere responsabili di un sito web vulnerabile può avere del conseguenze di legge, in quanto questo tipo di attacco è chiaramente contrario alla normativa vigente della legge sulla privacy.
Gazzetta del Sud del 29.4.2011 – Giuseppe Zaccaro