Ataques em massa de SQL Injection (“Injeção SQL”) estão atingindo também sites brasileiros, de acordo com informações apuradas pela Linha Defensiva. Os ataques modificam as páginas dos websites atacados para incluir um código malicioso capaz de infectar o visitante que estiver usando um navegador web desatualizado e inseguro.

De acordo com o ARIS-LD, o Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva, o website do canal de televisão Futura e páginas pertencentes ao governo do Distrito Federal estão entre as afetadas. Os responsáveis por alguns portais foram avisados, porém buscas no Google mostram que o número de páginas infectadas está na casa dos milhares, sendo inviável avisar todas as vítimas.

Internacionalmente, sites como o da revista Redmond Magazine, focada em assuntos Microsoft, foram comprometidos.

Os primeiros ataques do gênero tinham como alvo apenas páginas em sites chineses e taiwaneses. Os novos ataques, apesar de infectarem sites globalmente, ainda executam códigos diferentes caso o sistema da vítima esteja com a localidade configurada para “China”.

O mesmo ataque, vários responsáveis
SQL Injection

SQL (Structured Query Language) é o nome de uma linguagem de programação usada para a interação com bancos de dados.

Uma “injeção SQL” trata-se de um código SQL que é “injetado” em um site por um indivíduo malicioso. Se a injeção ocorrer com sucesso, o invasor pode ser capaz de alterar o conteúdo do website, ler registros do banco de dados que em condições normais não poderiam ser lidos, entre outros, dependendo da gravidade do problema.

Ataques de injeção de SQL são majoritariamente possibilitados por erros de programação existentes em CMSs.

As invasões, que vêm ocorrendo desde o início do ano, ganharam novo fôlego graças a uma rede zumbi, a Asprox. Computadores infectados com a Asprox foram instruídos a instalar uma ferramenta maliciosa que faz buscas no Google para encontrar sites possivelmente vulneráveis e atacá-los.

Ferramentas assim estão disponíveis há anos, mas nunca foram usadas tão agressivamente.

David Dewey, da IBM X-Force, disse ao site Dark Reading que os ataques cresceram por imitação: depois que um grupo de criminosos obteve sucesso infectando websites com injeção de SQL, outros grupos começaram a fazer o mesmo.

A rede-zumbi Asprox é apenas uma entre vários outros grupos e criminosos solitários que estão tirando proveito deste problema. É difícil determinar exatamente qual grupo ou indivíduo é responsável por cada ataque, já que são todos semelhantes.

Os códigos inseridos nas páginas apontam para diversos servidores, em geral localizados na China, que hospedam arquivos maliciosos. Estes arquivos, quando acessados pelo navegador, tentam explorar diversas brechas de segurança no Internet Explorer. Se o internauta estiver com o navegador desatualizado, uma das vulnerabilidades será explorada e o computador será infectado.

Devido à natureza automatizada do ataque, nem todas as páginas “injetadas” serão capazes de infectar os internautas. Alguns dos servidores que hospedavam os arquivos maliciosos já estão fora do ar, mas o ataque verificado pela Linha Defensiva, que tenta tirar proveito de 11 falhas de segurança, ainda estava online até a publicação da reportagem.

Os ataques, por partirem de computadores zumbi e obterem seus alvos no Google, não buscam infectar nenhum site especificamente, investindo portanto no volume de páginas comprometidas. O especialista em segurança Dancho Danchev revelou que um criminoso que realiza ataques do gênero até publicou um pedido “desculpas” caso o site de um “hacker” fosse infectado, porque “não é possível controlar” os ataques.

Danchev estima, em seu blog, que mais de 1,5 milhão de websites foram comprometidos globalmente.

Com colaboração de Fabio Assolini, analista do ARIS-LD

Veja também

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

2 comentários

  1. Jefferson Johner 23/05/2008 às 10:12

    Realmente incrível essas histórias de SQL Injection.
    Confesso que eu mesmo há tempos atrás já fiz isso em alguns sites extrangeiros, e ainda tinha cara de me achar “O Cracker”.
    Detalhe: eu não entendia nada de SQL, realizava o ataque simplesmente com tutoriais encontrados na Internet e com vídeos explicativos.
    Deweya falou tudo quando disse que “os ataques cresceram por imitação”.Há tempos atrás não eram tão freqüêntes e numerosas essas notícias sobre ataques de SQL Injection.
    Lamentavelmente, há muitos “sites hackers”, e até mesmo fóruns de “segurança” que ensinam como realizar esses ataques, do mesmo modo como incentivam tal prática.
    É realmente lamentável, mas hoje em dia com uma simples busca no Google qualquer um consegue realizar um ataque desses a um site vulnerável.

    Curtir

    Responder

  2. Para testar os SQL injection tem uma ferramenta muito boa para o firefox: https://addons.mozilla.org/en-US/firefox/addon/6727
    O nome é Form Free, Muito boa mesmo

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.