πηγή iguru
Δηλαδή τί πρέπει να κάνει κανείς για να ΜΗΝ διαρεύσουν τα ΠΑΝΤΑ σε τρίτους;;; ή μήπως είναι σκόπιμα αφημένο στην τύχη του;;; τέλος: Δεν πρέπει να είναι το πρώτο μέλημα των admins να αποκλείουν κάθε sql injection ειδικά όταν αφορά βάσεις δεδομένων με στοιχεία πολιτών;;; και όλα αυτά όταν υπάρχει δήλωση του RootAyyildiz (κορυφαίου τούρκου χάκερ) οτι σκοπεύει να “επισκεφθεί” το ελληνικό δημόσιο… πληροφορίες ζητήστε από εμάς….
τί γράφει η ιστοσελίδα:
Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας στην ιστοσελίδα του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ-(IKA), κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.
Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.
Η ευπάθεια είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:
Parameter: asf_year (POST)
Type: error-based
Title: Microsoft SQL Server/Sybase OR error-based – WHERE or HAVING clause (IN)
“Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στις βάσεις δεδομένων του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ”
“Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από τις βάσεις εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της ιστοσελίδας.”
Παραθέτουμε ένα screenshoot από τις βάσης δεδομένων.
Available databases [7]:
[*] EFKA
[*] IKA
[*] IKAFAQ
[*] master
[*] model
[*] msdb
[*] tempdb
Παρατηρούμε ότι στα tables εμπεριέχονται ευαίσθητα δεδομένα χρηστών όπως ονόματα και κωδικοί πρόσβασης.
| IKA_USERS |
| IKA_USERS_2012 |
| IKA_USERS_FORBIDDEN |
| IKA_USERS_LOG |
| IKA_USERS_LOG_ARCHIVE |
| IKA_USERS_LOG_STATUS |
| IKA_USERS_test |
με περιεχόμενα:
+—————-+
| IKA_USER_NAMES |
+—————-+
| !!dies*** |
| “CRESP***** |
| #32+** |
| #ssm** |
| $IKA2**** |
| *00336**** |
Οι πληροφορίες παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το iGuRu.gr.
Το zantevoice.gr δεν έχει οικονομική υποστήριξη από καμία γκρίζα, κυβερνητική, επιχειρηματική, τραπεζική ή άλλη πηγή που θα του “υπαγορεύει” τί να πει και τί όχι. Το zantevoice.gr δεν έχει διαφημίσεις! Το zantevoice.gr έχει μόνο την στήριξη των επισκεπτών του για να πληρώνει τα λειτουργικά έξοδά του. Αν θες να υπάρχει το zantevoice.gr στήριξε την προσπάθειά του με κλικ εδώ. |
Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα δεδομένα χρηστών), και για εμάς στο iGuRu.gr αποτελούν άμεση προτεραιότητα.
Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας και όχι με το “κουκούλωμά” της, συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.