Ataki SQL Injection na naszego SQLa?

Dostałem informację z Redmond, że podobno na całym świecie w ostatnim okresie nasiliły się skuteczne ataki na bazy danych.

Ataki te dotyczyły również i naszego SQL Servera, aczkolwiek to sformułowanie celowo ma pewien błąd merytoryczny.

Bo problemem nigdy do tej pory nie była żadna słabość naszego oprogramowania a jedynie niezbyt dobrze napisany kod aplikacji działającej w oparciu o SQL (ale równie dobrze mogła to być dowolna baza danych). Problem ten jest też znany pod pojęciem SQL Injection.

Zacytuję wypowiedź ekspertów z naszego teamu zajmującego się takimi kwestiami:

These attacks do not leverage any SQL Server vulnerabilities, nor any un-patched vulnerabilities in any Microsoft product – the attack vector is vulnerable customer and third party applications. 

Powstała też strona opisująca jak radzić sobie w firmie z tego typu problemami i to zarówno z punktu widzenia programisty jak i administratora.

Zachęcam do przejrzenia posta na blogu Security Vulnerability Research & Defense, gdzie opisany jest cały problem oraz rekomendacje zespołu SVRD.

Ja na koniec dodam jako ciekawostkę, że Microsoft SQL Server nadal pozostaje środowiskiem bazodanowym bez żadnej luki krytycznej przez ostatnie 4 lata!