Двадцатишестилетний хакер из Джорджии недавно признал себя виновным в краже данных более чем 675 тысяч кредитных карт, что привело к мошенническим сделкам на сумму более чем 36 миллионов долларов.

Согласно протоколам суда, Роджелио Хэкетт младший сохранял украденные данные кредитных карт на своих компьютерах и в учетных записях электронной почты. Он часто продавал эти данные, которыми позже пользовались для нелегального снятия денежных средств. Хэкетт, приговор которому будет вынесен в июле, может провести за решеткой 12 лет.

Как он делал это? Через SQL-инъекции. Он получал доступ к серверным базам данных с помощью веб-приложения, которое эффективно использует эти же базы данных. "В августе 2007 года, а затем через какое-то время снова, он проник в базы данных провайдера услуг по приобретению билетов и заполучил номера кредитных карт", - говорит Рэнди Сабетт, партнер и один из председателей отдела Internet and Data Protection юридической фирмы SNR Denton LLP. "Не исключено, что по крайней мере в ходе нескольких атак, которые он проводил, он был засечен".

"Он пользовался уязвимостями в SQL", - говорит Сабетт. "И, несмотря на то, что SQL-инъекции хорошо описаны и изучены, мы замечаем, что время от времени компании страдают именно от этих атак".

Внимание на небольшие цели

Хакерская атака Хэкетта не кажется такой уж выдающейся при сравнении с атакой Альберта Гонсалеса, который стоял за взломом Heartland Payment Systems, что привело к краже данных 130 миллионов кредитных и дебетовых карт, и которая также была осуществлена при помощи внедрения SQL-кода. Но как отмечает известный аналитик Gartner Research Авива Литан, дело Хэкетта подчеркивает то, каким распространенным и разнообразным стало хакерство. "На каждого арестованного Роджелио Хэкетта приходится по меньшей мере еще дюжина "Хэкеттов" или "хакеров", которые остаются на свободе", - говорит Литан.

Согласно докладу Data Breach Investigations Report 2011 года компании Verizon, в то время как количество полученных данных снизилось с 144 миллионов в 2009 годы до 4 миллионов в 2010 году, количество взломов возросло. Доклад Verizon этого года включает анализ 761 взлома с целью получения данных, что является самым большим числом за те 7 лет, когда ежегодно выходит доклад. В 2010 году количество взломов примерно соответствовало общему количеству проанализированных взломов за предыдущие 6 лет.

Основной фактор роста: хакеры нацеливаются на небольшие, менее надежные базы данных. "В настоящее время это по большей части неорганизованные преступления, потому что многие из самых изощренных хакеров, включая Гонсалеса, сейчас уже за решеткой", - говорит Брайан Сартин, директор по исследованиям компании Verizon и автор новейшего доклада о взломах с целью получения данных.

Литан говорит, что "мы должны относиться серьезнее к ограблениям небольшого масштаба, которые могут существовать вне поля видимости правоохранительных органов и компаний по выпуску платёжных карт более длительный период времени, потому что их размах не так уж велик", - говорит она. "Этот арест также подтверждает то, что хакер может быть откуда угодно, а не только из Восточной Европы.

SQL-инъекция: слишком просто.

Согласно протоколам суда, Хэкетт начал свою хакерскую "карьеру" в конце 90х годов, когда он находил уязвимости в обработке SQL и пользовался ими. Более чем 10 лет спустя, тот же метод атаки все еще действует. "Эти SQL-инъекции как бы позволяют пролезать через дырку в заборе, а не входить через парадную дверь", - говорит Сабетт. Джош Корман, директор по исследованиям Enterprise Security Practice компании The 451 Group, говорит, что SQL-инъекции зачастую идут прямо через брандмауэры. "Вот почему мы должны обращать внимание на уровень безопасности приложений", - говорит Корман. "Брандмауэры должны быть усовершенствованы – например, добавлением брандмауэра веб-приложений".

Дэн Гросу, консультант по безопасности информационных технологий, который в 2009 году писал в блоге об основе атаки Heartland – SQL-инъекции – говорит, что для обнаружения и пресечения таких атак нужно избавиться от того, что не обработано должным образом. "Это поможет избавиться от проблемы в корне, поэтому это лучшее, что можно сделать", - говорит он. "Честно говоря, индустрия не занимает активной позиции, а только реагирует на уже произошедшее. Учреждения выпускают веб-приложения для того, чтобы быть конкурентоспособными на динамично развивающемся рынке, делая тем самым упор на опыт пользователей и на дополнительные навороты, но тратя мало усилий на разработку, проверку и тестирование систем безопасности".

Сабетт говорит, что многие предприятия не вкладывают средства в улучшения систем безопасности потому что у них нет для этого стимула. "Что может дать компаниям стимул защитить себя лучше? Должно ли это быть в списках государственных требований или совершаться организованно? Мы еще не дошли до того момента, когда равновесие станет возможным".