jueves, 1 de mayo de 2008

Masivo “hackeo” golpeó más de medio millón de websites


Cuando un hombre se eleva, siempre hay otro listo a derribarlo. (Abel Desestress)

Noticias24.- Un hackeo masivo de páginas web ha ocurrido en las últimas horas afectando a medio millón de páginas web, incluyendo algunas tan importantes como la del Departamento de Seguridad Nacional de los EEUU (Homeland Security), la de la Organización de Naciones Unidas y varias páginas oficiales del gobierno del Reino Unido. El ataque, del tipo conocido como Inyección SQL (SQL Injection), se manifestó únicamente en sitios que utilizan el servidor web de Microsoft, IIS.

El servidor IIS permite la ejecución de comandos genéricos que no requieren el conocimiento de la estructura de las tablas de base de datos, pero la vulnerabilidad debe achacarse no a Microsoft sino a la falta de seguimiento de los estándares de programación por parte de los desarrolladores de los sitios web afectados, que debieron filtrar y “sanear” apropiadamente todos los espacios donde los usuarios pueden introducir data, tales como planillas y formularios.

El ataque comienza introduciendo en las bases de datos del site un código JavaScript. Cuando la base de datos vuelca su contenido en una página web, este código JS se ejecuta y solicita un script externo que podría afectar el computador de un usuario que visite esa página web.