Hacker ztrapnil americkou vládu i armádu, jejich hesla prodává na webu

Za tisícovku administrátorský přístup ke státním stránkám, za deset tisíc i k těm armádním. Neznámý hacker na svém webu nabízí ke koupi možnost zaútočit na mnohé věhlasné weby. Zřejmě mu k tomu stačily obyčejné manipulace s SQL dotazy.

Hacker nabízí, že za peníze hackne jakoukoli stránku | foto: shutterstock.com

Drzý hacker prodává na webu přístup k armádním a vládním serverům. Mezi weby, které jeho hackerskému umění údajně neodolaly, jsou nejen americké, ale také italské, albánské nebo tchajwanské oficiální stránky. Informaci přinesla bezpečnostní společnost Imperva. Ukázal tak, že mnoho společností a institucí má stále stránky jen velmi chatrně zabezpečeny.

Neznámý útočník nabízí přístup k stránkám amerických, italských nebo albánských institucí

Důležité stránky nabízí neznámý útočník za 500 dolarů (zhruba 9 000 Kč), méně důležité za stovku. Kromě toho prý slibuje, že za dva dolary vyzkouší standardní útok (pravděpodobně pomocí XSS, SQL injection, slovníkový útok apod.) na libovolný server. Za dvacet dolarů také nabízí tisíc řádků z hacknutých databází, které údajně obsahují citlivé osobní údaje.

Brian Krebs, odborník na bezpečnost, dříve blogující pro The Washington Post, se domnívá, že je to reálná nabídka: "V době, kdy se mluví o cyberválce a dalších velkých hrozbách, je jednoduché zapomenout na staré a malé hrozby. To ale nemůže omluvit správce amerických armádních serverů, kteří nezabezpečili své stránky proti primitivním útočným skriptům."

Jak se bránit SQL injekcím a XSS

Obrana proti standardním útokům není obtížná, jen musí být zcela důsledná. Obrazně řečeno, nestačí zabezpečit jen vstupní dveře, ale také všechna okna, světlík na záchodě a komín.

SQL injection

SQL injekce spočívají v podvržení SQL dotazu, který je vložen skrze běžný uživatelský vstup. Místo vyhledávání na webu tak pomocí speciálních znaků ("escape" znaků) spustíte téměř libovolný dotaz. Například přidáním a'; DROP TABLE "articles"; může dojít ke spuštění dotazu na databázi, který má za následek smazání celé tabulky "articles".

Obrana spočívá v ujištění se, že žádný uživatelský vstup nebude nikdy vložen přímo do SQL dotazu, aniž by napřed neprošel kontrolou. V principu stejným způsobem je možné zabránit XSS (Cross-site scripting).

Většina hotových administračních systémů pro správu obsahu nebo frameworků nabízí dobrou ochranu proti těmto standardním útokům. Problém zřejmě nastává především s na míru vyvíjenými systémy, které zůstanou neudržované po svém uvedení do provozu.

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 41 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi nejsou příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi jsou 4 příspěvky

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...