Dostałem informację z Redmond, że podobno na całym świecie w ostatnim okresie nasiliły się skuteczne ataki na bazy danych.
Ataki te dotyczyły również i naszego SQL Servera, aczkolwiek to sformułowanie celowo ma pewien błąd merytoryczny.
Bo problemem nigdy do tej pory nie była żadna słabość naszego oprogramowania a jedynie niezbyt dobrze napisany kod aplikacji działającej w oparciu o SQL (ale równie dobrze mogła to być dowolna baza danych). Problem ten jest też znany pod pojęciem SQL Injection.
Zacytuję wypowiedź ekspertów z naszego teamu zajmującego się takimi kwestiami:
These attacks do not leverage any SQL Server vulnerabilities, nor any un-patched vulnerabilities in any Microsoft product – the attack vector is vulnerable customer and third party applications.
Powstała też strona opisująca jak radzić sobie w firmie z tego typu problemami i to zarówno z punktu widzenia programisty jak i administratora.
Zachęcam do przejrzenia posta na blogu Security Vulnerability Research & Defense, gdzie opisany jest cały problem oraz rekomendacje zespołu SVRD.
Ja na koniec dodam jako ciekawostkę, że Microsoft SQL Server nadal pozostaje środowiskiem bazodanowym bez żadnej luki krytycznej przez ostatnie 4 lata!
