Pół miliona baz danych bez zapory ogniowej!

Według szacunków eksperta od spraw zabezpieczeń Dawida Lichfielda, blisko pół miliona serwerów baz danych udostępnianych w Internecie, nie jest chronionych zaporą ogniową.

Lichfield sprawdził ponad milion losowo wygenerowanych adresów IP testując, czy może uzyskać dostęp do portów przypisanych bazom danych Microsoft SQL Server lub Oracle. W rezultacie tych przeszukiwań znalazł 157 serwerów SQL i 53 serwerów Oracle. Opierając się na dostępnych szacunkach liczby systemów w Internecie doszedł do wniosku, że około 368 tys. serwerów Microsoft SQL i ok. 124 tys. serwerów Oracle jest dostępnych w Internecie bezpośrednio.

Nie jest to pierwszy przypadek przeprowadzenia przez Lichfielda, jednego z szefów NGSSoftware, tego typu badań. Dwa lata temu opublikował on pierwszy raport na temat bezpieczeństwa baz danych, w którym oszacował liczbę baz danych Microsoftu i Oracle wystawionych na bezpośrednie niebezpieczeństwo na ok. 350 tys.

Bez zapory ogniowej bazy danych są wystawione na niebezpieczeństwo zaatakowania ich przez napastników, stwarzając duże ryzyko dla korporacyjnych danych. Zadziwiające w tym wszystkim jest to, że mimo nagłośnienie bardzo licznych przypadków naruszenia danych w ciągu tych dwóch lat, udało się znaleźć jeszcze większą liczbę baz danych wystawionych na ryzyko ataku, niż dwa lata temu.

W tym roku liczba eksponowanych baz danych Oracle spadła w porównaniu z rokiem 2005, w którym to oceniona ją na 140 tys. Te same badania oszacowały liczbę narażonych SQL Server na 210 tys.

Nie jest jasne, dlaczego akurat liczba niezabezpieczonych serwerów Qracle spadła, a Microsoftu wzrosła. Lichfield przypuszcza, że technologia Microsoftu jest łatwiejsza do instalowania i w związku z tym wzrastająca liczba serwerów SQL przekłada się wprost na wzrost liczby serwerów niezabezpieczonych.

Brak zapory ogniowej to nie jedyne niedociągnięcie. W raporcie dotyczącym roku 2007 stwierdza się, że wiele z tych niechronionych baz danych nie zawiera także aktualnych łatek. Wśród nich 4 proc. baz danych SQL Server była nadal podatna na zagrożenia typu SQL Slammer, który rozprzestrzeniał się w roku 2003.

Około 82 proc. SQL Server to starsze oprogramowanie SQL Server 2000, a mniej niż połowa z nich ma zainstalowany ostatni Service Pack dla tej wersji. Po stronie Oracle, 13 proc. serwerów to starsza wersja bazy danych, która nie jest już łatana przez producenta.

Najnowsza wersja raportu pt. "Database Exposure Survey" ma być opublikowana w przyszłym tygodniu na witrynie Databasesecurity.com ( www.databasesecurity.com/dbsec/ ).

Józef Muszyński