Sql-injektioner är inget nytt fenomen. De började poppa upp under andra halvan av 1990-talet. Men attackerna har tilltagit i styrka, och allt fler företag angrips.

Så sent som för några veckor sedan upptäcktes en serverfarm i Kina som med hjälp av Google automatiskt identifierat sårbara servrar.

Bland de drabbade sajterna den senaste tiden återfinns Icakuriren, Verket för högskoleservice, Varbergs kommun och, ironiskt nog, konsultföretaget Techteam och ett av Sveriges största forum för utvecklare, Pellesoft.

Per Hellqvist, säkerhetsexpert på Symantec, är inte nådig i sin dom.

– Sql-attacker beror en­-bart på dåliga rutiner och slarv, säger Per Hellqvist.

Pelle Johansson, ansvarig för utvecklingsnätverket Pellesoft där över 30 000 utvecklare och it-proffs befinner sig varje månad, håller med.

– Det var dumt som fan. Någonstans på vår gamla sajt hade elak kod smugit sig in, vilket smittade ner vår nya webbplats, säger Pelle Johansson.

Anledning till det var att den gamla och den nya webbplatsen delar databas.

– Det var slarv från vår sida. Den gamla sajten skulle ha stängts, säger Pelle Johansson.

Rita Lenander, it-säkerhetschef på Eon, berättar att företaget inte drabbats av sql-injektioner. Än. Hon berättar att Eon försöker skydda sig med alla tänkbara medel eftersom det är mycket viktigt att kunderna kan lita på webbplatsinnehållet.

– Vi kör säkerhetsrevisioner betydligt oftare när sådana här utbrott av hackar­attacker sker, säger Rita Lenander.
Säkerhetsexperterna är rörande överens om att många lyckade hackar­attacker beror på slarv.

– Det håller jag med om. Om det inte handlar om rena programmeringsmissar är nog tidspress en faktor som gör att program ibland inte testas tillräckligt noga för säkerhetsrelaterade sårbarheter innan de driftsätts, säger Rita Lenander.

Klas Schöldström, it-säkerhetsexpert på Nsec, säger att det kostar mycket för hackare att forska fram nya former av attacker och att det kan ta flera månader. Därför använder bovarna befintliga hål.

– Det kostar väldigt lite att göra den här typen av attacker. Med bra bandbredd kan en enda dator söka av hela världens servrar på ett par dagar, säger Klas Schöldström.

Ett stort problem enligt Klas Schöldström är att många företag använder exakt samma teknik. Upptäcks ett hål på ett ställe finns det på många andra servrar.

– För någon månad sedan prövade vi att söka på Google efter elak kod av en viss typ. Vi hittade 50 000 hackade sidor, säger Klas Schöldström.

På frågan om attackerna kommer att öka i omfång är svaret ett klart ja, enligt Klas Schöldström.

Det kan tyckas vara konstigt eftersom det är enkelt att undvika sql-injektioner.

– Säkra all inkommande information i formulärfält och webbadresser. Uppdatera standardkomponenter. Det är inte svårt men det krävs att någon gör det, säger Klas Schöldström.

Fakta

En sql-injektion betyder att webbutvecklaren har slarvat med att kontrollera de data som användaren kan skicka via formulär eller webbadressfältet.
Om inga kontroller görs kan en hackare skicka farlig kod, i språket sql, som körs av en databas.
Genom att kontrollera exakt all inkommande information på webb­platsen kan sql-injektioner förhindras.
Löpande och ofta förekommande säkerhetsrevisioner är ett måste, enligt säkerhetsexperterna.
När en webbapplikation eller webbplats utvecklas ska säkerheten kontrolleras från och med den första utvecklingsdagen.