Depois de alguns anos de um declínio estável, 2014 testemunhou um significativo aumento em vulnerabilidades de injeção de SQL identificadas em pacotes de software lançados publicamente. Uma pesquisa da DB Networks indica que isso pode ser atribuído diretamente à metodologia de desenvolvimento de software atual, que enfatiza deadlines e orçamentos que dão pouca atenção ao tipo de diligência em segurança necessária atualmente.
A DB Networks analisou estatísticas do National Vulnerability Database, um repositório de dados de cibervulnerabilidades financiado pelo governo federal e mantido pelo National Institute of Standards and Technology, para chegar às suas conclusões sobre o assunto. O ano passado produziu o maior número de vulnerabilidades relacionadas a SQL identificadas desde 2011 e 104% a mais do que 2013.
“Apesar dos esforços dos gerentes de projeto, o desenvolvimento de software quase sempre corre contra o tempo e restrições de custos”, disse Dave Rosenberg, CTO da DB Networks. “Quando o relógio está correndo, parece que testes de segurança estão entre as primeiras tarefas a serem deixadas de lado”, completou.
A esperança é que essas vulnerabilidades de injeção de SQL sejam identificadas e os pacotes de software liberados antes que criminosos possam explorar as falhas. Com a média de custo de vazamento de dados estando em torno de US$ 6 milhões, é fundamental identificar e remediar as vulnerabilidades o mais rápido possível.
As ramificações de uma vulnerabilidade de injeção de SQL ocorrendo em um pacote de software popular podem ser enormes. Em outubro do ano passado, uma falha de injeção de SQL foi identificada no Drupal e afetou milhões de sites.
Os cibercriminosos têm a seu lado as probabilidades e o tempo – aplicativos complexos com grandes números de rotinas que geram pesquisas em SQL têm mais chances de descobrirem uma falha, e aqueles procurando explorar um sistema precisam apenas de uma falha para alcançar seus objetivos. Eles podem aplicar suas ferramentas 24/7, até que a falha seja descoberta. Por outro lado, desenvolvedores de software precisam executar suas tarefas de forma perfeita enquanto respondem a benchmarks e deadlines.
Embora seja cedo para uma previsão concreta, os dados de 2015 indicam que a tendência de crescimento em vulnerabilidades de injeção de SQL deva continuar este ano.
Com informações de Help Net Security