En halv million databaser uten brannmur

En halv million databaser uten brannmur

Åpen smittevei inn fra internett, hevder sikkerhetsekspert.

Den britiske sikkerhetsforskeren David Litchfield hevder at en halv million databaser mangler brannmur og er eksponert mot risikoer fra nettet.

Litchfield evaluerte over en million vilkårlig genererte IP-adresser, for å se om det var mulig å aksessere dem på IP-portene avholdt for Microsoft SQL Server- eller Oracle-database.

Han fant 157 SQL-servere og 53 Oracle-servere. Litchfield brukte deretter etablerte metoder for å beregne antallet systemer på nettet i sine beregninger:

"Det finnes ca. 368 000 Microsoft SQL Server-databaser [...] og ca. 124 000 Oracle-databaser som er direkte tilgjengelige via Internett" skriver Litchfield i rapporten som publiseres neste uke.

LES OGSÅ: Ny Oracle-database åpen for angrep

IDGs nyhetstjeneste fikk til gang til et utkast til rapporten, Database Exposure Survey 2007.

Uten brannmur

For to år siden kom Litchfield fram til at omtrent 350 000 åpne databaser lå åpne. Han er forundret over de nye høye tallene.

- Dette er forferdelig. Vi løper rundt som hodeløse kyllinger for å sjekke datahull. Men bedriftene der ute bryr seg ikke. Hvorfor er det så mange nettsteder der ute som ikke er beskyttet av brannmur?

Ifølge beregningene fra Litchfield er Oracles andel av fritt tilgjengelige databaser redusert i forhold til Microsofts, uten at han vet hvorfor.

- Microsofts teknologi er lettere å installere. Kanskje forklaringen på økningen er så enkel som det.

Oppdaterer ikke

Et annet urovekkende funn i tallene er at mange lar være å oppdatere ubeskyttede databaser. Ifølge tallene er 4 porosent av SQL Server-databasene fortsatt sårbare for SQL Slammer-ormen fra 2003.

Om lag 82 prosent av SQL Server-databasene kjører på eldre SQL Server 2000-programvare, og under halvparten av disse var oppdatert med siste hovedoppgradering (Service Pack).

På Oracle-siden kjørte 13 prosent av serverne på eldre versjoner av databasene (9.0 og tidligere) som det ikke lenger lages oppdateringer for. Ifølge Litchfield er det kjente sårbarheter i disse databasene.

Sikkerhet