Her er hackernes foretrukne arbejds-metode

En bestemt klassisk hackermetode anvendes i 97 procent af alle sikkerheds-brud. Alligevel har sikkerhedsfolkene åbenbart problemer.

Artikel top billede

Computerworld News Service: SQL-injektion er blevet anvendt i hackerangreb i over 10 år, og de it-sikkerhedsprofessionelle burde være mere end dygtige nok til at beskytte mod denne teknik.

Alligevel er SQL-injektion en del af billedet i hele 97 procent af alle tilfælde af kompromittering af data på verdensplan, påpeger Neira Jones, der er chef for betalingssikkerhed hos finansvirksomheden Barclays. 

Neira Jones mener, at hackere udnytter virksomheders utilstrækkelige og ofte forældede informationssikkerheds-praksis.
Med henvisning til de seneste tal fra Storbritanniens National Fraud Authority oplyser hun , at identitetstyveri årligt koster Storbritannien 24 milliarder kroner og påvirker over 1,8 millioner mennesker.

"Datakompromittering vil statistisk set med sikkerhed forekomme," fremhæver Jones.

"Ser man på, hvad offentligheden bekymrer sig om, så er beskyttelsen af personfølsomme oplysninger faktisk på samme niveau som forhindring af kriminalitet."

Sådan fungerer SQL-injektion

SQL-injektion er en teknik til at indsætte fremmed kode, der udnytter sårbarheder i et websites software.

Herved kan angriberen blive i stand til at foretage enhver SQL-forespørgsel eller -kommando på database-serveren via den kompromitterede webapplikation.

I oktober 2011 plantede angribere eksempelvis skadelig JavaScript på Microsofts ASP.Net-platform.

Dette fik de besøgendes browsere til at indlæse en iframe med et ud af to skadelige og uautoriserede websites, som forsøgte at installere malware på den besøgendes pc ved hjælp af flere forskellige såkaldte drive-by-angreb mod browseren.

Microsoft har i hvert fald siden 2005 selv leveret information til ASP.Net-programmører om, hvordan man beskytter mod SQL-injektion.

Alligevel lykkedes det dette angreb at påvirke cirka 180.000 websider.

Neira Jones argumenterer for, det er nødvendigt, at  datakriminalitet og databeskyttelse rykker højere op på bestyrelsernes dagsordener.

Ét skridt af gangen

For at det skal komme til at ske, er it-sikkerhedscheferne nødt til at vurdere risikoniveauet i deres organisationer og tage det hele ét skridt af gangen.

"Jeg siger altid, hvis nogen siger APT (advanced persistent threat, eller på dansk avanceret vedvarende trussel, såsom spionage eller terrorisme udført eller støttet af en fjendtlig stat eller organisation, red.), at en engel dør i himlen, for det er ikke ATP'er, der er problemet," siger Jones.

"Dermed ikke sagt, at de ikke eksisterer, men lad os lige løse de grundlæggende problemer først. Er man fuldstændigt sikker på, at man ikke er sårbar overfor SQL-injektioner? Og har man kodet sin webapplikation på en sikker måde?"

Generelt tager det seks til otte måneder for en organisation at finde ud af, at dens data er blevet kompromitteret i et angreb, tilføjer Neira Jones.

Ved at kende sin risikoprofil og træffe nogle enkle, proaktive foranstaltninger såsom modellering af trusselsscenarier kan man dog ifølge Jones forhindre op mod 87 procent af alle angreb.

Oversat af Thomas Bøndergaard

Læses lige nu

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos