Her er hackernes foretrukne arbejds-metode

En bestemt klassisk hackermetode anvendes i 97 procent af alle sikkerheds-brud. Alligevel har sikkerhedsfolkene åbenbart problemer.

Artikel top billede

Computerworld News Service: SQL-injektion er blevet anvendt i hackerangreb i over 10 år, og de it-sikkerhedsprofessionelle burde være mere end dygtige nok til at beskytte mod denne teknik.

Alligevel er SQL-injektion en del af billedet i hele 97 procent af alle tilfælde af kompromittering af data på verdensplan, påpeger Neira Jones, der er chef for betalingssikkerhed hos finansvirksomheden Barclays. 

Neira Jones mener, at hackere udnytter virksomheders utilstrækkelige og ofte forældede informationssikkerheds-praksis.
Med henvisning til de seneste tal fra Storbritanniens National Fraud Authority oplyser hun , at identitetstyveri årligt koster Storbritannien 24 milliarder kroner og påvirker over 1,8 millioner mennesker.

"Datakompromittering vil statistisk set med sikkerhed forekomme," fremhæver Jones.

"Ser man på, hvad offentligheden bekymrer sig om, så er beskyttelsen af personfølsomme oplysninger faktisk på samme niveau som forhindring af kriminalitet."

Sådan fungerer SQL-injektion

SQL-injektion er en teknik til at indsætte fremmed kode, der udnytter sårbarheder i et websites software.

Herved kan angriberen blive i stand til at foretage enhver SQL-forespørgsel eller -kommando på database-serveren via den kompromitterede webapplikation.

I oktober 2011 plantede angribere eksempelvis skadelig JavaScript på Microsofts ASP.Net-platform.

Dette fik de besøgendes browsere til at indlæse en iframe med et ud af to skadelige og uautoriserede websites, som forsøgte at installere malware på den besøgendes pc ved hjælp af flere forskellige såkaldte drive-by-angreb mod browseren.

Microsoft har i hvert fald siden 2005 selv leveret information til ASP.Net-programmører om, hvordan man beskytter mod SQL-injektion.

Alligevel lykkedes det dette angreb at påvirke cirka 180.000 websider.

Neira Jones argumenterer for, det er nødvendigt, at  datakriminalitet og databeskyttelse rykker højere op på bestyrelsernes dagsordener.

Ét skridt af gangen

For at det skal komme til at ske, er it-sikkerhedscheferne nødt til at vurdere risikoniveauet i deres organisationer og tage det hele ét skridt af gangen.

"Jeg siger altid, hvis nogen siger APT (advanced persistent threat, eller på dansk avanceret vedvarende trussel, såsom spionage eller terrorisme udført eller støttet af en fjendtlig stat eller organisation, red.), at en engel dør i himlen, for det er ikke ATP'er, der er problemet," siger Jones.

"Dermed ikke sagt, at de ikke eksisterer, men lad os lige løse de grundlæggende problemer først. Er man fuldstændigt sikker på, at man ikke er sårbar overfor SQL-injektioner? Og har man kodet sin webapplikation på en sikker måde?"

Generelt tager det seks til otte måneder for en organisation at finde ud af, at dens data er blevet kompromitteret i et angreb, tilføjer Neira Jones.

Ved at kende sin risikoprofil og træffe nogle enkle, proaktive foranstaltninger såsom modellering af trusselsscenarier kan man dog ifølge Jones forhindre op mod 87 procent af alle angreb.

Oversat af Thomas Bøndergaard

Læses lige nu

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos