Meer dan vier jaar geleden werd een VN-website via SQL Injection gehackt, maar het probleem is nog altijd niet opgelost, ondanks dat de organisatie hier meerdere keren op is gewezen. Vorige week werd de VN weer het doelwit van een SQL Injection-aanval, dit keer afkomstig van Anonymous. "Als de VN na vier jaar hun websites niet kan beveiligen, is het onwaarschijnlijk dat het ze ooit zal lukken", zegt Robert Graham van Errata Security.

De beveiligingsexpert merkt dat er geen reden voor de VN is om het probleem niet op te lossen. "SQL Injection is de eenvoudigste fout om te verhelpen. Stop met het behandelen van alle data als code. Het verschil tussen de juiste en foute manier is duidelijk en onmogelijk te missen." De meeste hackeraanvallen zijn volgens Graham lastig te begrijpen, maar dat geldt niet voor SQL Injection.

Incompetent
Graham vermoedt dat de programmeurs van de VN-website niet slim genoeg zijn om het probleem op te lossen. "Ook al is dit één van de eenvoudigste problemen om op te lossen, de meeste webprogrammeurs zijn nog steeds niet slim genoeg om het te verhelpen." Het probleem is dat veel programmeurs niet de echte werking van hun code begrijpen, gaat de expert verder.

Voor de VN zou het daarom makkelijker zijn om met een gehackte website om te gaan dan het probleem op te lossen. "Dit geldt met name voor een organisatie zoals de VN, waar de managers nog minder slim dan de programmeurs zijn, en niet de mogelijkheid hebben om hun incompetentie programmeurs te ontslaan."

De website in kwestie zou geen gevoelige gegevens bevatten. Toch zou een competente programmeur een probleem als SQL Injection nooit toestaan, besluit Graham.