Hogy jobban rávilágíthassunk a kritikus globális iparágakat fenyegető kiberfenyegetésekre, a WizCase csapata folyamatos kiberbiztonsági kutatást végez. Legfrissebb kutatásaink során az egészségügyet érintő és az online oktatás területén tapasztalható adatszivárgásokat vizsgáltuk; mindkét terület fontos, ámde meglehetősen elhanyagolt. Számos iparágspecifikus vizsgálatot követően úgy gondoltuk, érdemes lehet egy általános szerverszivárgási elemzést végezni, mivel ezek bármely, adatbázist üzemeltető társaságot érinthetnek. Az elmúlt tíz évben több mint 300 adatszivárgási eset történt 100 000-nél is több rekordot tartalmazó szervereken — óriási adatmennyiség, amelynek kiszivárgása mind a vállalatok, mind felhasználóik számára jelentős kárt okoz.
Az eszköz több változót követ nyomon és ábrázol, hogy láthatóvá váljon a globális adatszivárgások mértéke és súlyossága:
A szerverelemzés-kimutatás manuálisan beállítható időtartama.
Az adott időszakban megvizsgált szerverek teljes száma.
Azt mutatja, hogy a megvizsgált szerverek közül hány darabon futott Elasticsearch-adatbázis.
A biztonságos hitelesítés nélkül hozzáférhető Elasticsearch-adatbázisok száma.
A megvizsgált szerverek hány százaléka volt elérhető biztonságos hitelesítés nélkül, hány százalék igényelt jelszavas azonosítást illetve hány blokkolta teljesen a hozzáférést.
A szerverek hány százalékán volt az adatbázis mérete 1GB alatt, 1 és 100GB között illetve 100GB fölött.
Az adott időszakban az összes védtelen Elasticsearch-adatbázisból nyilvánosan hozzáférhető fájlok száma.
Azon nem biztonságos szerverek száma, amik az adott időszakban a Meow-hoz hasonló, sikeres támadásnak voltak kitéve, adatlopást vagy -törlést eredményezve.
Az ellopott adatok mibenlététől függően, az adatszivárgások áldozatai többféle visszaéléssel lehetnek kénytelenek szembenézni:
Egyes adatok (például bankkártyaadatok) ellopásuk esetén közvetlen anyagi károkozásra alkalmasak, mások (példásul részletes személyes adatok) személyazonosság-lopásra használhatók.
A támadók a megszerzett adatokat az érintett felek zsarolására használhatják. Erre különösen alkalmasak az egészségügyi vagy a pénzügyi adatok.
Az ellopott adatok felhasználhatók az áldozatok – a feltört szolgáltatónál meglévő – felhasználói fiókja feletti irányítás átvételére, de ez kiterjedhet egyéb szolgáltatásokra is, amennyiben az adott felhasználó több helyen is ugyanazokat a bejelentkezési adatokat használja.
Amennyiben a csalók elegendő mennyiségű személyes adathoz jutnak hozzá valakiről, az lehetővé teszi számukra személyre szabott, kimondottan hatásos adathalász vagy egyéb átverések kivitelezését. Ezek segítségével a célszemélyről még több személyes adat nyerhető ki, például bankkártya- és banki adatok.
Az adatszivárgások hatásai természetesen nem csupán azokat érintik, akinek az adatai napvilágra kerültek, hanem azokat is akikre ezeket az adatokat rábízták. Az adatszivárgási incidensnek kitett vállalkozások a következő problémákkal és következményekkel kell szembenézzenek:
A vállalkozások globális működéséből következik, hogy egy adatszivárgás során számos joghatóság kell jogi eljárásokkal szembenézniük. Az ebből származó jogi költségek olyan magasak is lehetnek, ami akár a vállalkozás létét is fenyegetheti.
Egyértelmű, hogy egy jelentős adatszivárgást követően a fogyasztói bizalomvesztés nagyon komoly méreteket ölt. A társaságok felhasználói érzékeny adataikat kénytelenek a vállalkozásokra bízni, így ha az képtelen garantálni az adatok biztonságát, az ügyfelek jó eséllyel más szolgáltatót fognak keresni. Az adatok szerint egy adatszivárgást követően fellépő átlagos üzleti veszteség mintegy 1.4 milliárd dollárra tehető.
Az ellopott információk szellemi tulajdontól, a pénzügyi adatokig számos formában okozhatnak jelentős veszteséget.
Az adatvédelmi előírások betartásának elmulasztása a fentiek mellett sokkal közvetlenebb költségekkel is jár: büntetéssel. A 2017-es Eqifax adatszivárgási incidenst követően az Egyesült Államok Szövetségi Kereskedelmi Bizottsága 700 millió dolláros büntetést szabott ki a vállalatra.
Az adatszivárgási incidensek jelenleg ismert legkomolyabb esetei a világ legnagyobb és legmegbízhatóbbnak tartott vállalkozásait érintik. Nem véletlen, hogy 2018-ra az internethasználók mindegy kétharmadának lopták már el adatait.
Érdemes megjegyezni, hogy az összes érintett csúcsvállalkozás amerikai, ahol az adatszivárgások járulékos költsége lényegesen magasabb a 8.2 millió dolláros globális átlagnál.
Érdemes néhány dolgot megfontolni annak érdekében, hogy egy adatszivárgási incidens rád nézve a lehető legminimálisabb hatással legyen:
Ha ugyanazt a jelszót használod minden regisztrációhoz, egy adatszivárgás esetén akár a többi fiókod adatai is nyilvánossá válhatnak. Használj egy megbízható jelszókezelő alkalmazást, így erős és egyedi jelszavaid lehetnek minden szolgáltatáshoz.
Hiába jutnak illetéktelen kezekbe a belépési adataid, a kétlépcsős azonosítás használatával gyakorlatilag lehetetlen, hogy a támadók hozzáférést szerezzenek a fiókodhoz az alkalmi kód ismerete nélkül.
Egy adatszivárgás-figyelő alkalmazás érzékeli, ha személyes adataid feltűnnek egy adatszivárgási incidensben, a közösségi médiában, kölcsönigényléseken, megrendelésekben és egyéb helyeken. Így esélyed nyílik azonnal reagálni, amint kiderül, hogy az adataid nyilvánosságra kerültek.
Első lépésként a 100%-át, de ezt leszűkítjük 0.06%-ra. Heti egy alkalommal a teljes internetet végigvizsgáljuk olyan IP-címeket keresve, amelyeken gyaníthatóan az Elasticsearch szolgáltatást használják — ez összesen nagyjából 250 000 címet jelent. Ilyen módon a a továbbiakban csupán ezt a 0.06%-ot kitevő szervert kell rendszeresen ellenőrizni ahhoz, hogy a lehető legpontosabb képet kapjuk.
Az adatszivárgás-követő egy nagyszerű megoldás a globális szerverállomány feltérképezésére, sérülékenységek keresésére és annak elemzésére, miként javítható az adatbázisok biztonsága világszerte. Mivel a sérülékeny adatbázisok száma hatalmas, bízunk benne, hogy eszközünk riasztásként szolgálhat minden, az érzékeny adatokat nem biztonságos szerveken tároló vállalkozás számára. Tekintettel arra, hogy egy adatszivárgási incidens átlagos globális költsége megközelíti a 4 millió dollárt, ezen vállalkozások számára létfontosságú, hogy minél gyorsabban biztonságossá tegyék sérülékeny adatbázisaikat.
Az Elasticsearch egy adatbázis-kezelő szoftver, ami különböző típusú adatok rendezésére és keresésre használható. Számtalan felhasználási területe közé tartozik az alkalmazáskeresés, a teljesítmény-nyomonkövetés, naplózási adatok feldolgozása és a biztonsági elemzések. Különösen népszerű nagy sebessége miatt, aminek köszönhetően hatalmas adatmennyiségből is képes ezredmásodpercek alatt keresési eredményeket biztosítani. A világ egyik legnépszerűbb adatbázis-kezelője.
A Meow egy kifejezetten pusztító erejű kibertámadási forma, ami a legtöbb támadási módszerrel ellentétben nem profitvezérelt. Összes funkciója, hogy a nem biztonságos adatbázisokat felkutatja, törli a teljes tartalmukat és adatbázisszerte a “Meow” üzenetet hagyja. A támadás nem csupán a Elasticsearch-adatbázisokat érinti, de többek közt a MongoDB-t, a Cassandrát és a Hadoopot is.
A már említett Meow-n kívül számos egyéb támadási forma célozza a szervereket. Néhány példa:
Szinte bármelyik adatbázis-kezelő kitehető az internetes támadásoknak, amennyiben nem gondoskodnak a kellő biztonságosságáról, azonban egyes típusokat a szokásosnál is gyakrabban hagyják nyitva a támadásokkal szemben, ilyenek például a MongoDB, a Cassandra, a Hadoop és a Jenkins.
Az Elasticsearch számos beépített felhasználói hitelesítési mechanizmussal rendelkezik, annak érdekében hogy kizárólag az arra felhatalmazott felhasználók jelentkezhessenek be és tekinthessék meg az adatokat a szerveren. Azonban ez a funkció önmagában nem elégséges, gondoskodni kell róla, hogy minden felhasználó csak a szerepkörének megfelelő jogosultsággal rendelkezzen. Ez az Elasticserach-ben szerepkör alapú hozzáférési vezérlőmechanizmusnak (role-based access control mechanism – RBAC) nevezik — ami a szerepkörön alapuló jogosultságok kezelésével gondoskodik a fokozott adatbiztonságról.
Természetesen a biztonság tovább is fokozható, azonban már csupán a fejlettebb hitelesítési beállítások alkalmazásával sok szervert lehetne lényegesen biztonságosabbá tenni.
Az adatszivárgás-követő eszközünk minden héten átvizsgálja az internetet olyan nem biztonságos Elasticsearch-adatbázisokat keresve, amelyek potenciális támadási és adatszivárgási célpontok lehetnek (vagy már fel is törték őket). Az adatok ezt követően tárolásra kerülnek, és különböző változók szerint, bármely időintervallumon részletes grafikonok formájában elérhetővé válnak további elemzések céljából.