A kiberfenyegetések kritikus globális iparágakban való kiemelése érdekében a WizCase csapata folyamatos kiberbiztonsági kutatást végez. Nemrégiben végzett kutatásaink során megvizsgáltuk az egészségügyben előforduló adatszivárgásokat és az online oktatás adatszivárgásait (mindkettő rendkívül fontos és elhanyagolt). Több konkrét iparágat megvizsgálva úgy gondoltuk, jó lenne elemezni az általános szerverfeltöréseket, amelyek hatással lehetnek az adatbázisokat futtató vállalatokra. Az elmúlt 10 évben több mint 300 visszaélés történt az adatokkal több mint 100 000 rekordot tartalmazó szervereken; ez hatalmas mennyiségű adat, amely mind a vállalatok, mind pedig a felhasználóik számára egyaránt pusztító tud lenni.
Az eszköz nyomon követi és megjeleníti a különböző változókat, hogy felfedje az adatokkal való visszaélések súlyosságát és nagyságát az egész világra nézve:
Adj meg manuálisan egy időszakot, amelyre vonatkozóan szeretnéd megnézni a szerverelemzéseket.
Az adott időszakban megvizsgált szerverek teljes száma.
A megvizsgált szerverek közül hányon futott Elasticsearch-adatbázis.
Hány Elasticsearch-adatbázis maradt elérhető biztonságos hitelesítés nélkül.
Az adatbázisok hány százaléka volt elérhető biztonságos hitelesítés nélkül, hány százaléka blokkolta a hozzáférést teljesen, valamint hány százalékának volt szüksége jelszóra.
A megvizsgált Elasticsearch-adatbázisok hány százalékának volt a mérete 1 GB alatt, 1–100 GB között vagy 100 GB felett.
Az összes nem védett Elasticsearch-adatbázisból egy adott időszakban nyilvánosan hozzáférhető fájlok száma.
Hány nem biztonságos szervert céloztak meg olyan támadások, mint például a Meow, és vezettek adatlopáshoz vagy -törléshez.
Az adatokkal való visszaélés típusától függően többféle módon is felhasználhatják az adatokat a felhasználók ellen:
Az ellopott adatok felhasználhatók közvetlen pénzügyi haszonszerzés céljából, ha olyan adatokat lopnak el, mint például a bankkártyaadatok, illetve bizalmasan kezelendő személyes adatokhoz való hozzájutás esetén személyazonosság-lopásra is fel lehet használni a megszerzett információkat.
A támadók a megszerzett információkat felhasználhatják az érintett felek zsarolásához, különösen így van ez, ha bizalmasan kezelendő egészségügyi információk vagy pénzügyi adatok jutnak a birtokukba.
Az ellopott információk felhasználhatók különböző szolgáltatások fiókjainak eléréséhez (azonos bejelentkezési adatok használata esetén), vagy a feltört szolgáltatóhoz kapcsolódó fiókhoz való hozzáféréshez.
Ha elegendő személyes adatot gyűjtenek össze, akkor lehetővé válik a rendkívül hatékony adathalász támadások vagy csalások testreszabására. Ez rábírhatja az embereket, hogy még érzékenyebb adatokat, például bankkártya- vagy más banki adatokat tárjanak fel.
Az adatokkal való visszaélések nem csak azokat érintik, akiknek az adatait ellopták, hanem azokat is, akiket eredetileg megbíztak az adatok biztonságának megőrzése érdekében. Ha egy vállalat adatokkal való visszaélésbe keveredik, akkor nagy valószínűséggel a következőkkel kell szembenéznie:
Számos vállalkozás globális természetéből adódóan az adatokkal való visszaélés valószínűleg jogi problémákat fog maga után vonni több joghatóságnál is. Ez szélsőséges jogi költségeket eredményezhet, amelyek akár a vállalat létét is veszélyeztethetik.
Egy jelentős mértékű visszaélés után hatalmas a kockázata az ügyfelek bizalmának elvesztésének. Az ügyfelek arra számítanak, hogy a vállalatok biztonságban tartják az adataikat, ezért ha ez mégsem így történik, akkor jó esély van arra, hogy elvigyék máshová a vállalkozásukat. Valójában körülbelül 1,4 millió dollár veszteség éri azokat a vállalkozásokat, amelyeknél adatokkal való visszaélés következik be.
Az ellopott adatok (például a szellemi tulajdon és pénzügyi adatok) számos formában jelentős veszteségeket eredményezhetnek.
Az adatvédelmi szabályok be nem tartása közvetlen pénzbüntetéssel jár. A 2017-ben az Equifaxnál történt adatokkal való visszaélés ahhoz vezetett, hogy az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) 700 millió dollárra büntette meg a vállalatot.
Az adatokkal való visszaélések jelenlegi legnagyobb esetei a legnagyobb és legmegbízhatóbb vállalatokkal történtek meg. Nem meglepő, hogy 2018-ra az internet felhasználói kétharmadának lopták már el az adatait, vagy éltek azokkal vissza.
Érdemes megjegyezni, hogy a leginkább érintett vállalatok mindegyike amerikai, és az adatokkal való visszaélések rájuk jutó átlagos költsége jelentősen magasabb, mint a globális 8,2 millió dollár.
Íme néhány dolog, amely betartása esetén a lehető legkisebb mértékben hat ki rád az adataiddal való esetleges visszaélés:
Ha ugyanazt a jelszót több fiókhoz is használod, ha az egyiknél visszaélnek az adataiddal, akkor a többinél is vissza tudnak élni. Használj egy megbízható jelszókezelőt, így minden szolgáltatáshoz erős és egyedi jelszód lesz!
Ha ellopják a hitelesítő adataidat, de aktiváltad a 2FA funkciót, akkor szinte lehetetlen lesz a támadó számára, hogy hozzáférjen a fiókodhoz anélkül, hogy megadná az extra kódot..
Figyelmeztet, ha a személyes adataid megjelennek egy ellopott adatokat tartalmazó webhelyen, vagy egy kölcsönigénylő lapon, közösségi médián szereplő bejegyzésekben, közüzemi számlákon stb. Így azonnal reagálhatsz, amint megtudod, hogy ellopták az adataidat.
Kezdetben 100%, de aztán ezt 0,06%-ra szűkítjük le. Hetente egyszer az egész internetet átvizsgáljuk, hogy olyan IP-címeket keressünk, amelyekről valószínűleg Elasticsearch keresőmotort futtatnak – összesen nagyjából 250 000-et vizsgálunk meg. Így a teljes internetet a releváns 0,06%-ra szűkítjük le, amelyet aztán rendszeresen átvizsgálunk, hogy a lehető leginkább naprakészek legyünk.
Az adatokkal való visszaélések nyomon követésére szolgáló eszközzel rendkívül jól feltérképezhető a világ szervereinek biztonsági rései, illetve kielemezhető, hogyan lehetne javítani a világ adatbázisainak biztonságán. Tekintettel a sebezhető adatbázisok hatalmas számára, reméljük, hogy a vállalatok és a felhasználók, akik nem biztonságos szervereken tartják a bizalmasan kezelendő adataikat, elkezdenek cselekedni. Figyelembe véve, hogy az adatokkal való visszaélések átlagos költsége globálisan majdnem 4 millió dollár, létfontosságú, hogy a vállalatok a lehető leggyorsabban elkezdjék védeni a sebezhető adatbázisokat.
Az Elasticsearch egy adatbázismotor, amely különböző típusú adatok rendezésére és keresésére szolgál. Számos használati módja van: alkalmazáskeresés, elemzésnaplózás, teljesítményfigyelés és biztonsági elemzések. A felhasználók különösen szeretik a sebességét és azon képességét, hogy ezredmásodpercek alatt hatalmas mennyiségű adat kereshető vele. Az egyik legnépszerűbb adatbázismotorként tartják számon a világban.
A Meow-kibertámadás egy különösen romboló jellegű támadás, amely sok más támadással ellentétben nem keres semmilyen profitot. Egyszerűen megkeresi a nem biztonságos adatbázisokat, és azok minden tartalmát törli, utána pedig maga mögött hagyja a „Meow” kifejezést minden érintett adatbázisban. Ez nem csak az Elasticsearch-adatbázisokat befolyásolja, hanem a MongoDB-t, a Cassandrát, a Hadoopot stb. is.
A fent említett Meow mellett számos olyan támadás létezik, amely szervereket céloz meg, többek között:
Szinte bármilyen adatbázis lehet nem biztonságos, illetve lehet kitéve támadásoknak az interneten. Néhány azok közül, amelyek gyakran vannak kitéve támadásoknak: MongoDB, Cassandra, Hadoop és Jenkins.
Az Elasticsearch számos beépített felhasználói hitelesítési mechanizmust tartalmaz, így csak hitelesített felhasználók jelentkezhetnek be, és tekinthetnek meg adatokat a szerveren. Ez önmagában azonban nem elég, mivel a felhasználóknak megfelelő jogosultságokat kell biztosítani, hogy csak olyan adatokat lássanak, amelyeket szabad nekik. Az Elasticsearch esetében ez „szerepköralapú hozzáférés-vezérlési mechanizmusként” (RBAC) ismert, amely lényegében annyit jelent, hogy minden felhasználó kap egy szerepkört és hozzákapcsolt jogosultságokat a fokozott adatbiztonság érdekében.
Természetesen lehet még fokozni a biztonságot, de speciálisabb hitelesítési beállításokkal számos szervert lehetne sokkal biztonságosabbá tenni.
Az adatokkal való visszaélések nyomon követésére szolgáló eszközünk minden héten átvizsgálja az internetet, és különösen a nem biztonságos Elasticsearch-adatbázisokat keresi meg, amelyek esetében fennáll annak a veszélye, hogy feltörik (vagy amelyek esetében ez már meg is történt). Ezután tárolja ezeket az adatokat, és részletes grafikon formájában teszi elérhetővé, több változóval, így pontos időszakot és adatokat elemezhetsz.
A WizCase egy független áttekintéseket tartalmazó oldal. Olvasói támogatást kapunk, így jutalékot kaphatunk, ha webhelyünkön található hivatkozásokon keresztül vásárol. Nem fizet többet semmiért sem, ha a webhelyünkön vásárol: jutalékunkat közvetlenül a termék tulajdonosától kapjuk.
Támogassa a WizCase-t a tisztességes és elfogulatlan tanácsadás garantálásában. Támogasson minket azáltal, hogy megosztja webhelyünket!