Lučki radnik, alat osmišljen kako bi olakšao stvaranje, implementaciju i pokretanje aplikacija (kao spremnika), danas je jedna od najpopularnijih tehnologija u okruženjima poslužitelja u oblaku.
Unatoč zajedničkom izvješću Cisca i Rapid7 iz 2017. da ih ima više od 1000 Docker kontejnera ostalo je izloženo online bez ikakve provjere autentičnosti, do sada nije bilo većih povreda podataka prijavljenih putem ove tehnologije.
Unatoč tome, potencijal za zlouporabu postoji i već se iskorištava. Ne od kradljivaca podataka, već grupama za kripto rudarenje.
Postoje neki koraci koje vlasnici poslužitelja mogu preuzeti.
Amazon Simple Storage Service, ili Amazon S3, usluga je pohrane podataka koja se isporučuje s Amazonovim web hosting paketom Amazon Web Services (AWS). Tijekom proteklih nekoliko godina, S3 je bio noćna mora za rad, dolazi s kompliciranim kontrolama i postavkama, koje doveli su do mnogih incidenata u kojima su tvrtke ostavile S3 servere izložene online, cureći osjetljive podatke put. Evo kratkog popisa najvećih incidenata:
- Razotkriven nezaštićeni S3 poslužitelj tisuće FedExovih podataka o kupcima
- Otkrivena pogreška AWS S3 GoDaddy poslovne tajne
- Accenture ostavio golemu riznicu vrlo osjetljivih podataka, uključujući "ključeve kraljevstva," na izloženim poslužiteljima
- Evidencija kupaca za najmanje 14 milijuna pretplatnika Verizona, uključujući telefonske brojeve i PIN-ove računa, bili su izloženi putem S3 spremnika
- Spremnik Verizon AWS S3 koji sadrži više od 100 MB podataka o interni sustav naplate tvrtke također je pronađeno izloženo na internetu
- S3 baza podataka koja je ostala izložena procurila je osobna detalji prijava za posao koji su imali strogo povjerljivo odobrenje vlade
- Drugi S3 poslužitelj otkrio je detalje 198 milijuna američkih birača
- Nacionalna kreditna federacija procurili su podaci američkih građana kroz nezaštićenu AWS kantu
- Nigerijski zrakoplovni prijevoznik Arik Air također su procurili podaci o klijentima putem otkrivene S3 kante
- Džepni iNet ISP izložio 73 GB podataka uključujući tajne ključeve, obične tekstualne lozinke
- Curenje S3 kod Alteryxa ostavio 123 milijuna američkih kućanstava izloženih prijevari i spamu
- AgentRun, osiguravateljski startup, također je otkrio osjetljive podatke o zdravlju kupaca putem amiskonfigurirane Amazon S3 kante
- Web stranica kampanje Donalda Trumpa također su procurili životopisi pripravnika putem S3 kante
- Tvrtka za špijunski softver SpyFone također ostavio podatke o kupcima, snimke izložene online putem S3 poslužitelja
- Booz Allen Hamilton, vrhunski izvođač DOD-a, otkrio je 60.000 datoteka, uključujući sigurnosne vjerodajnice zaposlenika i lozinke za sustav američke vlade
- Poslužitelj AWS S3 otkrio je osobne podatke više tri milijuna obožavatelja WWE-a koji su se registrirali na stranicama tvrtke
- An tvrtka za automatsko praćenje procurilo više od pola milijuna podataka o automobilu i vlasniku automobila.
- Tvrtka za glasačke strojeve Election Systems & Software (ES&S) ostavila je S3 kantu izloženu na internetu koja je sadržavala osobne podatke 1,8 milijuna glasača Chicaga
- Dow Jones procurili osobni podaci 2,2 milijuna kupaca
- Iz spremnika S3 procurili su podaci tisuće zaposlenika australske vlade i banaka
- Password Manager Keeper također je otkrio S3 poslužitelj
MongoDB, rješenje baze podataka NoSQL, bio je u središtu mnogih curenja podataka, vjerojatno isto koliko i AWS S3 incidenata, ako ne i više. Evo malog -- i vrlo nepotpunog -- popisa:
- Curenje MongoDB poslužitelja 11 milijuna korisničkih zapisa iz kalifornijske usluge e-marketinga
- MongoDB poslužitelj curi podatke od gotovo 700.000 kupaca Amex India
- Tvrtka za upravljanje podacima Veeam curi 445 milijuna zapisa
- Garminova Navionics otkrila je podatke koji pripadaju tisuće kupaca
- Životopisi koji sadrže osjetljive informacije o više 202 milijuna kineskih korisnika ostavljeni izloženi online
- Francuska novinska stranica L'Express izloženi čitateljski podaci na liniji
- OCR softver dev izlaže 200.000 dokumenata kupaca
- MongoDB poslužitelj izlaže baza podataka aplikacije za čuvanje djece
- Podaci o zdravstvenoj zaštiti od dva milijuna ljudi u Meksiku izložen online
- Skoro 9,5 milijuna PII zapisa procurio agregator podataka Adapt
- Dobrotvorna organizacija za djecu Kars4Kids otkriva informacije o tisuće donatora
- Baza podataka o napuštenoj iOS aplikaciji otkriva detalje za 198.000 korisnika
- Microsoftovo web mjesto za karijere curili su podaci preko pogrešno konfigurirane MongoDB baze podataka
Za osiguranje MongoDB poslužitelja, savjeti navedeni u ovome post na blogu je prvi korak koji bi većina administratora baze podataka trebala poduzeti.
Kibana je programski paket koji radi kao vizualno sučelje (GUI) za pregled ElasticSearch podataka. Gotovo uvijek se instalira s ElasticSearch klasterima.
Mnoge sigurnosne provale za koje je prijavljeno da ih uzrokuje ElasticSearch u stvarnosti su uzrokovali administratori ostavljajući Kibana sučelje bez lozinke, dok je ElasticSearch server ispod dobro osiguran. Vrijedi i suprotan scenarij, gdje Kibana ima lozinku, ali ElasticSearch poslužitelj ostaje širom otvoren na internetu.
Teško je post factum razlučiti koja je od kršenja ElasticSearcha uzrokovala Kibana, a koja ElasticSearch. Napravili smo zaseban slajd kako bismo osigurali da vlasnici poslužitelja ElasticSearch razumiju da i oni trebaju pobrinite se da lozinkom zaštite svoje Kibana aplikacije kao i poslužitelj ElasticSearch koji radi ispod to.
Rsync je uslužni program za sigurnosno kopiranje podataka koji računalima omogućuje sinkronizaciju i prijenos datoteka između različitih radnih stanica. To je internetska usluga, što automatski znači da je gotovo zajamčeno da ju je netko krivo konfigurirao barem jednom. I, imaju.
Najozloglašeniji incidenti u kojima su pogrešne konfiguracije rsync dovele do povrede podataka uključuju (1) izvješće iz 2016. kada je otkriven propusni rsync poslužitelj novi dokaz o samoubojstvu zatvorenika, (2) operater neželjene pošte koji procurilo 1,37 milijardi email adresa putem usluge rsync i (3) Oklahoma Department of Securities, koji procurili detalji o istragama FBI-a ranije ove godine.
CouchDB je manje poznato NoSQL rješenje baze podataka otvorenog koda. Kodiran je u Erlangu, a trenutno ga razvija Zaklada Apache.
Baš kao i ostala braća baze podataka, CouchDB se može pogrešno konfigurirati i mogu curiti podaci. Prošle povrede podataka uzrokovane CouchDB instancama uključuju Baza podataka Thomson Reuters World-Check osoba osumnjičenih za terorističke aktivnosti, a baza podataka za upravljanje alarmnim sustavima u bankama i vladinim agencijama Oklahome te CouchDB koji pohranjuje podatke za 154 milijuna američkih birača.
CouchDB sigurnosni vodič je dostupan ovdje.
Etcd je poslužitelj baze podataka koji se najčešće koristi u korporativnim i računalnim okruženjima u oblaku. Oni su a standardni dio CoreOS-a, operativni sustav razvijen za okruženja hostinga u oblaku, gdje se koriste kao dio sustava klasteriranja OS-a. CoreOS koristi etcd poslužitelj kao središnje okruženje za pohranu lozinki i pristupnih tokena za aplikacije postavljene putem njegovog sustava klasteriranja/spremnika.
Tehnologija je relativno nova i do danas je zabilježeno samo jedno curenje podataka uzrokovano etcd bazom podataka -- ono finskog proizvođača telefona Nokia. Međutim, potencijal za više postoji, jer postoji preko 2.200 etcd poslužitelja trenutno izloženi online, od kojih neki mogu biti slobodno dostupni svima.
Firebase je ponuda Backend-as-a-Service od Googlea koja sadrži veliku zbirku usluga koje mobilni programeri mogu koristiti u stvaranju mobilnih i web aplikacija.
An Appthority izvješće iz lipnja 2018 otkrili su da tisuće iOS i Android mobilnih aplikacija izlažu više od 113 GB podataka putem više od 2271 pogrešno konfigurirane Firebase baze podataka.
Jira je vlasnički proizvod za praćenje problema koji je razvio Atlassian. JIRA ima reputaciju da ju je teško konfigurirati zbog izraza koje koristi u svojim kontrolama korisničkog sučelja. Tijekom proteklih nekoliko godina, organizacije koje su slučajno objavile JIRA ploče uključuju NASA, the Ujedinjeni narodi, i... tisuće više.
Trello je web aplikacija za upravljanje projektima koju je razvio Atlassian. Pati od istih zbunjujućih formulacija raznih kontrola korisničkog sučelja koje ponekad dovode do slučajnog izlaganja internih projektnih odbora tvrtki. Slučajna izlaganja dogodila su se na Ujedinjeni narodi, vlada UK-a, i kanadska vlada.
Ponekad, slučajno izlaganje nekih Trello ploča može postati puno mnogo gore ako zaposlenici objave lozinke za druge usluge i poslužitelje na tim pločama, što se čini uobičajena praksa.
Kubernetes je nova vrsta softvera koji se obično postavlja na infrastrukturu poslužitelja u oblaku. Koristi se za upravljanje velikim IT mrežama i za brzu implementaciju spremnika aplikacija na više poslužitelja. Ako ikad ostanu izloženi online, takvi sustavi obično otkrivaju ključeve kraljevstva, dopuštajući napadačima pristup postojećim spremnicima poslužitelja ili postavljanje novih s određenim zadacima na umu.
Najistaknutije tvrtke koje su pretrpjele povredu zbog otkrivene instance Kubernetesa uključuju Tesla Motors i Promatrači težine.
Iako je više od 20 000 Kubernetes sustava trenutačno dostupno na mreži, većina je ispravno osigurana i do sada je bilo vrlo malo curenja podataka koji su potekli iz Kubernetesa.
Ali daj mu vremena! Tehnologija je još uvijek nova i nema sumnje da će u nadolazećim mjesecima i godinama biti mnogo zabuna. Ako Kubernetes administratori žele osigurati takve sustave, ova stranica je prvo mjesto na koje treba ići.
Lučki radnik, alat osmišljen kako bi olakšao stvaranje, implementaciju i pokretanje aplikacija (kao spremnika), danas je jedna od najpopularnijih tehnologija u okruženjima poslužitelja u oblaku.
Unatoč zajedničkom izvješću Cisca i Rapid7 iz 2017. da ih ima više od 1000 Docker kontejnera ostalo je izloženo online bez ikakve provjere autentičnosti, do sada nije bilo većih povreda podataka prijavljenih putem ove tehnologije.
Unatoč tome, potencijal za zlouporabu postoji i već se iskorištava. Ne od kradljivaca podataka, već grupama za kripto rudarenje.
Postoje neki koraci koje vlasnici poslužitelja mogu preuzeti.
Redis je pohrana strukture podataka otvorenog koda u memoriji, koja se može koristiti kao baza podataka, sustav predmemorije i broker poruka. Po dizajnu, Redis ne dolazi sa zadanim sustavom provjere autentičnosti i svi podaci pohranjeni u njegovoj memoriji pohranjeni su u čistom tekstu.
Tijekom proteklih nekoliko godina pojavila su se brojna izvješća koja upozoravaju da su deseci tisuća Redis poslužitelja trenutno dostupni na mreži bez lozinke.
Iako je mali broj tvrtki izgubio podatke od hakera nakon što su poslužitelje ostavili izložene online, većina hakerskih grupa usredotočila se na korištenje ovih poslužitelja za operacije kripto rudarenja, uglavnom zato što imaju pristup velikim hardverskim resursima kojima drugi sustavi baza podataka nemaju tendenciju imati.
Istraživanje Imperve iz 2018. pokazalo je to 75 posto svih Redis poslužitelja trenutno bez lozinke na mreži već je bio zaražen jednom ili više vrsta zlonamjernog softvera. Iako tvrtke možda nisu zainteresirane za zaštitu poslužitelja od napada zlonamjernog softvera, te se infekcije još uvijek uzimaju u obzir kršenja, a tvrtke će biti prisiljene slati obavijesti o kršenju kada se otkrije takav incident (koji se smatra upadom), bez obzira na to. Dakle, na kraju, vlasnicima poslužitelja ne bi škodilo da pogledaju Redis sigurnosna stranica i slijedite savjete i savjete na toj stranici.