Docker, orodje, zasnovano za lažje ustvarjanje, uvajanje in izvajanje aplikacij (kot vsebnikov), je danes ena najbolj priljubljenih tehnologij v okoljih strežnikov v oblaku.
Kljub skupnemu poročilu podjetij Cisco in Rapid7 iz leta 2017, ki ugotavlja, da obstajajo več kot 1000 vsebnikov Docker je ostalo izpostavljenih na spletu brez kakršnega koli preverjanja pristnosti, do zdaj ni bilo nobenih večjih kršitev podatkov, sporočenih prek te tehnologije.
Kljub temu možnost zlorabe obstaja in se že izkorišča. Ne tatovi podatkov, ampak skupine za kripto rudarjenje.
Da bi se izognili kakršnim koli morebitnim ugrabitvam vsebnika Docker -- kar lahko vodi do kraje podatkov ali nenamernega uhajanja -- obstajajo nekaj korakov ki jih lastniki strežnikov lahko sprejmejo.
Amazon Simple Storage Service ali Amazon S3 je storitev za shranjevanje podatkov, ki je vključena v Amazonov paket spletnega gostovanja Amazon Web Services (AWS). V zadnjih nekaj letih je bil S3 nočna mora za delo, saj je prihajal z zapletenimi kontrolami in nastavitvami, ki so pripeljali do številnih incidentov, ko so podjetja pustila strežnike S3 izpostavljene na spletu, zaradi česar so uhajali občutljivi podatki način. Tukaj je kratek seznam največjih incidentov:
- Razkrit nezaščiten strežnik S3 na tisoče FedExovih zapisov strank
- Razkrita napaka AWS S3 GoDaddy poslovne skrivnosti
- Accenture pustil ogromno zelo občutljivih podatkov, vključno s "ključi kraljestva," na izpostavljenih strežnikih
- Zapisi strank za vsaj 14 milijonov naročnikov Verizona, vključno s telefonskimi številkami in PIN-i računa, so bili razkriti prek vedra S3
- Vedro Verizon AWS S3, ki vsebuje več kot 100 MB podatkov o interni sistem obračunavanja podjetja je bil razkrit tudi na spletu
- Podatkovna baza S3, ki je ostala izpostavljena, je pricurljala osebna podrobnosti prijav za delo ki je imel vladno dovoljenje Top Secret
- Drugi strežnik S3 je razkril podrobnosti o 198 milijonov ameriških volivcev
- Nacionalna kreditna federacija pricurljali podatki državljanov ZDA prek nezavarovanega vedra AWS
- Nigerijska letalska družba Arik Air pricurljali tudi podatki o strankah prek izpostavljenega vedra S3
- Pocket iNet ISP izpostavljenih 73 GB podatkov, vključno s skrivnimi ključi, navadnimi besedilnimi gesli
- Puščanje S3 pri Alteryxu je 123 milijonov ameriških gospodinjstev pustilo izpostavljenih goljufijam in neželeni pošti
- AgentRun, zavarovalniški zagon, je prav tako razkril občutljive podatke o zdravju strank prek amiskonfiguriranega vedra Amazon S3
- Spletna stran kampanje Donalda Trumpa prav tako razkriti pripravniški življenjepisi prek vedra S3
- Podjetje za vohunsko programsko opremo SpyFone pustil tudi podatke o strankah, posnetke, izpostavljene na spletu prek strežnika S3
- Booz Allen Hamilton, vrhunski izvajalec Ministrstva za obrambo, je razkril 60.000 datotek, vključno z varnostnimi poverilnicami zaposlenih in gesli za vladni sistem ZDA
- Strežnik AWS S3 je razkril osebne podatke več tri milijone oboževalcev WWE ki so se registrirali na straneh podjetja
- An podjetje za samodejno sledenje pricurljalo več kot pol milijona podatkov o avtomobilih in lastnikih avtomobilov.
- Podjetje za glasovalne naprave Election Systems & Software (ES&S) je na spletu pustilo vedro S3, ki je vsebovalo osebne zapise 1,8 milijona volivcev Chicaga
- Dow Jones pricurljali osebni podatki 2,2 milijona strank
- Iz vedra S3 so pricurljali podatki na tisoče avstralskih vladnih in bančnih uslužbencev
- Upravitelj gesel Keeper izpostavil tudi strežnik S3
MongoDB, rešitev baze podatkov NoSQL, je bila v središču številnih uhajanj podatkov, verjetno toliko kot incidenti AWS S3, če ne več. Tukaj je majhen – in zelo nepopoln – seznam:
- Puščanje strežnika MongoDB 11 milijonov uporabniških zapisov iz kalifornijske storitve e-trženja
- Strežnik MongoDB pušča podatke o skoraj 700.000 strank Amex India
- Podjetje za upravljanje podatkov Veeam uhaja 445 milijonov zapisov
- Garmin's Navionics razkrili podatke, ki pripadajo na tisoče strank
- Življenjepisi, ki vsebujejo občutljive podatke o več 202 milijona kitajskih uporabnikov ostali izpostavljeni na spletu
- Francoska novičarska stran L'Express izpostavljeni podatki o bralcih na spletu
- OCR programska oprema razkriva 200.000 dokumentov strank
- Strežnik MongoDB razkriva baza podatkov aplikacije za varstvo otrok
- Podatki o zdravstvenem varstvu dva milijona ljudi v Mehiki razkrinkan na spletu
- Skoraj 9,5 milijona zapisov PII pricurljal z zbiralnikom podatkov Adapt
- Otroška dobrodelna organizacija Kars4Kids razkriva podatke o na tisoče donatorjev
- Podatkovna baza opuščene aplikacije za iOS razkriva podrobnosti za 198.000 uporabnikov
- Microsoftovo karierno spletno mesto uhajanje podatkov prek napačno konfigurirane zbirke podatkov MongoDB
Za zaščito strežnikov MongoDB upoštevajte nasvete, navedene v tem blog objava je prvi korak, ki bi ga morala narediti večina skrbnikov baz podatkov.
Kibana je programski paket, ki deluje kot vizualni vmesnik (GUI) za pregledovanje podatkov ElasticSearch. Skoraj vedno je nameščen z gručami ElasticSearch.
Številne kršitve varnosti, za katere poročajo, da jih je povzročil ElasticSearch, so v resnici povzročili skrbniki pustite vmesnik Kibana brez gesla, medtem ko je strežnik ElasticSearch pod njim dobro zavarovana. Velja tudi nasprotni scenarij, kjer ima Kibana geslo, vendar je strežnik ElasticSearch v internetu na stežaj odprt.
Težko je post factum ločiti, katere od kršitev ElasticSearch je povzročil Kibana in katere ElasticSearch. Ustvarili smo ločen diapozitiv, da zagotovimo, da lastniki strežnikov ElasticSearch razumejo, da morajo tudi oni poskrbite, da z geslom zaščitijo svoje aplikacije Kibana in strežnik ElasticSearch, ki deluje pod njim to.
Rsync je pripomoček za varnostno kopiranje podatkov, ki računalnikom omogoča sinhronizacijo in prenos datotek med različnimi delovnimi postajami. To je internetna storitev, kar samodejno pomeni, da je skoraj zagotovljeno, da jo je nekdo vsaj enkrat napačno konfiguriral. In imajo.
Najbolj razvpiti incidenti, pri katerih so napačne konfiguracije rsync povzročile kršitve podatkov, vključujejo (1) poročilo iz leta 2016, ko je bil razkrit puščajoči strežnik rsync novi dokazi o samomoru zapornika, (2) operater neželene pošte, ki pricurljalo 1,37 milijarde elektronskih naslovov prek storitve rsync in (3) Oklahoma Department of Securities, ki pricurljale podrobnosti o preiskavah FBI v začetku tega leta.
CouchDB je manj znana odprtokodna rešitev baze podatkov NoSQL. Kodiran je v Erlangu in ga trenutno razvija fundacija Apache.
Tako kot njeni drugi bratje baze podatkov je CouchDB lahko napačno konfiguriran in lahko uhajajo podatki. Pretekle kršitve podatkov, ki so jih povzročile instance CouchDB, vključujejo Baza podatkov Thomson Reuters World-Check oseb, osumljenih teroristične dejavnosti, a baza podatkov za upravljanje alarmnih sistemov pri bankah in vladnih agencijah v Oklahomi ter CouchDB, ki hrani podatke za 154 milijonov ameriških volivcev.
Varnostni vodnik CouchDB je na voljo tukaj.
Etcd je strežnik baz podatkov, ki se najpogosteje uporablja v podjetniških okoljih in računalniških okoljih v oblaku. So a standardni del CoreOS, operacijski sistem, razvit za okolja gostovanja v oblaku, kjer se uporabljajo kot del sistema združevanja v gruče OS. CoreOS uporablja strežnik etcd kot osrednje okolje za shranjevanje gesel in žetonov dostopa za aplikacije, nameščene prek njegovega sistema združevanja v gruče/vsebnika.
Tehnologija je razmeroma nova in do danes je prišlo do samo enega uhajanja, ki ga je povzročila baza podatkov etcd – tista finskega proizvajalca telefonov. Nokia. Vendar obstaja možnost za več, saj je več kot 2200 strežnikov itd trenutno izpostavljeni na spletu, od katerih so nekateri lahko prosto dostopni vsakomur.
Firebase je Googlova ponudba Backend-as-a-Service, ki vsebuje obsežno zbirko storitev, ki jih lahko mobilni razvijalci uporabljajo pri ustvarjanju mobilnih in spletnih aplikacij.
An Poročilo Appthority iz junija 2018 ugotovil, da na tisoče mobilnih aplikacij za iOS in Android izpostavlja več kot 113 GB podatkov prek več kot 2.271 napačno konfiguriranih baz podatkov Firebase.
Jira je lastniški izdelek za sledenje težavam, ki ga je razvil Atlassian. JIRA ima sloves, da jo je težko konfigurirati zaradi izrazov, ki jih uporablja v svojih kontrolnikih uporabniškega vmesnika. V zadnjih nekaj letih so med organizacijami, ki so plošče JIRA pomotoma objavile, vključene NASA, the Združeni narodi, in... na tisoče več.
Trello je spletna aplikacija za vodenje projektov, ki jo je razvil Atlassian. Trpi zaradi enakega zmedenega besedila različnih kontrol uporabniškega vmesnika, ki včasih vodijo do nenamerne izpostavljenosti notranjih projektnih odborov podjetij. Naključne izpostavljenosti so se zgodile na Združeni narodi, vlada Združenega kraljestva, in kanadska vlada.
Včasih lahko nenamerna izpostavljenost nekaterih plošč Trello postane veliko veliko hujša, če zaposleni objavijo gesla za druge storitve in strežnike na teh ploščah, kar se zdi pogosta praksa.
Kubernetes je nova vrsta programske opreme, ki se običajno uporablja v infrastrukturi strežnika v oblaku. Uporablja se za upravljanje velikih omrežij IT in za hitro uvajanje vsebnikov aplikacij v več strežnikih. Če taki sistemi kdaj ostanejo izpostavljeni na spletu, običajno razkrijejo ključe kraljestva, s čimer napadalcem omogočijo dostop do obstoječih strežniških vsebnikov ali uvedbo novih s posebnimi nalogami v mislih.
Najvidnejša podjetja, ki so utrpela kršitev zaradi izpostavljenega primerka Kubernetes, vključujejo Tesla Motors in Opazovalci teže.
Čeprav je na spletu trenutno na voljo več kot 20.000 sistemov Kubernetes, je večina ustrezno zavarovanih in do zdaj je bilo zelo malo uhajanj, ki izvirajo iz Kubernetesa.
Ampak daj času čas! Tehnologija je še vedno nova in nedvomno bo v prihodnjih mesecih in letih veliko zapletov. Če skrbniki Kubernetes želijo zaščititi takšne sisteme, tej strani je prvo mesto, kamor greste.
Docker, orodje, zasnovano za lažje ustvarjanje, uvajanje in izvajanje aplikacij (kot vsebnikov), je danes ena najbolj priljubljenih tehnologij v okoljih strežnikov v oblaku.
Kljub skupnemu poročilu podjetij Cisco in Rapid7 iz leta 2017, ki ugotavlja, da obstajajo več kot 1000 vsebnikov Docker je ostalo izpostavljenih na spletu brez kakršnega koli preverjanja pristnosti, do zdaj ni bilo nobenih večjih kršitev podatkov, sporočenih prek te tehnologije.
Kljub temu možnost zlorabe obstaja in se že izkorišča. Ne tatovi podatkov, ampak skupine za kripto rudarjenje.
Da bi se izognili kakršnim koli morebitnim ugrabitvam vsebnika Docker -- kar lahko vodi do kraje podatkov ali nenamernega uhajanja -- obstajajo nekaj korakov ki jih lastniki strežnikov lahko sprejmejo.
Redis je odprtokodna shramba podatkovne strukture v pomnilniku, ki se lahko uporablja kot baza podatkov, sistem predpomnilnika in posrednik sporočil. Redis po zasnovi nima privzetega sistema za preverjanje pristnosti in vsi podatki, shranjeni v njegovem pomnilniku, so shranjeni v čistem besedilu.
V zadnjih nekaj letih so bila objavljena številna poročila, ki opozarjajo, da je na spletu trenutno na voljo več deset tisoč strežnikov Redis brez gesla.
Medtem ko je bilo majhno število podjetij, ki so izgubila podatke zaradi hekerjev, potem ko so pustila strežnike izpostavljene spletu, se je večina hekerskih skupin osredotočila na uporabo teh strežnikov za operacije kripto rudarjenja, predvsem zato, ker imajo dostop do velikih virov strojne opreme, ki jih drugi sistemi podatkovnih baz nimajo imajo.
Študija Imperva iz leta 2018 je pokazala, da 75 odstotkov vseh strežnikov Redis je bil trenutno ostal brez gesla na spletu že okužen z eno ali več vrstami zlonamerne programske opreme. Čeprav podjetij morda ne zanima zaščita strežnikov pred napadi zlonamerne programske opreme, se te okužbe še vedno upoštevajo kršitve, podjetja pa bodo prisiljena pošiljati obvestila o kršitvah, ko bo zaznan tak incident (ki se šteje za vdor), ne glede na to. Torej lastnikom strežnikov na koncu ne bi škodilo, če bi si ogledali Varnostna stran Redis in upoštevajte namige in nasvete na tej strani.