Докер, інструмент, призначений для полегшення створення, розгортання та запуску програм (як контейнерів), є однією з найпопулярніших технологій у середовищі хмарних серверів сьогодні.
Незважаючи на те, що в спільному звіті Cisco та Rapid7 від 2017 року вони були понад 1000 контейнерів Docker залишаються відкритими в мережі без будь-якої автентифікації, досі не було зареєстровано серйозних порушень даних за допомогою цієї технології.
Тим не менш, потенціал для зловживань існує, і ним уже користуються. Не викрадачі даних, але групами криптомайнінгу.
Щоб уникнути будь-яких потенційних викрадень контейнера Docker, які, у свою чергу, можуть призвести до крадіжки даних або випадкового витоку даних, є деякі кроки які можуть взяти власники серверів.
Amazon Simple Storage Service або Amazon S3 — це служба зберігання даних, яка входить до пакета веб-хостингу Amazon Web Services (AWS) від Amazon. За останні кілька років працювати з S3 було кошмаром, оскільки він мав складні елементи керування та налаштування, які призвели до багатьох інцидентів, коли компанії залишали сервери S3 відкритими в Інтернеті, витікаючи конфіденційні дані спосіб. Ось короткий список найбільших інцидентів:
- Викрито незахищений сервер S3 тисячі записів клієнтів FedEx
- Виявлено помилку AWS S3 Бізнес-секрети GoDaddy
- Accenture залишив величезну скарбницю дуже конфіденційних даних, у тому числі «ключі до королівства», на викритих серверах
- Записи клієнтів принаймні 14 мільйонів абонентів Verizon, включно з номерами телефонів і PIN-кодами облікових записів, було відкрито через сегмент S3
- Відро Verizon AWS S3, що містить понад 100 МБ даних про внутрішня білінгова система компанії також було знайдено викритим в Інтернеті
- База даних S3, яка залишилася відкритою, стала витоком особистої інформації деталі заяв про роботу які мали дозвіл уряду цілком секретно
- Інший сервер S3 розкрив подробиці 198 мільйонів американських виборців
- Національна кредитна федерація витік даних громадян США через незахищене відро AWS
- Нігерійська авіакомпанія Arik Air також стався витік даних клієнтів через відкрите відро S3
- Кишеньковий iNet ISP розкрито 73 ГБ даних, включаючи секретні ключі, звичайні текстові паролі
- Витік S3 на Alteryx 123 мільйони американських домогосподарств стали жертвами шахрайства та спаму
- AgentRun, страховий стартап, також злив конфіденційні дані про здоров’я клієнтів через amisconfigured сегмент Amazon S3
- Сайт кампанії Дональда Трампа також витік резюме інтерна через відро S3
- Шпигунська фірма SpyFone також залишив дані клієнтів, записи, доступні онлайн через сервер S3
- Буз Аллен Гамільтон, провідний підрядник Міністерства оборони, злив 60 000 файлів, включаючи облікові дані співробітників і паролі до системи уряду США
- Сервер AWS S3 злив особисті дані понад три мільйони шанувальників WWE які зареєструвалися на сайтах компанії
- Ан компанія автотрекінгу витік інформації про понад півмільйона автомобілів і їх власників.
- Фірма Election Systems & Software (ES&S), що займається машинами для голосування, залишила в Інтернеті відро S3, яке містило особисті записи 1,8 мільйона виборців Чикаго
- Доу Джонс витік особистих даних 2,2 мільйона клієнтів
- Відро S3 витік даних тисячі австралійських державних і банківських службовців
- Менеджер паролів Keeper також викрив сервер S3
MongoDB, рішення бази даних NoSQL, було в основі багатьох витоків даних, ймовірно, стільки ж, скільки інцидентів AWS S3, якщо не більше. Ось невеликий --і дуже неповний-- список:
- Витоки сервера MongoDB 11 мільйонів записів користувачів від каліфорнійської служби електронного маркетингу
- Сервер MongoDB витікає майже з даних 700 000 клієнтів Amex в Індії
- Фірма управління даними Veeam витоку 445 мільйонів записів
- Компанія Garmin Navionics виявила дані, що належать тисячі клієнтів
- Резюме, що містять конфіденційну інформацію про понад 202 мільйони китайських користувачів залишився відкритим онлайн
- Французький новинний сайт L'Express експоновані дані читача онлайн
- Розробник програмного забезпечення OCR розкриває 200 000 документів клієнтів
- Сервер MongoDB відкриває база даних програми няні
- Дані про охорону здоров'я два мільйони людей в Мексиці викрито в Інтернеті
- майже 9,5 мільйонів записів ідентифікаційної інформації витік даних агрегатором Adapt
- Дитяча благодійна організація Kars4Kids злила інформацію про тисячі донорів
- База даних покинутого додатка для iOS розкриває деталі 198 000 користувачів
- Веб-сайт кар'єри Microsoft був витік даних через неправильно налаштовану базу даних MongoDB
Для захисту серверів MongoDB, поради, наведені в цьому публікація в блозі це перші кроки, які повинні зробити більшість адміністраторів баз даних.
Кібана це програмний пакет, який працює як візуальний інтерфейс (GUI) для перегляду даних ElasticSearch. Він майже завжди встановлюється з кластерами ElasticSearch.
Багато порушень безпеки, які, як повідомляється, викликані ElasticSearch, насправді викликані адміністраторами залишаючи інтерфейс Kibana без пароля, а сервер ElasticSearch під ним добре захищений. Протилежний сценарій також дійсний, коли Kibana має пароль, але сервер ElasticSearch залишається відкритим в Інтернеті.
Важко розрізнити постфактум, які порушення ElasticSearch були спричинені Kibana, а які ElasticSearch. Ми створили окремий слайд, щоб переконатися, що власники серверів ElasticSearch розуміють, що їм також потрібно переконайтеся, що вони захищають паролем свої програми Kibana, а також сервер ElasticSearch, який працює нижче це.
Rsync це утиліта резервного копіювання даних, яка дозволяє комп’ютерам синхронізувати та передавати файли між різними робочими станціями. Це інтернет-сервіс, що автоматично означає, що хтось хоча б раз неправильно налаштував його, майже гарантовано. І вони мають.
Найвідоміші випадки, коли неправильні конфігурації rsync призвели до витоку даних, включають (1) звіт 2016 року, коли витік серверу rsync нові докази самогубства в'язня, (2) оператор спаму, який витік 1,37 мільярда електронних адрес через службу rsync і (3) Департамент цінних паперів Оклахоми, який витік подробиць про розслідування ФБР на початку цього року.
CouchDB є менш відомим рішенням для баз даних NoSQL з відкритим кодом. Він закодований мовою Erlang і наразі розробляється Apache Foundation.
Так само, як і інші його побратими бази даних, CouchDB може бути неправильно налаштована та може призвести до витоку даних. Попередні порушення даних, спричинені екземплярами CouchDB, включають База даних Thomson Reuters World-Check осіб, підозрюваних у терористичній діяльності, а база даних для управління системами сигналізації в банках і державних установах Оклахоми, а також CouchDB, де зберігаються дані для 154 мільйони виборців США.
Доступний посібник із безпеки CouchDB тут.
Etcd — це сервер баз даних, який найчастіше використовується в корпоративних і хмарних обчислювальних середовищах. Вони є a стандартна частина CoreOS, операційна система, розроблена для хмарних середовищ хостингу, де вони використовуються як частина системи кластеризації ОС. CoreOS використовує сервер etcd як центральне середовище зберігання паролів і маркерів доступу для програм, розгорнутих через систему кластеризації/контейнера.
Технологія є відносно новою, і на сьогоднішній день був лише один витік, спричинений базою даних etcd, – витік фінського виробника телефонів Nokia. Проте потенціал для більшого є, як і є понад 2200 серверів тощо наразі доступні в Інтернеті, деякі з яких можуть бути вільно доступні для будь-кого.
Firebase це пропозиція Backend як послуга від Google, яка містить величезну колекцію послуг, які мобільні розробники можуть використовувати для створення мобільних і веб-додатків.
Ан Звіт Appthority за червень 2018 року виявили, що тисячі мобільних програм для iOS і Android відкривають понад 113 ГБ даних через понад 2271 неправильно налаштовану базу даних Firebase.
Джира це власний продукт для відстеження проблем, розроблений Atlassian. JIRA має репутацію важко налаштувати через терміни, які вона використовує в елементах керування інтерфейсом користувача. За останні кілька років організації, які випадково оприлюднили дошки JIRA, включають НАСА, Об'єднані Нації, і... ще тисячі.
Trello це веб-програма для керування проектами, розроблена Atlassian. Він страждає від тих самих заплутаних формулювань різних елементів керування інтерфейсом користувача, які іноді призводять до випадкового розкриття внутрішніх дощок проектів компаній. Випадкові опромінення сталися на Об'єднані Нації, уряд Великобританії, і канадський уряд.
Іноді випадковий доступ до деяких дощ Trello може стати набагато гіршим, якщо співробітники публікують на цих дошках паролі для інших служб і серверів, що, здається, звичайна практика.
Kubernetes це новий тип програмного забезпечення, яке зазвичай розгортається в інфраструктурі хмарного сервера. Він використовується для керування великими ІТ-мережами та для швидкого розгортання контейнерів програм на кількох серверах. Якщо такі системи залишаються відкритими в Інтернеті, вони зазвичай розкривають ключі до королівства, дозволяючи зловмисникам отримати доступ до існуючих серверних контейнерів або розгорнути нові з певними завданнями.
Найвідоміші компанії, які зазнали злому через розкритий екземпляр Kubernetes, включають Tesla Motors і Спостерігачі за вагою.
Незважаючи на те, що наразі в Інтернеті доступно понад 20 000 систем Kubernetes, більшість з них належним чином захищені, і досі було дуже мало витоків, які виникли з Kubernetes.
Але дайте час! Технологія все ще нова, і, без сумніву, у найближчі місяці та роки буде багато неприємностей. Якщо адміністратори Kubernetes хочуть захистити такі системи, ця сторінка це перше місце, куди потрібно піти.
Докер, інструмент, призначений для полегшення створення, розгортання та запуску програм (як контейнерів), є однією з найпопулярніших технологій у середовищі хмарних серверів сьогодні.
Незважаючи на те, що в спільному звіті Cisco та Rapid7 від 2017 року вони були понад 1000 контейнерів Docker залишаються відкритими в мережі без будь-якої автентифікації, досі не було зареєстровано серйозних порушень даних за допомогою цієї технології.
Тим не менш, потенціал для зловживань існує, і ним уже користуються. Не викрадачі даних, але групами криптомайнінгу.
Щоб уникнути будь-яких потенційних викрадень контейнера Docker, які, у свою чергу, можуть призвести до крадіжки даних або випадкового витоку даних, є деякі кроки які можуть взяти власники серверів.
Redis це сховище структури даних у пам’яті з відкритим вихідним кодом, яке можна використовувати як базу даних, кеш-систему та брокер повідомлень. За задумом Redis не має жодної системи автентифікації за замовчуванням, і всі дані, що зберігаються в його пам’яті, зберігаються у вигляді відкритого тексту.
Протягом останніх кількох років було багато повідомлень, які попереджали, що в даний час десятки тисяч серверів Redis доступні онлайн без пароля.
Хоча була невелика кількість компаній, які втратили дані хакерам після того, як залишили сервери в мережі, більшість хакерських груп зосередилися на використання цих серверів для операцій криптомайнінгу, головним чином тому, що вони мають доступ до великих апаратних ресурсів, які інші системи баз даних не мають мати.
Це показало дослідження Imperva 2018 75 відсотків усіх серверів Redis Користувач, який зараз залишився без пароля в Інтернеті, уже був заражений одним або кількома типами зловмисного програмного забезпечення. Хоча компанії можуть бути не зацікавлені в захисті серверів від атак зловмисного програмного забезпечення, ці зараження все ж розглядаються порушення, і компанії будуть змушені надсилати повідомлення про порушення, коли такий інцидент (вважається вторгненням) буде виявлено, незалежно від того. Тож, зрештою, власникам серверів не завадить поглянути на Сторінка безпеки Redis і дотримуйтеся підказок на цій сторінці.