Οι μη ασφαλείς βάσεις δεδομένων δέχονται επίθεση 18 φορές την ημέρα

Όπως γνωρίζετε πολλοί από εσάς, σήμερα, η πλειονότητα των διαρροών δεδομένων συμβαίνει όχι επειδή οι χάκερ διαπερνούν την ασφάλεια των οργανισμών, αλλά επειδή οι ίδιοι οι οργανισμοί τοποθετούν τις πληροφορίες των χρηστών σε εσφαλμένες διαμορφώσεις βάσεων δεδομένων και διακομιστών. Οι ερευνητές ασφαλείας ανακαλύπτουν κακώς ασφαλείς βάσεις δεδομένων Elasticsearch και κάδους αποθήκευσης Amazon S3 καθημερινά, και πάντα βιάζονται να ενημερώσουν τον υπεύθυνο οργανισμό και να διορθώσουν το πρόβλημα πριν τα δεδομένα καταλήξουν σε λάθος χέρια.

Το απογοητευτικό πράγμα για τέτοιες ανακαλύψεις είναι ότι τις περισσότερες φορές, οι εμπειρογνώμονες δεν έχουν τρόπο να γνωρίζουν εάν κάποιος με εγκληματική πρόθεση έχει δει πραγματικά την ακάλυπτη βάση δεδομένων και απόξεσε τις πληροφορίες μέσα σε αυτήν. Από τη μία πλευρά, αυτό καθιστά την εκτίμηση κινδύνου πιο δύσκολη και από την άλλη, δίνει στον υπεύθυνο οργανισμό μια δικαιολογία για να υπονομεύσει το λάθος και να πει ότι τα πράγματα δεν είναι τόσο άσχημα.

Ο Bob Diachenko, ένας εμπειρογνώμονας ασφαλείας υπεύθυνος για την ανακάλυψη περισσότερων από λίγων διαρροών, και οι συνάδελφοί του από την Comparitech ήθελαν να μάθουν πόσο συχνά οι εγκληματίες του κυβερνοχώρου επιτίθενται σε διακομιστές και βάσεις δεδομένων με κακή διαμόρφωση. Για να το κάνουν αυτό, δημιούργησαν μια βάση δεδομένων Elasticsearch, τη γέμισαν με ψεύτικα δεδομένα και σκόπιμα την άφησαν εκτεθειμένη χωρίς κωδικό πρόσβασης. Στη συνέχεια άρχισαν να καταγράφουν όλες τις μη εξουσιοδοτημένες προσπάθειες πρόσβασης και συνειδητοποίησαν πόσο σοβαρός είναι ο κίνδυνος.

Οι εγκληματίες στον κυβερνοχώρο αναζητούν συνεχώς εκτεθειμένες βάσεις δεδομένων

Ακριβώς πάνω από οκτώ και μισή ώρα μετά τη δημιουργία του honeypot, οι ερευνητές κατέγραψαν την πρώτη απόπειρα μη εξουσιοδοτημένης πρόσβασης. Τις επόμενες δέκα ημέρες, η βάση δεδομένων Elasticsearch δέχτηκε επίθεση 175 φορές, κατά μέσο όρο περίπου 18 επιθέσεις την ημέρα. Το μεγαλύτερο μέρος της δραστηριότητας προήλθε από IP σε ΗΠΑ, Κίνα και Ρουμανία, ωστόσο, όπως επεσήμαναν οι ερευνητές, οι εγκληματίες χρησιμοποιούν συχνά πληρεξούσια για να καλύψουν τα ίχνη τους, επομένως αυτά τα δεδομένα δεν πρέπει να είναι αξιόπιστα. Η έκθεση των εμπειρογνωμόνων σημειώνει επίσης ότι ορισμένα από τα ερωτήματα μπορεί να προέρχονται από άλλους ερευνητές ασφάλειας που αναζητούσαν διαρροές δεδομένων. Ακόμη και λαμβάνοντας υπόψη αυτό, τα δεδομένα δείχνουν οριστικά ότι οι εγκληματίες στον κυβερνοχώρο αναζητούν ενεργό κυνήγι λανθασμένων ρυθμίσεων βάσεων δεδομένων.

Αυτό αποδείχθηκε επίσης από το γεγονός ότι οι επιτιθέμενοι είχαν τα δικά τους εξειδικευμένα εργαλεία σάρωσης που τους βοήθησαν να εντοπίσουν το honeypot της Comparitech, ακόμη και προτού ευρετηριαστεί από τον Shodan, τη μηχανή αναζήτησης που χρησιμοποιείται συνήθως για την εύρεση αυτών των βάσεων δεδομένων.

Δεν αφορούσε μόνο τα δεδομένα

Εάν οι πληροφορίες στη βάση δεδομένων Elasticsearch ήταν πραγματικές, η Comparitech θα είχε μεγάλο πρόβλημα. Οι εμπειρογνώμονες επεσήμαναν, ωστόσο, ότι όλες οι επιθέσεις δεν είχαν ως στόχο την κλοπή προσωπικών πληροφοριών των ανθρώπων. Ένας εισβολέας προσπάθησε να απενεργοποιήσει το τείχος προστασίας του διακομιστή, πιθανότατα ως προετοιμασία για άλλη επίθεση. Σε άλλες περιπτώσεις, η ομάδα του Diachenko είδε τους χάκερ να εκμεταλλεύονται μια ευπάθεια και να προσπαθούν να κλέψουν τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στο αρχείο / etc / passwd. Μια τρίτη ομάδα προσπάθησε να χρησιμοποιήσει τον εκτεθειμένο διακομιστή για εξόρυξη κρυπτονομισμάτων. Στις 29 Μαΐου, περίπου μια εβδομάδα μετά το πέρας του πειράματος, ένας εισβολέας είχε πρόσβαση στο honeypot της Comparitech, διέγραψε όλα τα εικονικά δεδομένα και άφησε μια σημείωση λύτρων λέγοντας ότι εάν ο ιδιοκτήτης της βάσης δεδομένων δεν πληρώσει 0,6 BTC (κοντά στα 6.000 $), οι πληροφορίες θα διαρρεύσουν ή θα πωληθούν σε εγκληματίες στον κυβερνοχώρο.

Συνολικά, το πείραμα της Comparitech δείχνει ότι εκτός από την εύκολη πρόσβαση σε έναν τόνο πληροφοριών χρήστη, μια εκτεθειμένη βάση δεδομένων μπορεί να παρουσιάσει στους εγκληματίες του κυβερνοχώρου πολλές άλλες ευκαιρίες δημιουργίας χρημάτων. Αποδεικνύει επίσης ότι οι απατεώνες δεν θα αποφεύγουν να εκμεταλλευτούν αυτές τις ευκαιρίες.