Shodan’ın üzərindən açılmış ən böyük məlumat məruzələrindən 5-i


İndiki rəqəmsal əsrdə təşkilatlar getdikcə daha çox cihazları İnternetə bağlayır. Bunu etmək kritik prosesləri sadələşdirmək və vacib xidmətləri uzaqdan təqdim etməklə bir müəssisə üçün bir iş üstünlüyünü möhkəmləndirə bilər.

Amma eyni zamanda bağlı cihaz haqqında məlumatların bir xəzinəsini və uzantısı ilə idarə edə biləcəyi həssas məlumatları aça bilər.

Şodan cihaz sahibləri tərəfindən yayılan məlumatların bu təsadüfi ifşa edilməsini vurğulamaq üçün fərqlənir. Proqramçı John Matherly tərəfindən 2009-cu ildə başlamışdır, Shodan, istifadəçilərə veb kameralar, marşrutlaşdırıcılar və digər qoşula bilən ağıllı məhsullar üçün interneti silmək imkanı verən bir axtarış motorudur.

Fortune 100 şirkətinin və yüzdən çox universitetin 56 faizini təmin edən, dünyada yerləşən veb serverlərin köməyi ilə 24/7 fəaliyyət göstərir. İnternetə bağlı cihazları tapmaq və izləmək üçün kəşfiyyat. Bundan sonra həmin təşkilatlar bu məlumatları marka və bizneslərini inkişaf etdirmək məqsədilə empirik bazar araşdırması üçün istifadə edə bilərlər.

Əlbətdə ki, Shodan, müəssisələrin rəqabət qabiliyyətini qazanmasına kömək etməkdən başqa digər imkanları da var. Tədqiqatçılar tez-tez “İnternetdəki qorxulu axtarış motorundan” istifadə edirlər potensial təhlükəsizlik risklərini tapın. Məsələn, Matherly və digər Şodan istifadəçiləri 2012-ci ildə açıq və potensial istismar olunan sənaye idarəetmə sistemlərinin (ICS) “hesablanmamış nömrələri” tapdılar..

Eyni vaxtda, InfraCritical təhlükəsizlik məsləhətçisi Bob Radvanovsky və Jacob Brodsky, araşdırma yolu ilə nüvə stansiyalarına və digər kommunallara nəzarət edən 500.000 kompüter aşkar etdi. Birləşmiş Ştatların Daxili Təhlükəsizlik Departamenti həmin siyahını götürdü, 7,200 vacib hədəfə qədər daraltdı və sahibləri ilə əlaqə quraraq, internetə qoşulmuş cihazın təmin edilməsinin vacibliyini izah etdi.s.

İstifadəçilər, Shodan’ın serverlərində, o cümlədən həssas məlumatların yayılması ilə əlaqəli hadisələrdə axtarış edərək bir sıra əlamətdar kəşflər etdilər. Son illərdə başlıqlar etmək üçün ən böyük ayələr.

Əvvəllər güzəşt edilmiş 560 milyon məlumat bazası

Shodan’ın nizamlı bir təhlükəsizlik yoxlaması zamanı Kromtech Təhlükəsizlik Mərkəzinin tədqiqatçıları 1 gigabaytdan çox olan 313 böyük verilənlər bazasına və bəzi hallarda bir neçə terabayt məlumatı tapdılar. Bu verilənlər bazalarından biri standart konfiqurasiyaya malik MongoDB nümunəsi idi və bununla da tədqiqatçılara onun məzmununu görməyə imkan verir. İçəri baxdıqda, digər mənbələrdən toplanmış 560 milyondan çox elektron poçt ünvanı və şifrələri açdılar.

Kromtech Təhlükəsizlik Mərkəzi, məlumat bazası haqqında məlumatlı olduğum üçün Troy Hunt etdi, kəşf zamanı bir bulud əsaslı IP-də qonaq oldu. Xidməti üçün bir nümunə dəsti işlədərək, Hunt 243.692.899 unikal e-poçtu təyin etdi. Təxminən hamısı LinkedIn və Dropbox kimi “mega pozuntuları” nəticəsində yetişdirilmiş oldum.

Zəif bazanın kimə məxsus olduğu məlum deyil. Verilənlər bazasında bir addan istifadə edərək Kromtech bunun “Eddie” adlı birinə aid olduğunu söylədi.

13 Milyon İstifadəçinin Hesab sənədləri potensial üzə çıxdı

Kromtech-dən danışırıq, təhlükəsizlik tədqiqatçısı Chris Vickery, Shodan, həssas MongoDB hallarına gələn bağlantılar üçün 27101 portunu dinlədiyini soruşdu. Sonra bu məlumatı götürdü və məlumat bazalarına baxmaq üçün bir vasitə olan MongoVue-yə yerləşdirdi.

Bu şəkildə, MacKeeper üçün veb serverlərdə təhlükəsizlik məsələsinə rast gəldi, Kromtech tərəfindən hazırlanmış proqram. Vikerinin aşkar etdiyi zəiflik verilənlər bazasında olan məlumatları hər hansı bir autentifikasiya olmadan hər kəsə görmək imkanı verdi.

Təhlükəsizliyə dair Krebs tərəfindən bildirildiyi kimi, verilənlər bazasına nəzər saldıqda 13 milyon MacKeeper istifadəçisi üçün 21 gigabayt məlumat, adlar, şifrələr və digər hesab məlumatları aşkarlandı..

Vickery, texnologiya şirkətinə bu barədə məlumat verdikdən sonra Kromtech, kəşf etdiyi və məlumatların saxlanması siyasətini izah etdiyi üçün Vickery’ə təşəkkürünü bildirən bir bəyanat yaydı:

Təqdim etdiyimiz yeganə müştəri məlumatları ad, sifariş edilmiş məhsullar, lisenziya məlumatları, açıq ip ünvanları və istifadəçi sənədləri, məsələn məhsulun xüsusi istifadəçi adı, abunə, dəstək və məhsul lisenziyalarını idarə edə biləcəyi müştərinin veb idarəetmə hesabı üçün parol yuyucularıdır..

Kromtech, məlumat bazalarını təmin etdiyini də təsdiqlədi.

Minlərlə etcd serverdən 750 MB Açıqlandı

Tədqiqatçı Giovanni Collazo, “etcd” soruşaraq Shodan’ın sadə bir axtarışını həyata keçirdi. parolları, konfiqurasiya parametrlərini və digər çox həssas məlumatları maşınların bir dəstəsində saxlayan verilənlər bazası növü. Axtarış, autentifikasiya mexanizmi standart olaraq əlil olduğu üçün vebə açılmış 2,284 etcd server verdi. Bu, hər bir serverin saxlanılan etimadnaməsinin açıq görünə biləcəyi demək idi.

Aşkarın həqiqi mənasını əldə etmək üçün Collazo bütün saxlanılan etimadnaməsini hakerlər tərəfindən istifadə edilə bilən bir formata qaytarmaq üçün hazırlanmış bir ssenari yazmaq üçün bir neçə dəqiqə sərf etmişdir. Skript nəticədə təxminən 9000 şifrə, Amazon Web Services (AWS) aktivləri üçün 650 giriş açarları, 23 gizli açar və səkkiz şəxsi açar daxil olmaqla təxminən 1500 serverdən 750 MB məlumat topladı..

Tədqiqatçı tapdığı etimadnamələrin heç birini sınamadı. Açıqlanmayan çox sayda etimadnaməni nəzərə alsaq, Collazo, heç olmasa bəzilərinin işləyəcəyinə şübhə edir.

DOUBLEPULSAR tərəfindən təsirlənmiş on minlərlə kompüter

2017-ci ilin aprel ayında Shadow Brokerers qrupu, istismar, hücum alətləri və hücum kodu ehtiva edən daxili NSA sənədlərinin zibilini nəşr etdi. Sızan qaynaqlar arasında, EternalBlue, EternalChampion, EternalSynerg və EternalRomance kimi həssas maşınlara düşən bir arxa qapı DOUBLEPULSAR idi.. Arxa qapı təcavüzkarlara zərərli maşınlarda əlavə zərərli kodu işlətməyə imkan verir.

Kölgə brokerlərinin məlumat zibilindən qısa müddət sonra yazılmış müxtəlif aşkarlama ssenariləri DOUBLEPULSAR’nın 50.000 maşın üzərində artıq aktiv olduğu ortaya çıxdı. Matherly o vaxt rəqəmlərin daha çox ola biləcəyini söylədi.

“Şodan hazırda 445 limanında ictimai SMB xidmətini işlədən 2 milyondan çox İP-ni indeksləşdirdi. Məlumat firehosumuzda müşahidə etdiyimiz SMB xidmətlərinin 0,04 faizi İnternetdə ~ 100,000 cihazın proyeksiyası ilə nəticələnən DOUBLEPULSAR-a həssasdır. təsirlənir “deyə, CyberScoop-dan sitat gətirdiyinə görə, bir e-poçtda yazdı. “Shodan indiyə qədər təsdiqlənmiş 45 infeksiya indeksləşdirmişdir.”

Below0Day təhlükəsizlik firması tərəfindən aparılan bir tarama eyni anda DOUBLEPULSAR tərəfindən 35.000 infeksiya aşkarladı..

5.12 Məlumatların Aşkarlanmaması

Shodan tərəfindən aparılan bir analiz təxminən 4500 server açılmışdır ilə Hadoop Paylanmış Fayl Sistemi (HDFS) ilə. Bu, onlayn aşkarlanan 47,820 MongoDB serverlərindən xeyli azdır. MongoDB nümunələri 25 terabayt məlumatı ifşa edərkən, HDFS serverləri 5,120 terabayt zərər gördü. Bu 5.12 petabayt məlumatdır.

Təhlükəsiz yapılandırılmamış HDFS serverlərinin əksəriyyəti ABŞ-da (1,900) və Çində (1426) yerləşirdi. Bəziləri, müvafiq olaraq 129 və 115-də Almaniyada və Cənubi Koreyada yerləşdilər. Əksər serverlər Amazonun 1059 və Alibaba’nın 507 nümunəsi ilə buludda yerləşdi.

Shodan ikili istifadə

Aydındır, təhlükəsizlik tədqiqatçıları müntəzəm olaraq Şodan istifadə edərək məlumatların onlayn yayılmasının potensial mənbələrini araşdırırlar. Ancaq İnternetə qoşulmuş qurğular üçün veb axtaranlar tək deyillər. Şodan istifadə etməkdə tək olmurlar.

Məsələn, pis aktyorlar, həssas Memcached serverlərin IP-ləri üçün skan edən skriptlər hazırladılar. Malfaktorlar o etibarsız aktivlərdən istifadə edə bilərlər bir hədəfə qarşı yayılmış xidmətdən imtina (DDoS) hücumlarına başlamaq. Autosploit, Shodan və Metasploit evliliyi kimi vasitələr də mövcuddur istifadəçilərə platforma xüsusi axtarış sorğularına uyğun olaraq Things (IoT) cihazlarını düzgün olmayan İnternetdən gizlətməyə imkan verir.

Bu pozuntuları nəzərə alaraq, Shodan istifadə edən təhlükəsizlik tədqiqatçılarının cihaz sahiblərinə məruz qaldıqları barədə məlumat vermələri vacibdir. Təşkilatları IoT məhsulları və digər həssas aktivləri təmin etməyə məcbur edə bilməzlər. Amma onlar bu mövzularda məlumatlılığı artıra bilər və bununla da daha yaxşı qurğular üçün ən yaxşı təhlükəsizlik təcrübələrini təbliğ edə bilərlər.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map