5 ყველაზე მსხვილი მონაცემების ექსპოზიცია Shodan– ის საშუალებით

დღევანდელ ციფრულ ხანაში ორგანიზაციები უფრო და უფრო აკავშირებენ მოწყობილობებს ინტერნეტთან. ამით შეიძლება ბიზნესისთვის უპირატესობა მიანიჭოს მნიშვნელოვან პროცესებს და დისტანციურად ხელმისაწვდომი სერვისების გამოყენებით.

მაგრამ მას ასევე შეუძლია გამოავლინოს საგანძური ინფორმაცია, რომელიც უკავშირდება მოწყობილობას და, უფრო მეტად, მგრძნობიარე მონაცემებს.

შოდანი გამოირჩევა მოწყობილობის მფლობელების მიერ ინფორმაციის ამ უნებლიე ექსპოზიციის ხაზგასმით. პროგრამისტმა ჯონ მატერლიმ წამოიწყო 2009 წელს, Shodan არის საძიებო სისტემა, რომელიც მომხმარებლებს საშუალებას აძლევს, გადააგზავნონ ვებ ვებკამერები, მარშრუტიზატორები და სხვა დამაკავშირებელი ჭკვიანი პროდუქტები.

იგი მუშაობს 24/7 მთელს მსოფლიოში განთავსებული ვებ სერვერების დახმარებით, რომელიც უზრუნველყოფს Fortune 100 კომპანიის 56 პროცენტს და ათასზე მეტ უნივერსიტეტს დაზვერვა ინტერნეტთან დაკავშირებული მოწყობილობების აღმოჩენისა და თვალყურის დევნისთვის. შემდეგ ამ ორგანიზაციებს შეუძლიათ გამოიყენონ ეს ინფორმაცია, განახორციელონ ემპირიული ბაზრის კვლევა, თავიანთი ბრენდისა და ბიზნესის წინსვლის მიზნით.

რასაკვირველია, შოდანს სხვა საშუალებები აქვს, გარდა იმისა, რომ კომპანიებს ეხმარება კონკურენცია გაუწიონ. მკვლევარები ხშირად იყენებენ “საშინელ საძიებო სისტემას ინტერნეტში” პოტენციური უსაფრთხოების რისკების დადგენა. მაგალითად, მატერლიმ და შოდანის სხვა მომხმარებლებმა 2012 წელს აღმოაჩინეს ღია და პოტენციურად ექსპლუატაციური სამრეწველო კონტროლის სისტემების (დაუყოვნებლივი) ნომრები..

ამავე დროს, ბობ Radvanovsky და Jacob Brodsky უსაფრთხოების საკონსულტაციო ინფრაკრიტიკმა აღმოაჩინეს 500000 კომპიუტერი, რომლებიც აკონტროლებენ ბირთვულ ელექტროსადგურებს და სხვა კომუნალურ მომსახურებებს მომსახურების დათვალიერების გზით. შეერთებული შტატების საშინაო უსაფრთხოების დეპარტამენტი ეს სია შეამცირა, შეამცირა იგი 7,200 მნიშვნელოვან სამიზნედ და დაუკავშირდა მეპატრონეებს, რომ მათზე შთაბეჭდილების მნიშვნელობა ჰქონოდათ ქსელთან დაკავშირებული მოწყობილობის უზრუნველყოფის მნიშვნელობაზეს.

მომხმარებლებმა არაერთი შესანიშნავი აღმოჩენა მოახდინეს Shodan სერვერების საშუალებით, მათ შორის ინციდენტების ჩათვლით, რომლებიც ეხმიანება მგრძნობიარე ინფორმაციას.. აქ მოცემულია რამდენიმე წლის უდიდესი გამოვლენა, რომლებშიც სათაურები გაკეთდა ბოლო წლებში.

560 მილიონიან ადრე შედგენილი სერთიფიკატების მონაცემთა ბაზა

Shodan– ის უსაფრთხოების რეგულარული შემოწმების დროს, Kromtech Security Center– ის მკვლევარებმა შეხვდნენ 313 დიდ მონაცემთა ბაზას, 1 გიგაბაიტიანზე მეტს, ხოლო ზოგიერთ შემთხვევაში, რამდენიმე ტერაბაიტიან მონაცემებს. ერთ-ერთი ასეთი მონაცემთა ბაზა იყო MongoDB ინსტანცია, რომლის საშუალებით შესაძლებელია პარამეტრული კონფიგურაცია საშუალებას აძლევს მკვლევარებს დაათვალიერონ მისი შინაარსი. როდესაც შიგნით შეათვალიერეს, მათ აღმოაჩინეს 560 მილიონზე მეტი ელექტრონული ფოსტის მისამართი და პაროლი, რომლებიც შეგროვდა სხვა წყაროებიდან.

Kromtech უსაფრთხოების ცენტრმა Troy Hunt of I I Pnned– მა გააცნობიერა მონაცემთა ბაზა, რომელიც აღმოჩენის დროს მასპინძლობდა ღრუბელზე დაფუძნებულ IP- ს. თავისი მომსახურებისთვის მითითებული ნიმუშის გაშვებით, ჰანტმა გამოავლინა 243,692,899 უნიკალური ელ.ფოსტა. თითქმის ყველა მათგანი უკვე მე ვიყავი Pwned შედეგად ”მეგა-დარღვევების” შედეგად, როგორიცაა LinkedIn და Dropbox.

გაურკვეველია ვინ ფლობდა დაუცველ მონაცემთა ბაზას. მონაცემთა ბაზაში სერთიფიკატში ნაპოვნი სახელის გამოყენებით, კრომტექმა თქვა, რომ ეს ვინმე “ედი” იყო.

პოტენციურად გამოვლენილია 13 მილიონამდე მომხმარებლის ანგარიშის სერთიფიკატი

კრომტექზე საუბრობს, უსაფრთხოების მკვლევარმა კრის ვიკერიმ სთხოვა შოდანს დაუცველი MongoDB შემთხვევების მოსმენა პორტში 27101 შემომავალი კავშირებისთვის. შემდეგ მან აიღო ეს ინფორმაცია და გამოაქვეყნა MongoVue, მონაცემთა ბაზების დათვალიერების ინსტრუმენტი.

ამით, მან MacKeeper- ის უსაფრთხოების ქსელის ქსელის ქსელის სერვერებზე უსაფრთხოების საკითხი დაინახა, Kromtech- ის მიერ შემუშავებული პროგრამა. ვიკერის მიერ აღმოჩენილი სისუსტე ნებისმიერ მსურველს შეეძლო მონაცემთა ბაზაში განთავსებული ინფორმაციის დათვალიერება ყოველგვარი ავთენტურობის გარეშე.

როგორც Krebs Security- ი იტყობინება, მონაცემთა ბაზაში მოცემული მონაცემებით გამოვლენილია 21 გიგაბაიტი მონაცემი, რომელშიც შედის სახელები, პაროლები და სხვა ანგარიშის ინფორმაცია 13 მილიონი MacKeeper მომხმარებლებისთვის..

მას შემდეგ, რაც ვიკერმა ეს ინფორმაცია ტექნოლოგიურ კომპანიას განუცხადა, კრომტეკმა გაავრცელა განცხადება, სადაც მადლობას უხდის ვიკერიას მისი აღმოჩენისთვის და მონაცემთა შენახვის პოლიტიკის ახსნაზე:

მომხმარებლის შესახებ ჩვენ მხოლოდ ვიღებთ ინფორმაციას სახელი, შეკვეთილი პროდუქტები, ლიცენზიის შესახებ ინფორმაცია, საჯარო ip მისამართი და მათი მომხმარებლის სერთიფიკატი, როგორიცაა პროდუქტის კონკრეტული სახელები, პაროლის ჰაშები მომხმარებლის მომხმარებლის ვებ – გვერდის მომხმარებლის ანგარიშისთვის, სადაც მათ შეუძლიათ მართონ ხელმოწერები, მხარდაჭერა და პროდუქტის ლიცენზიები..

კრომტეკმაც დაადასტურა, რომ მან უზრუნველყო მონაცემთა ბაზა.

ათასობით MB სერვერიდან გამოირჩეოდა 750 MB

მკვლევარმა ჯოვანი კოლაზომ შოდანის მარტივი ძებნა ჩაატარა “და ა.შ.” -ზე დაყრდნობით მონაცემთა ბაზის ტიპი, რომელიც ინახავს პაროლებს, კონფიგურაციის პარამეტრებს და სხვა მგრძნობიარე ინფორმაციას მანქანების კლასტერში. ძიებამ დაადგინა 2,284 ა.შ.d სერვერებს, რომლებიც ღიაა ქსელში, რადგან მათი ავტორიზაციის მექანიზმი გამორთულია. ეს ნიშნავს, რომ თითოეული სერვერის შენახული სერთიფიკატი საჯაროდ ხდებოდა.

ექსპოზიციის ნამდვილი გრძნობის მისაღებად, კოლაზომ სულ რამდენიმე წუთი გაატარა სცენარის დაწერაზე, რომელიც შექმნილია ყველა შენახული სერთიფიკატის დასაბრუნებლად, ფორმატში, რომელიც გამოსაყენებელია ჰაკერების მიერ. საბოლოო ჯამში, სკრიპტმა შეაგროვა 750 მბ მონაცემთა დაახლოებით 1,500 სერვერის ჩათვლით, მათ შორის თითქმის 9000 პაროლი, 650 წვდომის კლავიატურა ამაზონის ვებ სერვისების (AWS) აქტივებისათვის, 23 საიდუმლო გასაღებისა და რვა პირადი გასაღების ჩათვლით..

მკვლევარმა არ დაამოწმა რაიმე მისი სერთიფიკატი. მაგრამ თუ გავითვალისწინეთ უამრავი სერთიფიკატი, კოლაზო ეჭვობს, რომ სულ მცირე მათგანში ვიმუშავებდით.

DOUBLEPULSAR- ის მიერ დაინფიცირდა ათობით ათასი კომპიუტერი

2017 წლის აპრილში Shadow Brokers ჯგუფმა გამოაქვეყნა NSA- ს შიდა დოკუმენტების ნაგავსაყრელი, რომლებიც შეიცავს ექსპლოიტეტებს, ჰაკერების საშუალებებს და თავდასხმის კოდს. გაჟონა რესურსების შორის იყო DOUBLEPULSAR, უკანა კარი, რომელიც დაეცა ექსპლოატებს, როგორიცაა EternalBlue, EternalChampion, EternalSynerg და EternalRomance დაუცველ აპარატებზე.. ფურგონი თავდამსხმელებს საშუალებას აძლევს აწარმოონ დამატებითი მავნე კოდი კომპრომეტირებულ აპარატებზე.

Shadow Brokers- ის მონაცემთა ნაგავსაყრელზე ცოტა ხნის შემდეგ დაწერილი სხვადასხვა აღმოჩენის სკრიპტები გაირკვა, რომ DOUBLEPULSAR უკვე აქტიური იყო დაახლოებით 50,000 მანქანაზე. მატერმა თქვა იმ დროს, რომ რიცხვები ბევრად უფრო მაღალი იქნებოდა.

”Shodan– მა ამჟამად დაასახელა 2 მილიონზე მეტი IP– ები, რომლებიც ახორციელებენ SMB– ის საჯარო მომსახურებას პორტში 445. SMB სერვისების 0,04 პროცენტი, რომელსაც ჩვენს მონაცემებში ვხვდებით, firehose– ს ექვემდებარება DOUBLEPULSAR– ს, რის შედეგადაც ინტერნეტში 100,000 ,000 მოწყობილობის პროექცია ხდება. გავლენა იქონიეს, ”- წერს მეტელი ელ.ფოსტით, ციტირებით CyberScoop. ”ჯერჯერობით შოდანმა დაადასტურა 45 კგ დადასტურებული [ინფექციები].”

დაცულმა ფირმამ ქვემოთ, ქვემოთ მოქმედი სკანირებით, ამავე დროს, DOUBLEPULSAR– ის მიერ დაადგინა 35,000 ინფექცია.

5.12 მონაცემთა დაუცველი მონაცემები

შოდანის მიერ ჩატარებული ანალიზი აღმოაჩინეს დაახლოებით 4,500 სერვერი Hadoop განაწილებული ფაილური სისტემით (HDFS). ეს ბევრად ნაკლებია, ვიდრე 47,820 MongoDB სერვერები, რომლებიც ინტერნეტშია აღმოჩენილი. მიუხედავად იმისა, რომ MongoDB ინსტანციებმა გამოავლინეს 25 ტერაბაიტი მონაცემი, HDFS სერვერები კომპრომეტირებენ 5,120 ტერაბიტს. ეს არის 5,12 petabytes ინფორმაცია.

დაუცველად კონფიგურირებული HDFS სერვერების უმეტესობა განლაგებული იყო შეერთებულ შტატებში (1,900) და ჩინეთში (1,426). ზოგი გერმანიასა და სამხრეთ კორეაში იყო, შესაბამისად, 129 და 115 წელს. სერვერების უმრავლესობამ უმასპინძლა ღრუბელში 1,059 ინსტაგრამით და ალიბაბას 507-ით.

შოდანის ორმაგი გამოყენება

ცხადია, უსაფრთხოების მკვლევარებმა რუტინულად გამოიყენეს შოდანი მონაცემთა ინტერნეტში გამოვლენის პოტენციური წყაროების ინტერნეტში დასადგენად. ისინი არ არიან მხოლოდ ისინი, ვინც ინტერნეტს ეძებენ ინტერნეტთან დაკავშირებული მოწყობილობებისთვის. ისინი არც მხოლოდ იყენებენ შოდანს თავიანთი უპირატესობისთვის.

Მაგალითად, ცუდი მსახიობები გამოვიდნენ სკრიპტებით, რომლებიც სკანირებს მომსახურებას დაუცველი Memcached სერვერების IP- ებისთვის. შემდეგ მანკიერებს შეუძლიათ გამოიყენონ ეს დაუცველი აქტივები განახორციელოს განაწილებული უარი მომსახურების (DDoS) შეტევები სამიზნეზე. ასევე შესაძლებელია ისეთი საშუალებები, როგორიცაა Autosploit, შოდანის და Metasploit- ის ქორწინება, რომელიც მომხმარებლებს საშუალებას აძლევს ჰაკეტონ არასწორად დაცული ნივთების ინტერნეტი (IoT) მოწყობილობები, სპეციფიკური პლატფორმის საძიებო მოთხოვნების შესაბამისად.

ამ ბოროტად გამოყენების გათვალისწინებით, მნიშვნელოვანია, რომ უსაფრთხოების მკვლევარებმა, რომლებიც იყენებენ Shodan- ს, აცნობონ მოწყობილობის მფლობელებს მათი ექსპოზიციის შესახებ. მათ არ შეუძლიათ აიძულონ ორგანიზაციებს უზრუნველყონ IoT პროდუქტები და სხვა დაუცველი აქტივები. მაგრამ მათ შეუძლიათ ამ საკითხების შესახებ ცნობიერების ამაღლება და ამით ხელს შეუწყონ მოწყობილობების უსაფრთხოების საუკეთესო პრაქტიკა უფრო ზოგადად.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me