5 suurinta Shodanin kautta paljastettua tietoaltistusta


Nykyisen digitaaliajan organisaatiot yhdistävät yhä enemmän laitteita Internetiin. Tämän tekeminen voi vahvistaa yritykselle liiketoimintaetua virtaviivaistamalla kriittisiä prosesseja ja asettamalla tärkeät palvelut etäyhteydessä.

Mutta se voi myös paljastaa aarrearvon tietoja kytketystä laitteesta ja laajentaa arkaluontoisia tietoja, joita se voi käsitellä.

Shodan erottuu korostamalla tätä laitteen omistajien tahatonta tietojen altistumista. Ohjelmoija John Matherly aloitti vuonna 2009, Shodan on hakukone, jonka avulla käyttäjät voivat etsiä verkkoa web-kameroita, reitittimiä ja muita liitettäviä älykkäitä tuotteita varten.

Se toimii ympäri maailmaa sijaitsevien verkkopalvelimien avulla ympäri vuorokauden, tarjoamalla 56 prosenttia Fortune 100 -yrityksistä ja yli tuhannesta yliopistosta älykkyyttä Internet-yhteyden muodostavien laitteiden löytämiseksi ja seuraamiseksi. Nämä organisaatiot voivat sitten käyttää näitä tietoja empiirisen markkinatutkimuksen tekemiseen yrittäessään edistää brändinsä ja liiketoimintaansa.

Shodanilla on tietysti myös muita käyttötarkoituksia sen lisäksi, että ne auttavat yrityksiä saavuttamaan kilpailuedun. Tutkijat käyttävät usein ”Internetin pelottavinta hakukonetta” paikantaa mahdolliset turvallisuusriskit. Esimerkiksi Matherly ja muut Shodan-käyttäjät löysivät ”lukemattomia määriä” avoimia ja mahdollisesti hyväksikäytettäviä teollisuusohjausjärjestelmiä (ICS) jo vuonna 2012.

Samanaikaisesti InfraCriticalin tietoturvakonsultti Bob Radvanovsky ja Jacob Brodsky paljastivat 500 000 tietokonetta, jotka valvoivat ydinvoimalaitoksia ja muita apulaitteita tutkimalla palvelua. Yhdysvaltain sisäisen turvallisuuden ministeriö otti tuon luettelon, kavensi sen 7200 tärkeään kohteeseen ja otti yhteyttä omistajiin vakuuttaakseen heidän verkkoon kytketyn laitteen turvaamisen tärkeydestäs.

Käyttäjät ovat tehneet huomattavia löytöjä etsimällä Shodanin palvelimista, mukaan lukien tapaukset, joihin liittyy arkaluontoisten tietojen paljastumista. Tässä on muutamia viime vuosien otsikoihin liittyviä paljastusia.

Tietokanta, joka sisältää 560 miljoonaa aiemmin kompromitoitua valtakirjaa

Shodanin säännöllisen turvatarkastuksen aikana Kromtechin tietoturvakeskuksen tutkijat löysivät 313 suurta tietokantaa, joissa oli yli 1 gigatavu ja joissain tapauksissa useita teratavuja dataa. Yksi näistä tietokannoista oli MongoDB-ilmentymä, jonka oletusasetukset olivat käytössä antaa tutkijoiden nähdä sen sisällön. Kun he katsoivat sisälle, he löysivät yli 560 miljoonaa muista lähteistä kerättyjä sähköpostiosoitteita ja salasanoja.

Kromtech Security Center sai Troy Hunt of Have I Been Pwned tietokantaan tietokannasta, jota isännöitiin pilvipohjaisella IP: llä löytöhetkellä. Suorittamalla näytejoukon palveluunsa, Hunt tunnisti 243 692 899 ainutlaatuista sähköpostia. Lähes kaikki heistä olivat jo ryhtyneetkö minua pwnediin "megarikkomusten", kuten LinkedIn ja Dropbox, seurauksena.

On epäselvää, kuka omisti haavoittuvan tietokannan. Kromtech sanoo, että se kuului tietokannan käyttöoikeustiedoista löytyvään nimeen nimeltä Eddie.

Mahdollisesti paljastunut 13 miljoonan käyttäjän tilitiedot

Puhuminen Kromtechista, turvallisuustutkija Chris Vickery kysyi Shodanilta haavoittuvista MongoDB-tapauksista, jotka kuuntelivat porttia 27101 tulevien yhteyksien varalta. Sitten hän otti nämä tiedot ja lähetti ne MongoVue-työkaluun, joka selaa tietokantoja.

Tekemällä niin, hän törmäsi tietoturvaongelmaan MacKeeperin verkkopalvelimilla, ohjelmiston kehittänyt Kromtech. Vickeryn löytämä heikkous antoi kenelle tahansa mahdollisuuden tarkastella tietokantojen tietoja ilman todennusta.

Kuten Krebs on Security ilmoitti, tietokantoihin tutustuminen paljasti 21 gigatavua dataa, mukaan lukien nimet, salasanat ja muut tilitiedot 13 miljoonalle MacKeeper-käyttäjälle.

Kun Vickery ilmoitti ongelmasta teknologiayritykselle, Kromtech julkaisi lausunnon, jossa kiitti Vickeryä löytöstään ja selitti tiedon tallennuskäytäntöjä:

Ainoat asiakastiedot, joita säilytämme, ovat nimi, tilatut tuotteet, lisenssitiedot, julkinen IP-osoite ja heidän käyttäjätiedot, kuten tuotekohtaiset käyttäjätunnukset, salasanan tiivisteet asiakkaan web-järjestelmänvalvojan tilille, jossa he voivat hallita tilauksia, tukea ja tuotelisenssejä..

Kromtech vahvisti myös, että se oli suojannut tietokannat.

750 Mt tuhansilta jne. Palvelimilta

Tutkija Giovanni Collazo suoritti yksinkertaisen Shodan-haun tekemällä hakuja ”etcd”. tyyppinen tietokanta, joka tallentaa salasanat, kokoonpanoasetukset ja muut arkaluontoiset tiedot konekokoonpanon yli. Haku tuotti 2284 tdd-palvelinta, jotka olivat avoinna verkolle, koska niiden todennusmekanismi oli poistettu käytöstä oletuksena. Tämä tarkoitti, että kunkin palvelimen tallennetut käyttöoikeustiedot olivat julkisesti nähtävissä.

Saadakseen todellisen kuvan valotuksesta Collazo vietti vain muutaman minuutin komentosarjan kirjoittamiseen, jonka tarkoituksena oli palauttaa kaikki tallennetut käyttöoikeustiedot muodossa, jota hakkerit voivat käyttää. Komentosarja lopulta keräsi 750 Mt tietoa lähes 1 500 palvelimelta, mukaan lukien lähes 9 000 salasanaa, 650 Amazon Web Services (AWS) -omaisuuden käyttöavainta, 23 salaa avainta ja kahdeksan yksityistä avainta.

Tutkija ei testannut yhtäkään löytämistään valtakirjoista. Mutta ottaen huomioon paljastuneiden valtakirjojen lukumäärän, Collazo epäilee, että ainakin jotkut heistä olisivat toimineet.

Kymmenet tuhannet tietokoneet, jotka ovat saastuttaneet DOUBLEPULSAR

Shadow Brokers -ryhmä julkaisi huhtikuussa 2017 kaapelin sisäisistä NSA-asiakirjoista, jotka sisälsivät hyväksikäyttöjä, hakkerointityökaluja ja hyökkäyskoodeja. Vuotojen joukossa oli DOUBLEPULSAR, takaovi, jonka pudottivat hyökkäykset, kuten EternalBlue, EternalChampion, EternalSynerg ja EternalRomance haavoittuviin koneisiin.. Takaoven avulla hyökkääjät voivat suorittaa haitallisia lisäkoodeja vaarantuneissa koneissa.

Erilaisia ​​tunnistuskomentosarjoja, jotka on kirjoitettu pian varjovälittäjien datan seurauksena paljasti, että DOUBLEPULSAR oli jo aktiivinen jopa 50 000 koneessa. Matherly sanoi tuolloin, että luvut voivat olla paljon suurempia.

”Shodan on indeksoinut tällä hetkellä yli 2 miljoonaa IP-osoitetta, joka käyttää julkista SMB-palvelua satamassa 445. 0,04 prosenttia SMB-palveluista, joita havaitsemme tietoturvaletkuissamme, ovat herkkiä DOUBLEPULSAR: lle, mikä johtaa ~ 100 000 laitteen projektioon Internetissä, joka ovat vaikutuksia ”, Matherly kirjoitti sähköpostiviestissä CyberScoopin lainaamana. "Shodan on toistaiseksi indeksoinut 45 000 vahvistettua [tartuntaa]."

Turvallisuusyrityksen Under0Day suorittama tarkistus havaitsi suunnilleen samaan aikaan 35 000 DOUBLEPULSAR-tartunnan aiheuttamaa infektiota.

5.12 Tietojen peptidit paljastettu

Shodanin suorittama analyysi paljastanut lähes 4500 palvelinta Hadoopin hajautetussa tiedostojärjestelmässä (HDFS). Se on paljon vähemmän kuin 47 820 MongoDB-palvelinta, jotka on havaittu verkossa. Mutta vaikka MongoDB-tapaukset paljastivat 25 teratavua dataa, HDFS-palvelimet vaaransivat 5 120 teratavua.. Se on 5,12 petatavua tietoa.

Suurin osa turvattomasti konfiguroiduista HDFS-palvelimista sijaitsi Yhdysvalloissa (1 900) ja Kiinassa (1 426). Jotkut toimivat Saksassa ja Etelä-Koreassa 129 ja 115. Suurin osa palvelimista isännöi pilvessä 1 059 Amazonin ja 507 Alibaban tapauksissa.

Shodanin kaksikäyttö

Selvästi, turvallisuustutkijat käyttävät rutiininomaisesti Shodania etsimään mahdollisia tietolähteiden lähteitä verkossa. Mutta he eivät ole ainoita, jotka etsivät verkosta Internet-yhteyslaitteita. He eivät myöskään ole yksin käyttäessään Shodania heidän edukseen.

Esimerkiksi, huonot toimijat ovat keksineet skriptejä, jotka tarkistavat palvelun haavoittuvien Memcached-palvelimien IP-osoitteita varten. Väärinkäyttäjät voivat sitten käyttää näitä epävarmoja omaisuuksia aloittaa hajautetut palvelunestohyökkäykset (DDoS) hyökkäyksiä kohdetta vastaan. Saatavana on myös työkaluja, kuten Autosploit, Shodanin ja Metasploitin avioliitto antaa käyttäjille mahdollisuuden hakkeroida väärin suojatut esineiden Internet (IoT) -laitteet alustakohtaisten hakulausekkeiden mukaisesti.

Näiden väärinkäytösten vuoksi on tärkeää, että Shodania käyttävät turvallisuustutkijat ilmoittavat laitteen omistajille altistumisestaan. He eivät voi pakottaa organisaatioita turvaamaan Internet-tuotteita ja muuta haavoittuvaa omaisuutta. Mutta He voivat lisätä tietoisuutta näistä aiheista ja siten edistää laitteiden parhaita turvallisuuskäytäntöjä yleisemmin.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me