不久之前 ,全球數萬的 mongo db 資料庫被勒索風波席卷,一時間災情遍野。如今一波未平一波又起,網絡安全專家預警:下一個遭遇黑客鎖定的目标将是 hadoop 和 couchdb ,目前已出現災情。
早在 1月12日,網絡專家 naill merrigan 就發現有黑客組織 nodata4u 已專門鎖定 hadoop ,之後幾天内就出現了 115 個受害者。
當時他就提醒,hadoop 所用的底層分布式檔案系統的預設配置會關閉「security」和「safemode」兩個安全選項,預設安裝程式會允許任何未授權的操作者使用管理者身份,一旦 hadoop 暴露在外網上就會有安全隐患,攻擊者僅通過浏覽器就可以破壞這些缺乏保護的 hadoop 中的資料。
至上周五,另一位安全研究人員 victor gevers 也表示,自己已發現了126 起 hadoop 攻擊事件 和 452 起 couchdb 攻擊事件。導緻問題的原因和此前發生的 mongodb 以及 elasticsearch 勒索事件如出一轍:
資料庫的預設設定允許任何人在身份未認證的情況下直接通路資料。攻擊者利用 hadoop 和 couchdb 預設安裝設定,不需要密碼憑據或者使用弱密碼即可自由通路資料庫。也就是說,一個稍懂技術的人就能登入進去删掉裡面的檔案。
gevers 表示,和之前的攻擊方式一樣,勒索者可以先破壞裡面的資料,然後留下一條勒索資訊,要求受害者支付高額勒索金來拿回資料,很多情況下即使受害者支付完贖金也沒能拿回資料。
據雷鋒網(公衆号:雷鋒網)了解到,目前 shodan 上已經能搜到超過五千個未受保護的 hadoop 和 4000個 couchdb。在被暴露的五千多個hadoop 中,有一些部署在企業内部環境的應用系統上,按理說會受到企業防火牆的保護,但是如今的搜尋引擎技術威力巨大,類似 shodan 這類 iot 搜尋引擎,以及專門鎖定 ip 和特定産品來搜尋的工具的出現,使得就算企業沒有對外公開,一些缺乏防護的内部系統 ip,也會被搜尋引擎檢索成了公開資料,最終成為黑客觊觎的目标。
最知名的 hadoop 服務提供商 cloudera 公司發話了,其聯合創始人兼首席戰略官 mike olson 對此表示:問題本身并不在于平台的安全性,而是在于操作者在部署和配置時沒有注意相應的安全準則。
他說:
hadoop 本身提供了安全和資料保護功能,操作者可以在平台上加密所有資料,也可以将密鑰單獨管理,還可以利用身份驗證、通路控制來基于使用者身份權限來對資料進行加密,在部署過程還會提醒開啟。但是顯然,被攻擊的系統都沒有開啟這些特性。
簡而言之就是一句話,hadoop 提供了相當完善的安全設定,結果就是有作死的人不開啟,這個鍋我們不背。
gevers 說,目前大多數針對 hadoop 的攻擊是手動執行的,針對 couchdb 的攻擊卻已趨于自動化。
此前 mongodb 和 elasticsearch 爆發勒索事件時,他就發現有黑客組織 kraken0 把這兩個受害産品的可攻擊名單(10萬個mongodb 資料庫和 3萬個elastic 伺服器的ip位址),連同入侵工具、自動化掃描工具一起打包成一個勒索工具包在暗網出售,一包僅售500美刀,而且買一送一,附送攻擊工具源代碼。如今 couchdb 也被加入了這個勒索工具包。
至1月24日,網絡專家 naill merrigan 表示目前自己發現遭破壞的 couchdb 已逾 500,該數量仍在迅速增長。
勒索軟體是去年最讓企業資訊安全頭疼的問題之一,雷鋒網了解到,有高達七成企業被勒索後最終選擇支付贖金,20% 的付款企業付出了4萬美刀以上的贖金,光是美國在 2016年的勒索軟體犯罪規模就達到 10 億美刀,比 2015 年暴增 40 倍之多,如此看來勒索形式今年未必好轉。
想借勒索大肆斂财的人常用,但在雷鋒網看來,如今這些勒索者之是以如此猖獗,很大一部分原因還是在于勒索的代價實在太小了,門檻太低。