Незащищенные серверы информационных систем
Злоумышленники ищут незащищенные серверы Elasticsearch и MongoDB, чтобы получить несанкционированный доступ к чужим данным. Если аутентификация у таких серверов выключена по умолчанию и к ним есть доступ из глобальной сети, то это автоматически становится уязвимостью. Похожая проблема есть у систем организации кэшей Redis и Memcached и в брокере сообщений RabbitMQ. Только за последние несколько месяцев в открытый доступ таким образом попали данные популярной службы заказов, информация о посетителях ресторанов и клиентах, оставивших заявки на кредиты у известного кредитного брокера.
RabbitMQ — программный брокер сообщений на основе стандарта AMQP — тиражируемое связующее программное обеспечение, ориентированное на обработку сообщений. Создан на основе системы Open Telecom Platform, написан на языке Erlang, в качестве движка базы данных для хранения сообщений использует Mnesia.
Эксперты по ИБ в начале апреля обнаружили в сети сервер Elasticsearch, через который можно было получить неавторизованный доступ к базе данных пользователей YouDo. А в январе в сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заем в банке. Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач.
Рекомендации
- Для стабильной работы Elasticsearch обычно создают кластер из нескольких серверов, чтобы экземпляры «эластика» могли общаться между собой. Для этого открывают сетевые порты. Если сервера доступны из интернета, злоумышленник может подключиться к базе данных. В старых версиях Elasticsearch, младше 7.3.2, к базе можно получить доступ вообще без аутентификации.
- Несанкционированного доступа к вашим данным можно избежать проверкой настроек информационных систем в стандартных конфигурациях и защитой серверов и виртуальных машин фаерволами.
Небезопасные прямые ссылки
IDOR (Insecure Direct Object Reference, небезопасные прямые ссылки на объекты — «Хайтек») — уязвимость, которая позволяет получить несанкционированный доступ к веб-страницам или файлам. IDOR часто называют термином «брутфорс» (от англ. brute force — «Хайтек»), означающим в переводе «грубая сила».
Самый распространенный способ использования IDOR — злоумышленник перебирает предсказуемый идентификатор и получает доступ к чужим данным. Многие серверы генерируют идентификаторы доступа, используя алгоритмы собственной разработки. Подобные алгоритмы могут просто увеличивать значение идентификатора для каждого запроса пользователя. Другой распространенный вариант — использование функции от текущего времени или других специфичных для компьютера данных. С помощью данного типа уязвимостей можно перехватывать доступы к чужим аккаунтам, перепискам, получать чужие данные. Сложность такой атаки минимальна и при этом она достаточно опасна. Простой пример — вы пишете веб-приложение или создаете REST API и метод вроде /api/orders/?orderId=17505638.
REST, REpresentational State Transfer, «передача состояния представления» — архитектурный стиль взаимодействия компонентов распределенного приложения в сети. REST представляет собой согласованный набор ограничений, учитываемых при проектировании распределенной гипермедиасистемы. Термин первоначально введен Роем Филдингом, который был одним из создателей протокола HTTP. Отличительной особенностью сервисов REST является то, что они позволяют наилучшим образом использовать протокол HTTP.
Это идеальная возможность для злоумышленников, чтобы осуществить перебор данных. Даже если вы ограничите доступ к методу через rate limiter (ограничение попыток по времени, с одного IP-адреса или от одного юзерагента — «Хайтек»), это не гарантирует безопасности. Злоумышленники могут подменять заголовки, использовать фермы прокси-серверов и использовать другие средства для обхода ограничений.
Один из последних нашумевших примеров использования такой уязвимости — утечка пользовательских данных с портала, предоставляющий информацию о штрафах. Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простого софта. По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.
Рекомендации
- Проблем со взломом через IDOR можно избежать, если создать длинные ключи из букв, цифр и спецсимволов, а также использовать комбинации rate limiter, превышение пороговых значений по которым будет передаваться в систему мониторинга.
Кражи баз данных
С развитием информационных технологий участились случаи краж БД, причем преступниками могут быть как внешние хакеры, так и собственные сотрудники. Причиной кражи может быть обида сотрудника на руководство, маленькая заработная плата или желание дополнительно монетизировать свою должность. Причем базу могут похитить как целиком и продавать в даркнете (кража), так и использовать онлайн для поиска требуемой информации (так называемый пробив).
Здесь определяющую роль играет человеческий фактор, поэтому бороться с этим видом утечек сложно. Это самая распространенная и больная проблема, с которыми сталкиваются компании и службы информационной безопасности.
Например, в даркнете регулярно продаются базы данных автомобилистов. Такие утечки чаще всего происходят в ГИБДД и страховых компаниях. В сеть попадали и данные граждан, обратившихся за оформлением займов в микрофинансовые организации. Данные клиентов были выставлены на продажу в конце марта на специализированном сайте. Очень остро стоит проблема утечек клиентских данных в банковской отрасли, в которой цена таких информационных проколов напрямую связана с деньгами людей.
На удаленной работе сотрудники финорганизаций не только продают персональные данные в DarkNet, но и сами недобросовестно используют их. В начале 2020-го количество судебных дел, которые касались хищения денег с использованием должностного положения, было больше, чем за весь прошлый год. Недобросовестные сотрудники банков переходят от продажи клиентских данных к их самостоятельному использованию в преступных целях — они всё чаще берут на имя клиентов кредиты, а также выводят деньги с их счетов.
Рекомендации
- Соблюдать основные правила информационной безопасности. Например, разграничивать доступ к данным (продакшн и тестовые базы, резервные копии). Казалось бы, очевидный совет, о котором многие почему-то забывают.
- Держать пароли в безопасном хранилище, например, Hashicorp Vault.
- Проводить системный аудит действий пользователей, который позволит вовремя заметить несанкционированную активность и предотвратить возможные опасные действия пользователей системы.
- Прописывать ответственность за кражу баз пользовательских данных в трудовом договоре с сотрудниками.
Хранение кода в открытых репозиториях
Часто разработчики размещают в открытых репозиториях систем хранения кода приватную информацию, относящуюся к их месту работы. Это могут быть ссылки на внутреннюю инфраструктуру компании, криптографические ключи, токены API и куски кода, права на который принадлежит компании-работодателю. Стопроцентной гарантии защитить интересы компании тут нет. Если разработчики захотят выложить в открытый доступ ваш код, можно разве что усложнить им жизнь, но не помешать. Ни один документ не решит эту проблему окончательно.
Специалисты из Университета штата Северная Каролина проделали огромную работу и просканировали миллиарды файлов: около полугода (с 31 октября 2017 года по 20 апреля 2018 года) исследователи наблюдали за примерно 13% всех публичных репозиториев на GitHub, изучая каждый коммит. Результаты сканирования свидетельствуют о том, что порядка 100 000 репозиториев содержат случайно забытые в коде криптографические ключи и токены API, и каждый день на GitHub появляется множество новых утечек данных такого рода.
Так как специалисты наблюдали за состоянием репозиториев около полугода, они получили возможность изучить, как обстоят дела с удалением подобных утечек из кода. За всё время наблюдения лишь 6% владельцев репозиториев почти сразу обратили внимание, что допустили утечку, и убрали из открытого доступа свои токены и ключи. Еще 12% разработчиков на это потребовалось более суток, а 19% ликвидировали утечку в течение 16 дней. 81% разработчиков вообще не заметили утечку и, очевидно, даже не догадываются, чем это может грозить.
Можно соблюдать минимальный набор разумных правил, которые снизят вероятность утечки кода во вне. Режим коммерческой тайны решит треть проблем, аккуратное обращение с правами на новый код — вторую треть, а внимательное отношение и грамотный подбор кадров — всё остальное. И здесь работа HR-отдела и атмосфера в компании напрямую влияют на степень ее информационной безопасности.
Рекомендации
- Необходимо проводить регулярное сканирование открытых репозиториев на наличие чувствствительной информации, имеющей отношение к вашей компании.
- В трудовых договорах должны быть формулировки об отчуждении прав в полном объеме на новый код. А также разрешение использовать программный код в составе сложных объектов без указания имени авторов (анонимно).
- Не передавайте новым разработчикам никаких прав на старый код. Просто не заключайте с ними договоров о передаче прав.
- Задача HR-менеджера или специалиста по внутренним коммуникациям — создать атмосферу доверия и ценности кадров компании.
DDoS-атаки
DDoS-атака, или Distributed Denial of Service attack — одновременная и массированная отправка информационных запросов на центральный сервер. Злоумышленник формирует такие запросы с помощью большого количества систем — ботнета, собственного или арендованного в даркнете. К сожалению, это популярное и недорогое средство может надолго парализовать работу почти любого ресурса или вызвать коллапс предоставляемого им сервиса.
Так, в середине марта злоумышленники попытались вывести из строя сайт Министерства здравоохранения США. Предположительно, целью атаки было лишить граждан доступа к официальным данным по поводу эпидемии и принятых против нее мер: одновременно с DDoS неизвестные распространяли в соцсетях, через SMS и электронную почту дезинформацию о том, что в США введут общенациональный карантин. Попытка не удалась: сайт Министерства здравоохранения продолжил работать, несмотря на возросшую нагрузку.
Жертвой другой DDoS-атаки стала крупная парижская сеть больниц Assistance Publique — Hopitaux de Paris. Злоумышленники пытались вывести из строя инфраструктуру медицинских учреждений. В результате атаки сотрудники больниц, работающие удаленно, какое-то время не могли пользоваться рабочими программами и корпоративной электронной почтой. Однако парализовать организацию целиком киберпреступникам не удалось.
Службы доставки еды Lieferando (Германия) и Thuisbezorgd (Нидерланды) оказались в более щекотливой ситуации. В результате DDoS-атак обе компании принимали заказы, но не могли их обработать и вынуждены были возвращать клиентам деньги. При этом злоумышленники, напавшие на Lieferando, за прекращение DDoS требовали 2 BTC (чуть более $13 тыс. на момент написания статьи).
Рекомендации
- Не стоит экономить на защите и ловить неожиданно прилетающие атаки. Нужно воспользоваться одной из анти-DDoS-систем, принцип которых состоит в маскировании реального IP-адреса вашей системы и динамической фильтрации сетевой активности, вызываемой злоумышленниками.
Дыры в системном мониторинге информационной безопасности
Для того, чтобы избежать утечек данных, мы сотрудничаем с лучшими пентестерами России, которые входят в так называемую Red Team. Пентест на жаргоне — это метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Действия Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей нашего кода и инфраструктуры.
И небольшие интернет-магазины, и американские федеральные агентства, такие как Пентагон, регулярно используют программы bug bounty для выявления недостатков безопасности в своих системах. Bug bounty — это программа, предлагаемая многими веб-сайтами и разработчиками ПО, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. Bug Bounty есть у всех интернет-гигантов: Apple, Microsoft, Facebook, Google и Intel.
Рекомендации
Нужно постоянно проверять свою информационную систему на предмет осуществления несанкционированного доступа. Можно для этого использовать автоматизированные средства, можно проводить пентесты силами своих сотрудников или объявить bug bounty, оплачивая найденные уязвимости.
Читайте также:
Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых
Посмотрите на личинки жуков: они могут спасти планету от пластика, уничтожив его
Новое исследование рассказывает подробнее об аномалии в магнитном поле Земли