Die meisten Unternehmen, die Elasticsearch-Datenbanken verwenden, speichern damit Geschäfts- und Kundeninformationen. Elasticsearch ist bei Webanwendungen sehr beliebt, da es eine einfache Eingabe und Suche ermöglicht und somit die Entwicklung leistungsfähiger Anwendungen erleichtert. Da sie oft eine Fülle sensibler Daten enthalten, ist es wichtig, dass diese Server angemessen geschützt sind, um Datenlecks zu verhindern. Im November 2018 berichtete der Sicherheitsforscher Bob Diachenko über eine Datenpanne, bei der 57 Millionen personenbezogene Datensätze offengelegt wurden. Die Daten wurden in einer Elasticsearch-Datenbank gespeichert, was in Ordnung ist, aber das Problem ist, dass die Datenbank offen gelassen wurde und der Öffentlichkeit im Internet zugänglich war.
Es wurden einige irreführende Artikel veröffentlicht, in denen behauptet wurde, dass das Problem mit der Verwendung von Elasticsearch selbst zusammenhängt, aber in Wirklichkeit haben die Unternehmen, die diese Server besaßen, diese Datenbanken nicht angemessen geschützt, indem sie sie in einem privaten Netzwerk oder hinter einer Firewall untergebracht haben. Leider handelt es sich um eine alte Geschichte: Grundlegende Sicherheitsmaßnahmen wurden außer Acht gelassen, und die privaten Daten von Personen (Name, Arbeitgeber, Berufsbezeichnung, E-Mail, Adresse, Telefonnummer und IP-Adresse) gelangten in die Hände von Angreifern, die in der Lage waren, den offenen Server zu finden und sich ohne großen Aufwand ungehinderten Zugang zu verschaffen.
Aber halt, es gibt noch mehr
Dieser Bericht vom November 2018 war kein Einzelfall. Tatsächlich meldete Diachenko nur zwei Monate später, im Januar 2019, einen weiteren massiven Verstoß, bei dem 24 Millionen Kredit- und Hypothekendatensätze durchsickerten. Er behauptete, dass die Kriminellen hinter dem Angriff "alles haben, was sie brauchen, um Identitäten zu stehlen, falsche Steuererklärungen einzureichen und Kredite oder Kreditkarten zu erhalten".
Allein im Januar 2019 gab es drei weitere Datenlecks in Elasticsearch-Datenbanken. Um es noch einmal zu sagen: Das Problem liegt nicht in der Sicherheit der Elasticsearch-Datenbanken, sondern darin, wie diese wertvollen Datenbanken gesichert werden. SCMagazine merkte an: "Zuvor wurden vier Millionen Praktikumsbewerbungen der Jugendgruppe AIESEC, 108 Millionen Glücksspieldaten von mehreren Online-Casinos und Millionen von Anrufen und Texten von Voipo von Forschern gefunden."
Sichert mein Unternehmen die Elasticsearch-Datenbanken ordnungsgemäß?
Kurze Antwort: Wenn man sie unter Censys finden kann, sind sie nicht richtig gesichert und für jeden im Internet zugänglich. Realistischerweise sollten Sie davon ausgehen, dass alle Daten, die Sie in diesen offenen Datenbanken gespeichert haben, nach außen gelangt sind. Trotzdem müssen Sie Maßnahmen ergreifen, um sie zu schützen. Und Sie können bei allen neuen Datenbanken, die Ihr Unternehmen zu erstellen und zu nutzen plant, proaktiv vorgehen, indem Sie sicherstellen, dass sie sich nur in einem privaten Netzwerk und hinter einer Firewall befinden. Weitere Tipps finden Sie am Ende dieses Beitrags.
Um eine Censys -Suche nach exponierten Datenbanken durchzuführen, die in Ihrer Organisation verwendet werden, empfehlen wir, bestimmte IPs zusammen mit dem Tag zu überprüfen (in unserem Beispiel verwenden wir die IP-Adresse der Universität von Michigan):
https://censys.io/ipv4?q=%28tags%3A+%22elasticsearch%22%29+AND+141.211.0.0%2F16
Eine weitere Suchmöglichkeit wäre die Suche nach Ihrem spezifischen Hostnamen zusammen mit dem Tag:
tags: elasticsearch AND a:[yourhostname.com]
Hinweis: Unter Censys können Sie auf die folgenden Daten von Elasticsearch-Datenbankservern zugreifen:
- Name des Systems
- Systemversionsinformationen, Build-Typ, Build-Hash, Build-Datum, Build-Variante
- Gesundheitsstatus des Clusters (grün/gelb/rot). Mehr Informationen zu Elasticsearch's Bewertungen hier
- Name des Clusters
- Größe des Cluster-Dateisystems in Bytes, frei in Bytes, verfügbar in Bytes
- Alle Knoteninformationen für jeden Knoten - Rollen, Betriebssystem, Version der Java Virtual Machine (JVM), installierte Plugins, Ingest-Prozessoren
Mist, wir haben Elasticsearch-Datenbanken im Internet aufgedeckt
Tief durchatmen. Okay, verschieben Sie diese ungeschützten Datenbanken in Ihr privates Netzwerk und verstecken Sie sie hinter einer Firewall, sofort. Elasticsearch hat eine wirklich hilfreiche Liste mit Tipps zum Schutz vor unbefugtem Zugriff und Sicherheitsmethoden zur Verschlüsselung von Daten und zur angemessenen Überwachung/Auditierung bereitgestellt.
Arbeiten Sie nun mit Ihrem roten Team, falls Sie eines haben, um den potenziellen Schaden eines Datenlecks zu ermitteln. Sie könnten fragen: "Um welche Art von Informationen handelt es sich? Sind die in dieser Datenbank gespeicherten Daten besonders sensibel? Sind unsere Kunden, Partner oder Klienten davon betroffen?
Wenn Sie eine dieser Fragen mit "Ja" beantworten können, sollten Sie überlegen, ob Sie die undichte Stelle den betroffenen Parteien gegenüber offenlegen müssen. Vergewissern Sie sich, dass Sie das Protokoll Ihrer Organisation für eine solche Offenlegung befolgen, was in der Regel die Zusammenarbeit mit Ihrem Rechtsteam, den Sicherheitsverantwortlichen und anderen Gruppen beinhaltet.
Wenn Sie keine ungeschützten Datenbanken gefunden haben, atmen Sie auf, machen Sie sich einen Kaffee und suchen Sie nach anderen niedrig hängenden Früchten, von denen Sie und Ihr Team vielleicht gar nicht wissen, dass es sie gibt, z. B. Server, die das alte TLS- oder SSL-Protokoll verwenden. Abonnieren Sie unseren Blog, um weitere Ideen zu erhalten, wie Sie Censys Daten nutzen können, um Ihr Unternehmen zu schützen.
