Veröffentlicht am 18. Juni 2018
Im vergangenen Jahr kam es wiederholt zu Datenschutzverletzungen, die von Betreibern verursacht wurden, die Datenbankserver versehentlich im öffentlichen Internet unterbrachten.1 In vielen Fällen waren diese Server, die niemals hätten zugänglich sein dürfen, mit mangelhafter oder gar fehlender Authentifizierung konfiguriert.
Um Unternehmen dabei zu helfen, zu untersuchen und zu überwachen, ob sie fälschlicherweise Datenbanken offengelegt haben, haben wir Scans für vier beliebte relationale Datenbankserver hinzugefügt: MySQL, PostgreSQL, Microsoft SQL Server und Oracle Database. Im Laufe dieses Jahres werden wir auch Unterstützung für Redis, Memcached, MongoDB, Cassandra und Elasticsearch hinzufügen. Wir scannen, indem wir einen anfänglichen Protokoll-Handshake mit Hosts durchführen. Wir versuchen niemals, uns anzumelden oder Benutzerdaten von den gefundenen Servern herunterzuladen.
Datenbank-Exposure heute
Das Ausmaß der Online-Datenbanken ist überraschend. Es gibt etwa 5,5 Millionen relationale Datenbankserver im öffentlichen Internet: 680K MSSQL, 540K Postgres, 94K Oracle, und 4,7M MySQL2 Server. Diese Hosts sind über eine große Anzahl von Netzwerken verteilt - 25,3K autonome Systeme (AS) enthalten Datenbankserver, und kein einziges AS enthält mehr als 5% der öffentlich zugänglichen Server. Die drei Netzwerke mit der größten Verbreitung sind OVH, EGI Hosting und Amazon (siehe vollständige Aufschlüsselung).
Ein Großteil dieses Ergebnisses ist auf MySQL zurückzuführen, von dem es eine Größenordnung mehr Server gibt als von den anderen Datenbanken. Die anderen Engines weisen eine größere Konzentration in einer kleinen Anzahl von Netzen auf. Etwas mehr als 20 % der MSSQL- und 30 % der PostgreSQL-Server werden von dem polnischen Anbieter home.pl gehostet. Über home.pl hinaus sehen wir eine große Anzahl von Servern bei beliebten Cloud-Anbietern wie Amazon, Azure, Hetzer und OVH. Auffällig ist auch die starke Ausrichtung auf viele asiatische Netzwerke. So befinden sich beispielsweise rund 20 % der Microsoft SQL-Server und 30 % der Oracle-Server in China und Korea. Während viele der Server bei beliebten Anbietern stehen, gibt es jedoch Zehntausende anderer Netzwerke, die einen oder zwei Server enthalten und wahrscheinlich ebenso bedenklich sind.
Um die Exposition von Datenbanken in Zukunft zu verfolgen, veröffentlichen wir ein Echtzeit-Dashboard Relational Database Exposure Report, das Live-Daten über die Exposition von relationalen Datenbanken anzeigt.
Überprüfen Sie Ihr Netzwerk auf Gefährdung
Auch wenn einige dieser Server absichtlich mit dem Internet verbunden sind, vermuten wir, dass viele es nicht sind. Es ist die beste Praxis, Datenbankserver nicht öffentlich zugänglich zu machen. Sie können nach Datenbanken suchen, die in Ihrem eigenen Netzwerk offengelegt wurden, indem Sie nach der Tag-Datenbank suchen.
Über Censys, Inc.
Censys ist ein in Ann Arbor ansässiges Informationssicherheitsunternehmen, das Unternehmen bei der Sicherung ihrer Netzwerkgrenzen unterstützt, indem es alle mit dem Internet verbundenen Hosts kontinuierlich überwacht. Censys indiziert Geräte und Dienste, indem es Milliarden von Netzwerk-Handshakes und DNS-Lookups pro Stunde durchführt. Auf diese Weise werden unbekannte Ressourcen aufgedeckt und Unternehmen jeder Größe erhalten verwertbare Sicherheitsinformationen. Censys stellt außerdem Bedrohungsjägern, Penetrationstestern und der breiteren Forschungsgemeinschaft globale Daten zur Verfügung.[weitere Informationen]
Sie lieben Sicherheit und spielen gerne mit Daten? Censys stellt mehrere Software-Ingenieure für Vollzeitstellen ein. Auf unserer Karriereseite finden Sie weitere Informationen.
1 Verizon DBIR 2018: "Bei fast einem Fünftel (17 %) der Verstöße waren Fehler die Ursache. [...] Fehlkonfigurationen, insbesondere ungesicherte Datenbanken, sowie Fehler bei der Veröffentlichung waren ebenfalls weit verbreitet."
2 Von den 4,7 Mio. MySQL-Servern lassen 2,4 Mio. keine Internet-Anmeldungen zu, da sie entweder den Fehler "Host not Privileged" oder "Host Blocked" melden. Wir begrüßen es zwar, dass die Betreiber den Zugang zu bestimmten IPs beschränken, aber wir möchten diese Benutzer auffordern, den Zugang zu diesen Servern zu blockieren. Wir versuchen nicht, uns bei jedem Server, den wir online finden, anzumelden, aber wir gehen davon aus, dass die anderen 2,3 Mio. Server Internetanmeldungen zulassen.
