La mayoría de las organizaciones que utilizan bases de datos Elasticsearch lo hacen para almacenar información empresarial y de clientes. Es popular para aplicaciones web porque permite una ingestión y búsqueda sencillas, lo que facilita el desarrollo de aplicaciones potentes. Dado que a menudo contienen una gran cantidad de datos confidenciales, es fundamental que esos servidores estén debidamente protegidos para evitar fugas de datos. En noviembre de 2018, el investigador de seguridad Bob Diachenko elaboró un informe sobre una violación de datos que expuso 57 millones de registros de información personal. Los datos se almacenaban en una base de datos Elasticsearch, lo cual está bien, pero el problema es que la base de datos se dejó abierta y expuesta al público en Internet.
Se publicaron algunos artículos engañosos que afirmaban que el problema radicaba en el uso de Elasticsearch, pero la realidad es que las organizaciones propietarias de esos servidores no protegieron adecuadamente las bases de datos colocándolas en una red privada o detrás de un cortafuegos. Por desgracia, es una vieja historia: se saltaron las medidas de seguridad básicas y la información privada de las personas (nombre, empleador, puesto de trabajo, correo electrónico, dirección postal, número de teléfono y dirección IP) se filtró a cualquier atacante capaz de encontrar el servidor abierto y obtener acceso sin restricciones sin mucho esfuerzo.
Pero espere, hay más
Ese informe de noviembre de 2018 no fue único. De hecho, solo 2 meses después, en enero de 2019, Diachenko informó de otra brecha masiva que filtró 24 millones de registros de crédito e hipotecas. Afirmó que los delincuentes detrás del ataque "tendrían todo lo que necesitan para robar identidades, presentar declaraciones de impuestos falsas y obtener préstamos o tarjetas de crédito."
Otras tres filtraciones de datos de bases de datos de Elasticsearch ocurrieron solo en enero de 2019. Para reiterar, el problema no está en la seguridad de las bases de datos de Elasticsearch, sino en cómo se protegen esas valiosas bases de datos. SCMagazine señaló: "Anteriormente, cuatro millones de solicitudes de prácticas del grupo juvenil AIESEC, 108 millones de registros de apuestas de varios casinos en línea y millones de llamadas y textos de Voipo fueron encontrados por los investigadores."
¿Está mi empresa protegiendo correctamente las bases de datos Elasticsearch?
Respuesta corta, si puedes encontrarlas en Censys, no las estás protegiendo adecuadamente y están abiertas a cualquiera en Internet. Siendo realistas, debes asumir que cualquier dato que tengas almacenado en esas bases de datos abiertas ha sido filtrado. Dicho esto, debes tomar medidas para protegerlas. Y puedes ser proactivo con cualquier nueva base de datos que tu empresa esté planeando crear y utilizar, asegurándote de que sólo está en una red privada y de que está detrás de un cortafuegos. Más consejos al final de este artículo.
Para realizar una búsqueda en Censys de cualquier base de datos expuesta que se utilice en su organización, le sugerimos que compruebe IP específicas junto con la etiqueta (en nuestro ejemplo, utilizamos la dirección IP de la Universidad de Michigan):
https://censys.io/ipv4?q=%28tags%3A+%22elasticsearch%22%29+AND+141.211.0.0%2F16
Otra búsqueda a explorar sería buscar su nombre de host específico, junto con la etiqueta:
tags: elasticsearch AND a:[yourhostname.com]
Nota: en Censys, puede acceder a los siguientes datos de los servidores de bases de datos Elasticsearch:
- Nombre del sistema
- Información sobre la versión del sistema, tipo de compilación, hash de compilación, fecha de compilación, tipo de compilación
- Estado de salud del clúster (verde/amarillo/rojo). Más información sobre las clasificaciones de Elasticsearch aquí.
- Nombre del clúster
- Tamaño del sistema de archivos del clúster en bytes, libre en bytes, disponible en bytes
- Toda la información de cada nodo: roles, sistema operativo, versión de la máquina virtual Java (JVM), plugins instalados y procesadores de ingesta.
Mierda, hemos encontrado bases de datos Elasticsearch expuestas en Internet
Respira hondo. Bien, traslada esas bases de datos expuestas a tu red privada y ponlas detrás de un cortafuegos. Elasticsearch ha proporcionado una lista muy útil de consejos para ayudar a prevenir el acceso no autorizado y los métodos de seguridad para el cifrado de datos y monitoreo / auditoría adecuada.
Ahora, trabaje con su equipo rojo, si lo tiene, para determinar el daño potencial de una fuga de datos. Podrías preguntarte: "¿De qué tipo de información se trata? ¿Son especialmente sensibles los datos almacenados en esta base de datos? ¿Expone a nuestros clientes, socios o socios?".
Si la respuesta a cualquiera de estas preguntas es afirmativa, considere si debe revelar la filtración de forma responsable a las partes afectadas. Asegúrate de que sigues el protocolo de tu organización para este tipo de revelaciones, que suele incluir la colaboración con el equipo jurídico, los responsables de seguridad y otros grupos.
Si no ha encontrado ninguna base de datos expuesta, respire aliviado, prepárese una taza de café y busque otra fruta madura que ni usted ni su equipo sepan que está ahí fuera, tal vez servidores que utilicen protocolos TLS o SSL antiguos. Suscríbase a nuestro blog para obtener más ideas sobre cómo utilizar los datos de Censys para proteger su organización.
