Какое-то время назад среди исследователей безопасности было очень «модно» находить неправильно сконфигурированные облачные хранилища AWS с разного рода конфиденциальной информацией. Я тогда даже опубликовал небольшую заметку про то, как обнаруживают открытые облачные хранилища Amazon S3.
Однако, время идет и акцент в исследовательских изысканиях сместился на поиск оставленных в открытом доступе баз данных. Более половины известных случаев крупных утечек данных за прошлый год — это утечки из открытых баз (обзор утечек за 2018 год тут и тут).
Сегодня попробуем разобраться как такие БД обнаруживаются исследователями безопасности…
Необходимый дисклеймер: в данной статье не затрагиваются и не поднимаются юридические и этические вопросы, связанные с поиском и выявлением публично доступных баз данных. Вся информация ниже должна рассматриваться исключительно как образовательно-познавательная.
Не открою Америки, если скажу, что основными инструментами для поиска открытых баз данных являются специализированные поисковики Shodan и Censys. Сразу оговорюсь, что это не бесплатные сервисы и за доступ к полным результатам поиска придется заплатить свои честно заработанные не-рубли (в случае Shodan это $59/месяц, а за Censys — $99/месяц, и это только за минимальные базовые пакеты). Бесплатные версии поисковиков сильно ограничивают количество результатов в выдаче.
Помимо классического Google-подобного поиска с помощью поисковой строки, эти поисковики предоставляют возможность подключаться к ним через API. Счастливый обладатель платной подписки получит свой API-ключ. Это позволяет существенным образом облегчить задачу разгребания кучи поискового мусора. Список полезных скриптов и программ автоматизации процесса поиска, использующих API-ключи я привел в конце этой статьи.
Кстати говоря, используя небольшую хитрость и опять же поиск, только на этот раз по GitHub, можно найти некоторое количество API-ключей, оставленных в открытых репозитариях их неосторожными владельцами.
Давайте рассмотрим на примере поисковика Shodan, как найти открытые базы данных MongoDB и Elasticsearch.
Самый простой и очевидный запрос, который напрашивается это «MongoDB»:
Как видно из скриншота, этот запрос вернул нам все проиндексированные сервера MongoDB (на дефолтном 27017 порту). Причем большинство из них (на скриншоте это первые три) будут закрытыми БД, требующими учетных записей для подключения. А это не совсем то, что нам интересно. Точнее, это совсем не то.
Немного усложним запрос, используя поисковые фильтры «all:"mongodb server information" all:"metrics"»:
Результат выглядит уже намного лучше. Все найденные базы были свободно доступными на момент, когда их проиндексировал поисковик. С большой долей вероятности к ним можно будет подключиться по указанным IP-адресам, используя какой-либо менеджер для MongoDB (например, NoSQL Manager for MongoDB или Studio 3T for MongoDB).
Можно ограничить область поиска какой-либо страной. Скажем, давайте поищем открытые MongoDB в Китае (запрос «all:"mongodb server information" all:"metrics" country:"cn"»):
Для поиска открытых баз Elasticsearch удобно использовать запрос «port:"9200" all:"elastic indices"»:
К сожалению, я не нашел способа, как в поисковой строке задать условие поиска по размеру базы. Если вы знаете, как это сделать (задать в поисковой строке фильтр на параметры "totalSize" или "sizeOnDisk"), то пишите в комментариях.
Накладывать более сложные фильтры (ограничения по размеру базы, дата попадания сервера в индекс и т.п.) на поисковую выдачу можно с помощью специализированных скриптов и программ. Для этого уже понадобится платный доступ и API-ключ, о чем я писал выше.
Вот небольшой список того, что может пригодится:
- cli.shodan.io – официальная консоль Shodan. На русском про ее использование можно почитать тут.
- shodan-manual.com — руководство по Shodan на русском языке.
- github.com/woj-ciech/LeakLooker — программа на питоне для поиска открытых баз (MongoDB, CouchDB, Elasticsearch и др.).
- lampyre.io – очень мощный (и пока очень глючный!) графический интерфейс для поиска и визуализации найденного. Имеет встроенные шаблоны для поиска MongoDB и много чего еще. Находится в стадии бета-тестирования со всеми вытекающими…
- t.me/dataleak (если заблокировано, то tele.click/dataleak) — мой скромный канал в Telegram, в котором я обозреваю утечки информации и в частности пишу про то, что находят исследователи безопасности в открытом доступе. Бывает интересно.
Комментарии (4)
olku
23.02.2019 00:06port:«9200» all:«elastic indices»
неа, Эластик как раз у многих не на этом порту
www.shodan.io/search?query=cluster_uuid
Не благодаритеashotog Автор
23.02.2019 14:05этот запрос возвращает всего 153 результата. лучше уж тогда all:«cluster_uuid», но и он плох, т.к. в выдачу попадает много закрытых баз. можно искать просто all:«elastic indices» (будет 31,538 результатов).
atmega644
Спасибо, очень познавательно. Коллеги подсказывают, что тема очень актуальна. Даже есть похожие статьи — Утечки данных MongoDB. MongoDB Data Leakage
ashotog Автор
спасибо за отзыв.
да, я привел ссылку на эту статью в самом низу, как описание CLI для Shodan