Elastic-tietokannan tietomurrot
Edelliset 30 päivääKorostaaksemme kriittisiin maailmanlaajuisiin aloihin kohdistuvia kyberuhkia, me WizCasella olemme ryhtyneet toteuttamaan jatkuvaa kyberturvallisuuteen keskittyvää tutkimusta. Tarkastelimme viimeisimmissä tutkimuksissa tietovuotoja lääketeollisuudessa sekä tietovuotoja verkko-opetuksessa. Molemmat ovat äärimmäisen tärkeitä aloja, jotka jäävät aivan liian vähälle huomiolle. Tutkittuamme useita toimialoja, halusimme ryhtyä analysoimaan yleisiä palvelinmurtoja, jotka voivat vaikuttaa kaikkiin tietokantoja pyörittäviin yrityksiin. Kuluneen 10 vuoden aikana palvelimiin on kohdistunut yli 300 tietomurtoa, joissa onnistuttiin varastamaan yli 100 000 tietuetta. Kyseessä on valtava määrä dataa, joka voi aiheuttaa vahinkoa niin yrityksille kuin niiden asiakkaillekin.
Seurattavat muuttujat
Työkalu seuraa ja näyttää useita muuttujia kuvatakseen maailmanlaajuisten tietomurtojen laajuutta ja vakavuutta:
-
Analyysien aikaväli:
Syötä manuaalisesti aikaväli, jonka puitteissa haluat tarkastella palvelinanalyysejä.
-
Tarkistettujen palvelinten yhteismäärä:
Kuinka monta palvelinta kyseisellä aikavälillä on tarkistettu.
-
Käynnissä olevien Elasticsearch-esiintymien yhteismäärä:
Kuinka moni tarkistetuista palvelimista käytti Elasticsearch-tietokantaa.
-
Ilman valtuutusta käytettävissä olevien palvelinten yhteismäärä:
Kuinka montaa Elasticsearch-tietokantaa pystyi käyttämään ilman turvallista varmennusta.
-
Turvallisten ja turvattomien palvelinten erittely:
Kuinka montaa tietokantaa (prosentteina) pystyi käyttämään ilman turvallista valtuutusta, kuinka moni vaati salasanan ja kuinka moni esti pääsyn kokonaan.
-
Palvelinten koko prosentteina:
Kuinka moni tarkistetuista Elasticsearch-tietokannoista oli kooltaan alle 1 Gt:a, 1-100 Gt:a tai yli 100 Gt:a. Luku on ilmoitettu prosentteina.
-
Paljastuneiden tietueiden määrä palvelimilla, jotka olivat käytettävissä ilman valtuutusta:
Julkisesti käytettävissä olevien tiedostojen määrä, jotka ovat peräisin kaikista suojaamattomista Elasticsearch-tietokannoista määritetyllä aikavälillä.
-
Ilman valtuutusta käytettävissä olevien palvelinten määrä, joihin on kohdistunut jokin hyökkäys:
Kuinka moneen turvattomaan palvelimeen on kohdistunut jokin hyökkäys, kuten Meow, jonka seurauksena dataa on varastettu tai pyyhitty.rn
Yleisimmät tietomurroista aiheutuvat uhat henkilöille, joiden tiedot pääsevät vuotamaan
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Varkaus
—Varastettua dataa voidaan käyttää hyväksi rahan ansaitsemistarkoituksiin, mikäli varastettuihin tietoihin lukeutuvat esimerkiksi luottokorttien tiedot. Arkaluontoisia henkilötietoja voidaan käyttää myös identiteettivarkauksiin.
-
Kiristäminen
—Hyökkääjät voivat käyttää haltuun saatuja tietoja kiristääkseen henkilöitä, joiden tiedot pääsivät paljastumaan. Tämä pätee etenkin arkaluontoisiin terveys- ja maksutietoihin.
-
Käyttäjätilin haltuunotto
—Varastettujen tietojen avulla voidaan päästä käsiksi käyttäjätileihin eri palveluissa, mikäli niissä on käytetty identtisiä kirjautumistietoja. Tiedoilla voidaan päästä myös tietomurron kohteena olleeseen palveluun yhdistetylle käyttäjätilille.
-
Tietojenkalastelu/Huijaukset
—Jos henkilötietoja kerätään riittävästi, niiden avulla voidaan toteuttaa tehokkaita tietojen kalasteluhyökkäyksiä ja -huijauksia. Näin ihmisiä voidaan huijata luovuttamaan vieläkin arkaluontoisempia tietoja, kuten luottokorttien tai pankkitilien tietoja.
Tietomurroista aiheutuvat kustannukset yrityksille
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Oikeudelliset seuraamukset
—Monien yritysten harjoittaessa toimintaa kansainvälisesti, tietomurrot voivat johtaa oikeudellisiin ongelmiin eri lainkäyttövaltojen alueilla. Tästä voi aiheutua merkittäviä oikeudellisia kustannuksia, jotka voivat pahimmillaan jopa uhata yrityksen olemassaoloa.
-
Maineen tahrautuminen
—Mikäli tietomurto on merkittävä, yritys menettää todennäköisesti lukuisten asiakkaiden luottamuksen. Asiakkaat luottavat yritysten pitävän asiakastiedot turvassa, ja mikäli tässä epäonnistutaan, monet siirtävät asiakkuutensa muualle. Tietomurrosta johtuvista asiakasmenetyksistä aiheutuvat rahalliset tappiot ovat suuruudeltaan keskimäärin 1,4 miljoonaa dollaria.
-
Varkaus
—Oli kyseessä sitten aineeton omaisuus tai maksutiedot, varastettu data voi johtaa merkittäviin menetyksiin eri muodoissa.
-
Sakot
—Tietosuojaa koskevien säädösten rikkominen voi johtaa myös suoriin kustannuksiin sakkojen muodossa. Esimerkiksi vuonna 2017 Equifaxiin kohdistuneen tietomurron seurauksena yritys sai maksettavakseen Yhdysvaltain kauppakomission määräämän 700 miljoonan dollarin suuruisen sakon.
Kaikkien aikojen viisi suurinta tietomurtoa
Toistaiseksi suurimpiin lukeutuvat tietomurrot ovat vaikuttaneet joihinkin markkinoiden suurimpiin ja luotetuimpiin yrityksiin. Ei ole mikään yllätys, että vuoteen 2018 mennessä jopa kaksi kolmasosaa netin käyttäjistä oli kohdannut tilanteen, jossa heidän tietojaan oli varastettu tai ne pääsivät vaarantumaan muulla tavoin.
On myös hyvä tietää, että kaikki merkittävimmät tietomurtojen kohteeksi joutuneet yritykset ovat amerikkalaisia. Tietomurroista aiheutuvien kustannusten on laskettu olevan keskimäärin 8,2 miljoonaa dollaria Amerikassa. Tämä on huomattavasti enemmän muuhun maailmana verrattuna.
-
Yahoo — Yahoolta varastettiin jopa kolme miljardia tietuetta (kaikki palvelun käyttäjätilit), kun se hakkeroitiin vuonna 2013. Näihin tietoihin lukeutuivat nimet, sähköpostiosoitteet ja salasanat. Kun palvelu hakkeroitiin uudelleen vuonna 2014, tietueita varastettiin 500 miljoonaa kappaletta.
-
First American Corporation — Vakuutus- ja selvityspalveluita tarjoava First American Corporation paljasti 885 miljoonaa tietuetta heikon turvallisuuden vuoksi. Paljastuneisiin tietoihin lukeutuivat mm. henkilötunnukset ja ajokortit.
-
Facebook — Heikko turvallisuus johti 540 miljoonaan tietueen vuotamiseen vuonna 2019. Tietoihin lukeutuivat käyttäjänimet, kommenttien yksityiskohdat, julkaisujen reaktiot, valokuvat ja jopa yli 22 000 käyttäjän salasanat.
-
Marriott International — Hotelliketju menetti yli 500 miljoonaa tietuetta, kun kiinalainen ryhmä onnistui hakkeroimaan sen vuonna 2018. Menetettyihin tietoihin lukeutuivat mm. nimet, passin tiedot, sähköpostiosoitteet, puhelinnumerot ja osoitteet.
-
Friend Finder Networks — Hyökkäyksen seurauksena onnistuttiin varastamaan yli 410 miljoonaa tietuetta vuonna 2015. Vaikka henkilötiedot eivät päässeet vuotamaan, tiedoista kävi ilmi, ketkä olivat rekisteröityneet sivuston jäseniksi.
Vinkkejä: Kuinka suojautua tietomurroilta?
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Käytä uniikkeja salasanoja kaikilla tileillä
Jos käytät samaa salasanaa useilla käyttäjätileillä, yhden salasanan vuotaminen voi johtaa siihen, että useille tileillesi päästään murtautumaan. Käytä luotettavaa salasanan hallintaohjelmaa, jotta jokaisen käyttämäsi palvelun salasana on vahva ja uniikki.
Käytä kaksivaiheista tunnistautumista (2FA)
Vaikka kirjautumistietosi varastettaisiin tietomurron yhteydessä, käyttäessäsi kaksivaiheista tunnistautumista hakkerin on käytännössä mahdotonta päästä käsiksi käyttäjätilillesi ilman lisäturvakoodia.
Ota käyttöön henkilöllisyyden valvontatyökalu
Tämä työkalu varoittaa, kun henkilötietojasi löytyy sivustolta, johon on koottu varastettuja tietoja. Saat myös tiedon, jos henkilötietojasi käytetään esimerkiksi lainahakemuksissa tai niitä löytyy some-julkaisuista. Näin voit reagoida heti, kun tiedät että tietojasi on varastettu.
FAQ: Tietomurtojen seuranta ja Elasticsearch
Kuinka laajan osan verkkoa tietomurtojen seurantatyökalu voi tarkistaa?
Alun perin 100 %, mutta rajaamme sen 0,06 %:iin. Skannaamme kerran viikossa koko Internetin etsiäksemme IP-osoitteita, jotka käyttävät todennäköisesti Elasticsearchia. Näitä on yhteensä noin 250 000 kappaletta. Näin voimme rajata koko verkon 0,06 %:iin, jonka skannaamme säännöllisesti pitääksemme tietomme mahdollisimman hyvin ajan tasalla.
Mihin tietomurtojen seurantatyökalua voidaan käyttää?
Tietomurtojen seurantatyökalulla voi arvioida globaalien palvelinten haavoittuvuuksia sekä analysoida, miten maailmanlaajuisten tietokantojen turvallisuutta voidaan parantaa. Koska haavoittuvaisia tietokantoja on valtavasti, toivomme työkalun toimivan herätyksenä yrittäjille ja muille tahoille, jotka säilyttävät arkaluontoisia tietoja turvattomalla palvelimella. Koska tietomurroista aiheutuvat kustannukset ovat keskimäärin suuruudeltaan noin 4 miljoonaa dollaria, on elintärkeää, että yritykset suojaavat haavoittuvaiset tietokannat mahdollisimman nopeasti.
Mikä on Elasticsearch?
Elasticsearch on tietokantamoduuli, jota käytetään eri tyyppisen datan järjestämiseen ja hakemiseen. Palvelulla on monia käyttötarkoituksia, kuten sovellushaku, lokianalyysit, suorituskyvyn seuranta ja turvallisuusanalyysit. Monet pitävät erityisesti sen nopeudesta ja kyvystä hakea tietoa valtavan datamäärän joukosta millisekunneissa. Se on arvioitu yhdeksi maailman suosituimmista tietokantamoduuleista.
Mikä on Meow-hyökkäys?
Meow on erityisen tuhoisa kyberhyökkäys, joka poikkeaa monista muista hyökkäyksistä, sillä sen avulla ei pyritä ansaitsemaan rahallista hyötyä. Se etsii suojaamattomia tietokantoja ja pyyhkii kaiken sisällön jättäen jälkeensä sanan ”Meow” ympäri tietokantaa. Se ei koske ainoastaan Elasticsearch-tietokantoja, vaan voi hyökätä myös esimerkiksi MongoDB:hen, Cassandraan ja Hadoopiin.
Minkä tyyppiset kyberhyökkäykset ottavat kohteekseen palvelimet?
Meow:n ohella palvelimiin voidaan kohdistaa useita eri tyyppisiä hyökkäyksiä. Näitä ovat esimerkiksi:
- DoS-hyökkäykset (palvelunestohyökkäykset) — Hyökkääjä kohdistaa palvelimeen enemmän verkkoliikennettä kuin se pystyy käsittelemään, mikä saa palvelimen kaatumaan tilapäisesti.
- Väsytyshyökkäykset (brute-force-hyökkäykset) — Hyökkäyksissä pyritään arvaamaan nopeasti valtava määrä salasanoja, joiden avulla voidaan päästä käsiksi käyttäjätileihin.
- Hakemistopuun läpikulkuhyökkäys — Tämän haavoittuvuuden avulla hakkeri pääsee käsiksi verkkohakemiston päähakemistoa syvemmälle, jossa se voi suorittaa komentoja tai paikantaa arkaluontoisia tietoja.
- Verkkosivustojen sotkeminen — Hyökkääjä voi syöttää haitallista tai asiaankuulumatonta dataa tietokantaan, jolloin sivuston käyttäjät näkevät alkuperäisen datan sijaan ”sotketun” tuloksen.
Mitä muun tyyppisiä tietokantoja voidaan jättää avoimeksi Internetissä?
Lähes mikä tahansa tietokanta voidaan jättää suojaamattomaksi ja avoimeksi hyökkäyksille Internetissä. On kuitenkin olemassa muutamia tietokantoja, jotka jätetään säännöllisesti avoimeksi hyökkäyksille. Näitä ovat esimerkiksi MongoDB, Cassandra, Hadoop ja Jenkins.
Miten ei-turvalliset tietokannat voidaan korjata?
Elasticsearchissa on useita sisäänrakennettuja mekanismeja käyttäjien varmentamiseksi. Näin ainoastaan valtuutetut käyttäjät voivat kirjautua sisään ja tarkastella dataa palvelimella. Tämä ei kuitenkaan riitä, sillä käyttäjille tulisi antaa asianmukaiset käyttöoikeudet, jotta he näkevät ainoastaan sellaista dataa, jota heillä on oikeus tarkastella. Elasticsearch käyttää tästä nimitystä “roolipohjainen pääsynhallinta” (RBAC). Käytännössä tämä tarkoittaa sitä, että jokaiselle käyttäjälle annetaan rooli ja siihen perustuva pääsyoikeus tietoturvan parantamiseksi.
Luonnollisesti suojausratkaisut ulottuvat paljon syvemmälle, mutta tehokas pääsynhallinta tekee monista palvelimista huomattavasti turvallisempia.
Miten tietomurtojen seurantatyökalu toimii?
Tietomurtojen seurantatyökalumme skannaa verkon viikoittain etsien erityisesti suojaamattomia Elasticsearch-tietokantoja, joihin tietomurto voi kohdistua, tai joihin sellainen on jo kohdistunut. Työkalu tallentaa nämä tiedot ja esittää ne yksityiskohtaisessa kaaviossa, jossa on useita muuttujia. Näin voit analysoida helposti haluamaasi dataa tietyllä aikavälillä.
