Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker waarschuwt voor gegijzelde Elasticsearch-clusters

Door , 36 reacties

Niall Merrigan, een van de beveiligingsonderzoekers die deze maand berichtte over gegijzelde MongoDB-databases, waarschuwt dat aanvallers zich nu richten op servers met Elasticsearch. Zij hanteren dezelfde werkwijze en vragen losgeld voor het terugzetten van bestanden.

Merrigan meldt dat er momenteel ongeveer zeshonderd gegijzelde Elasticsearch-servers zijn. Volgens de oprichter van zoekmachine Shodan, John Matherly, zijn er in totaal 35.000 servers te vinden die via het internet te benaderen zijn. Daarbij gaat het voornamelijk om versies van Elasticsearch die draaien op AWS-servers. De aanvallers vragen ook in dit geval 0,2 bitcoin als betaling voor het terugzetten van de data, wat neerkomt op ongeveer 153 euro.

Deze werkwijze werd eerder toegepast bij MongoDB-databases, waartoe aanvallers door gebrekkige of afwezige beveiliging toegang hebben. Het aantal gegijzelde databases was begin deze week ongeveer 27.000 en is in de loop van de week opgelopen tot ongeveer 34.000. Daarmee is de in eerste instantie snelle groei van het aantal gegijzelde databases afgenomen.

Elasticsearch is software waarmee grote hoeveelheden data op te slaan en te doorzoeken zijn. De organisatie erachter waarschuwt in een eigen bericht dat er aanvallen plaatsvinden en biedt gebruikers uitleg over het beveiligen van hun installatie. Ontwikkelaar Itamar Syn-Hershko heeft een blogpost gewijd aan het beveiligen van Elasticsearch naar aanleiding van de aanvallen.

Reacties (36)

Wijzig sortering
Dingen zoals dit bewijst maar weer dat er nog best vaak vergeten word goed na te denken over security en over je infrastructuur. En nu het allemaal makkelijker word om zelf maar wat in de cloud te zetten voor zie ik dat er nog meer van deze berichten zullen komen in de toekomst.
Dit is niet nieuw, dit is al 20+ jaar oud, de 'cloud' is gewoon het internet. Jan en alle man kon 20 jaar geleden ook al zelf vrij makkelijk websites inelkaar steken en het vak systeembeheerder stelde nog niet zoveel voor.

Misschien dat sommige oude mede tweakers nog fxp kennen, poortscannen op open poortjes, mensen die thuis servers draaiden, tot zelfs vrij grote bedrijven die van alles open hadden staan en ook daar kwam je vertrouwelijke info tegen tot zelfs gehele toegang tot een server park. En beheerders die vol paniek op fora zich afvroegen waar hun storage bleef en waarom ze zoveel internet verkeer genereerde...
Precies, ik kan me herinneren dat ergens in de jaren 90 ik via mijn internet provider (ik meen via ISDN) toegang had tot PC-Anywhere installaties van andere klanten en/of de provider - zonder wachtwoord en andere vorm van beveiliging (en ook toen kon je dat al instellen).
Eerder dat er gewoon helemaal niet nagedacht wordt en een of andere wordpress-level 'programmeur' met infrastructuur loopt te rommelen aan de hand van een of ander tutorial. De kwaliteit is bij de meeste programmeurs vaak ver te zoeken, en als ze zich dan ook met infrastructuur bezig gaan houden is het helemaal huilen met de pet op.

Puur om dat iemand op school geleerd heeft hoe je op Windows "next, next, accept, install" kan doen om iets te installeren of 'via FTP' wordpress kan 'installeren' maakt dat nog geen developer of webdevelopers, en zeker geen engineer of ops. Helaas weten veel mensen niet beter, en is controle zo goed als afwezig.
Puur om dat iemand op school geleerd heeft hoe je op Windows "next, next, accept, install" kan doen om iets te installeren of 'via FTP' wordpress kan 'installeren' maakt dat nog geen developer of webdevelopers, en zeker geen engineer of ops. Helaas weten veel mensen niet beter, en is controle zo goed als afwezig.
Waarheid als een koe, helaas. Destemeer reden om software engineering een beschermd vakgebied te maken, net zoals de advocatuur.
[...]
Waarheid als een koe, helaas. Destemeer reden om software engineering een beschermd vakgebied te maken, net zoals de advocatuur.
En toch zijn er opvallend vaak de gasten die tot de besten behoren, ook diegene die hun studie niet afgemaakt hebben.
Dus beschermd vakgebied lijkt me geen goed idee. (Veel) meer aandacht voor de gevolgen van slecht werk lijkt me wel nuttig.
En dan vooral op het gebied dat degenen die beslissingen nemen in het bedrijf het ook snappen dat kwaliteit vaak eigenlijk belangrijker is dan de laatste nieuwe feature zo snel mogelijk uitrollen voor zo weinig mogelijk geld.
Niet enkel Software Engineering ... zoek maar eens een goede Infrastructuur of OS Engineer jonger dan 30 die uberhaupt de bouwstenen kent van een OS of Network of ... 'troubleshooten' begint echt een kunst te worden, gewoon omdat jonge/nieuwe IT engineers niet meer moeten weten hoe alles is opgebouwd.
Klopt, de meesten weten het niet. Maar de meesten van mijn generatie weten het ook niet. Ik heb bewust 2 jaar eind jaren 90 een zijsprong gemaakt om BGP en andere netwerk ins en outs te leren kennen.

Vroegah kon een systeembeheerder ongeveer 10 systemen aan. Door het verbeteren van tooling, monitoring, deploy etc. is 1000 geen raar getal meer, maar het bij effect is dat mensen zonder inhoudelijke kennis nu ook een heel eind komen.
En dan krijg je dit. Net zoals een paar jaar terug elke WordPress installatie automatisch heel erg lek was, en nu nog maar een beetje. Dit wordt ook wel beter.
Hoewel mijn eerste gedachte was: "wat een onzin" heb je eigenlijk wel een interessant punt. Al ben ik het nog steeds niet met je eens. :P

Kwaliteit van IT-ers op elk vlak varieert enorm. Je hebt het stereotype puisterige buurjochie wat gepromoveerd wordt tot software engineer omdat hij leuke Wordpress pluginnetjes aan elkaar kan knopen tot iets moois aan de ene kant, maar net zo goed mensen met voldoende inhoudelijke kennis en ervaring die heel mooi spul maken. En misschien hebben die wel dezelfde basisopleiding gehad, simpelweg omdat er 20 jaar geleden nog nauwelijks sprake was van specifieke opleidingen. Informatica was hetgeen wat het meeste in de buurt kwam. Ter illustratie: ik heb ook maar een HTS opleiding in een ongerelateerde richting gehad, maar heb door zelfstudie en ervaring (en coaching) mezelf op een -naar eigen mening natuurlijk- goed niveau gebracht.

Dit geldt denk ik voor heel veel IT-ers, of het nu om software architecten of systeembeheerders gaat. Alle mensen zonder specifieke opleiding terzijde schuiven doet daarom meer kwaad dan goed denk ik. Volgens mijn natte vinger ben je dan zo de helft van alle werknemers in de sector kwijt, terwijl die sector al jaren een tekort aan werknemers heeft.
Daarbij is het nmm ook zo dat als jij als commercieel bedrijf incapabele mensen inhuurt je daar ook zelf de risico's van moet dragen. Wordt je gehacked? Zit maar op de blaren. Had je je personeel maar moeten laten scholen.

Anderzijds vind ik het een ander verhaal als het om overheidsdiensten of andere cruciale diensten gaat. Personeel in bijvoorbeeld ziekenhuizen, belastingdienst, verzekeraars etc. moeten wél aan bepaalde eisen voldoen. Al is het maar een bepaald examen wat je moet afleggen om je kennisniveau te bewijzen.
Alle mensen zonder specifieke opleiding terzijde schuiven doet daarom meer kwaad dan goed denk ik.
[...]
Al is het maar een bepaald examen wat je moet afleggen om je kennisniveau te bewijzen.
Je geeft hier eigenlijk zelf al de oplossing voor dat probleem. ;)


Ik ben het trouwens helemaal met je eens. Het is niet de bedoeling iedereen die een bepaalde opleiding gemist heeft,permanent buiten de sector te knikkeren.

Je kunt best iemand's huidige niveau toetsen met een toelatingstoets. En qua slagen kunnen daar ook best gradaties in zitten voor verschillende niveau's.

[Reactie gewijzigd door R4gnax op 16 januari 2017 19:25]

aan de hand van een of ander tutorial.
Precies. Neem https://www.digitalocean....ure-redis-on-ubuntu-16-04, bijvoorbeeld. Helemaal op het einde, bij de conclusie, staat:
You should now have a Redis instance installed and configured on your Ubuntu 16.04 server. To learn more about how to secure your Redis installation, take a look at our How To Secure Your Redis Installation on Ubuntu 14.04 (from step 3 onward)
De kans is zeer klein dat men dit opmerkt of tijd in zal steken.
Als positivist denk ik dan maar, dat is een les in security ter waarde van 153 euro. Ook ik vind dit laakbaar gedrag uiteraard, de bewustwording wordt op deze manier OOK gestimuleerd, dat is in ieder geval een bijkomend voordeel. En ik onderschrijf wat johnkeates zegt, er wordt teveel bezuinigd op dit soort taken waardoor security niet de aandacht krijgt die het verdient en uitgevoerd door ondeskundig personeel. Maar goed, zoals ik zei, dit helpt alleen maar die bewustwording te verkrijgen. En nog niet eens voor heel veel geld overigens.

[Reactie gewijzigd door Houtenklaas op 13 januari 2017 18:57]

Bewustwording voor de beheerders van de servers is goed. en geld vragen is ook nog niet zo erg eigenlijk, maar het is natuurlijk een enorm risico voor vertrouwelijke data van klanten van "deze servers." Ik weet dit niet zeker maar als ze het volledig kunnen versleuten en "gijzelen" kunnen ze de data ook zien en eventueel voor andere doeleinden gebruiken, Toch?

Bedenk nu ik dit typ bij mezelf dat zoekdata niet vertrouwelijk is, ik zat in mijn hoofd de risicos al te calculeren maar het is echt alleen een nadeel voor de beheerders van de server. Wouw. En hoe moeilijk is een backup eigenlijk, als het je 153 euro bespaart?

[Reactie gewijzigd door nykstobbe op 13 januari 2017 22:07]

Behalve als je zoekdata gegevens bevat van klanten, omzet, wellicht andere privacy gevoelige data en zo. Dus of het niet vertrouwelijk is? Ik betwijfel dat op voorhand ...
Daar zat ik ook aan te denken eerst, Maar dan begrijp ik weer niet zo goed dat je het aan het internet verbind. Misschien als je met meerdere vestigingen van een bedrijf de data nodig hebt. Maar ze moeten zeker als ze vertrouwelijke data op de server hebben gewoon de beveiligde editie kopen.
Maar ja, "dat kost geld en er staan geen inkomsten tegenover" is dan het argument van meneer de manager. En als het dan misgaat, krijgt niet meneer de manager, maar de IT'er op zijn (of haar) kloten. En "nee" zeggen is niet goed voor je carrière. Gelukkig zijn er steeds meer bedrijven waar een security officer steeds meer kan afdwingen. En dat is echt heel hard nodig. In NL moet je lekken/hacks opgeven bij ACM, ik vraag me echt af hoe groot - of klein - het topje van de ijsberg is die dat ook echt doet.
Backups voorkomen dat je 153 euro hoeft te betalen. Als je dit wel betaalt getuigt dat dus niet alleen van gebrekkige security maar ook van gebrekkige backups. Helaas, ze moeten het toch eens leren, dus een wijze les die niet eens heel duur is. De manier waarop is niet te prijzen natuurlijk, maar de beheerdera van de betreffende servers is behoorlijk wat te verwijten.
Precies wat ik zeg en met dat backuppen sla je NOG een spijker op zijn kop. Daar komt vaak de term "berouw komt na de zonde" om de hoek kijken :)
Backups kosten gauw meer dan 150 euro, en een systeem goed beveiligen kost heel veel meer. Vooral in bewustwording van mensen, en ik vrees dat dat nu niet gebeurt. Nu betaal je, de manager streept het af tussen de nieuwe servers, en klaar. Voor maar 150 euro is er niks gebeurd. Er zijn duurdere fouten.
Dat lage losgeldbedrag zorgt er natuurlijk wel voor dat veel bedrijven betalen en dat er weinig aangifte zullen doen. Zeker omdat dit soort scams vaak echt je data unencrypten/terugzetten werkt het businessmodel goed.
In het geval van elasticsearch heeft het bedrjf erachter wel een flink klontje boter op het hoofd. De 'open source' versie van ElasticSearch heeft tot nu toe geen enkele ondersteuning voor accounts/toegangscontrole e.d gehad. Alles staat open en je moet zelf maar zorgen dat Elasticsearch op interne poorten draait waar verder niemand bij kan, beveiliging op netwerkniveau.

Wil je de boel wel beveiligen dan moet je commerciële ondersteuning kopen en krijg je diverseextra modules, waar een onderdeel betere security is, maar prijzen hiervoor zijn 'op aanvraag'. Kortom: onderdeel van het verdienmodel.

Misschien de de nieuwe versie 5 iets meer biedt, maar dir was mijn ervaring met Elasticsearch een half jaar geleden.
Het is sowieso niet de bedoeling dat je elasticsearch open en bloot aan het internet hangt.
Ook in je eigen bedrijf wil je dit niet open en bloot in je netwerk hebben. Verreweg de meeste hacks komen van binnenuit. Daarnaast is het bij mij "not done" dat maar alles en iedereen aan het internet hangt. Alleen op "needed" basis. Geen directe koppeling nodig? dan ook geen route naar het internet ...'t Is wellicht NET wat meer werk, maar alles staat exact zover open zoals de noodzaak er is en geen nanometer verder!

[Reactie gewijzigd door Houtenklaas op 13 januari 2017 19:05]

Helemaal mee eens ben ik het niet met je. Op hun webpagina lees je dat er een security module gekocht kan worden. Daar doen ze allerminst geheimzinnig over. Wil je dat niet? Dan is dat jouw besluit uiteraard, maar dat legt de security verantwoordelijkheid niet bij Elsticsearch neer, die ligt echt bij jezelf, het is jouw besluit!. En jij als afnemer mag best wel even 5 seconden nadenken wat dit besluit betekent en welke operationele risico's je neemt.

Wat je ze wellicht mag aanrekenen is dat ze dit niet in koeienletters uitmelken, maar goed, dat zou op mij weer als een rode lap op een stier werken. Terwijl ik kleurenblind ben.
Dat is net zo kwalijk als al die IoT devices met gebrekkige beveiliging. Hoe slecht is het om een product te verkopen waar beveiliging optioneel is?

Niet iedereen kan de gevolgen overzien, eigenlijk zou je verplicht moeten zijn een minimaal veiligheidsniveau af te dwingen. Het zou hetzelfde zijn als een auto verkopen zonder kreukelzone. Wil je hem met? "Vraag naar de prijs voor een kreukelzone bij onze dealer". |:(

Die moeite neemt de helft namelijk niet. Je moet eerst een prijs vragen, die moet je nog onderhandelen...weet je, doe maar gewoon zonder dat gedoe, is nog goedkoper ook!
Geen goed vergelijk in mijn ogen. Bij IoT devices moet je vaak gewoon betalen en is de beveiliging ruk zonder kans op verbetering. Maar dit is fundamenteel een ander verhaal. Jij mag iets gratis gebruiken en zal jezelf moeten afvragen of jij dat aankan. Dat 95% van de mensheid zich daar schromelijk overschat, dat kan je die tent niet aanrekenen. Wel - maar dan herhaal ik mezelf - zouden ze daar meer nadruk op kunnen leggen.

Maar de spiegel hou jezelf vast, JIJ moet snappen wat je aan het doen bent. Voor auto's - om bij jouw voorbeeld te blijven - is er een basale test die al dan niet toegang verschaft tot een rijbewijs. Daar wordt dus min of meer meegekeken of jij in staat bent om aan het verkeer deel te nemen. En juist die zelfkennis ligt hier 100% bij de gebruiker als je de public versie afneemt. Naar anderen wijzen is dan niet de oplossing, maar kijk vooral naar jezelf. Welke kennis heb je en voel je je voldoende zeker om die in te brengen. Lukt dat niet? Koop dan de betaalde support. "There is no such thing as a free ride", één van mijn favoriete uitspraken :)
Het vergelijk maakte ik met een kreukelzone van een auto. Niet met IoT: ik zeg alleen dat het net zo slecht is, niet dat de situatie vergelijkbaar is.

"Een wachtwoord? Haha, nee, dat kan niet met de gratis versie" 8)7

Ik hoef niet meer te zeggen denk ik :+
"For other deployments, we’ve strongly recommended that unsecured Elasticsearch instances should not be directly exposed to the Internet".

https://www.elastic.co/bl...hold-your-data-for-ransom

Het was in principe wel bekend. Al in 2013 zeggen ze. Als iemand software levert en erbij zegt "we raden het sterk af om dit zonder beveiliging aan het internet te koppelen".. en je negeert het dan en zelf denkt "hier kom ik wel mee weg". Dan is het daarna op de blaren zitten.
Dat las ik ja, slecht vergelijk zoals ik al zei. Als jij het op een standalone PC wil draaien, of één die vanaf het internet niet te benaderen is, is dat prima. 't is alleen wel zo - en dat lijk je niet te willen zien - dat bij een PC die aan het internet hangt JIJ een verantwoording hebt. Kan je die aan? Prima, dan heb je gratis gebruik van het pakket. Kan je het niet aan? Ook prima, dan koop je support. De essentie is dat JIJ als gebruiker een verantwoordelijkheid hebt. En die moet je niet afschuiven naar een leverancier, dat is - zonder lullig te willen doen - onvolwassen gedrag.

[Reactie gewijzigd door Houtenklaas op 14 januari 2017 17:26]

Heeft iemand je wel eens verteld dat je een vervelende manier van communiceren hebt?

De meeste hacks gebeuren nog steeds doordat de aanvaller via een andere kwetsbaarheid tot je interne netwerk toegang krijgt. Dan maakt het weinig meer uit of je dat ding aan internet hangt of niet. :)
Nee, eerlijk gezegd niet. Wel dat ik altijd duidelijk ben in wat ik bedoel. Maar goed, je snapt het punt blijkbaar niet en dat gaat ook niet meer lukken ben ik bang. Gezondheid verder! 8)7
Het aantal gegijzelde databases was begin deze week ongeveer 27.000 en is in de loop van de week opgelopen tot ongeveer 34.000. Daarmee is de in eerste instantie snelle groei van het aantal gegijzelde databases afgenomen.
7000 databases in één week? Snelle groei afgenomen?
Is het nou zo makkelijk om zo'n database te ownen? ik snap dat het niet met de hand gebeurt, maar 7k dat is ongelooflijk.
Mogen we dat als gepruts beschouwen of is het genuanceerder?
Ik ben wel benieuwd hoe dit voorkomen had kunnen worden. Hoe geraffineerd zijn deze aanvallen? Is het een beginnersfout.. of wist iedereen dat het gemakkelijk te gijzelen was?
Ik ben wel benieuwd hoe dit voorkomen had kunnen worden. Hoe geraffineerd zijn deze aanvallen? Is het een beginnersfout.. of wist iedereen dat het gemakkelijk te gijzelen was?
Ik weet niet de details van deze hacks, maar het is niet ondenkbaar dat het inderdaad beginnersfouten zijn. Nog te vaak ontbreekt een firewall of is het nog niet geconfigureerd en luistert een database op een publiek IP of wildcard (0.0.0.0 of `::`) ipv 127.0.0.1 of een socket. Daarnaast weet ik van MongoDB dat het standaard authentication uit heeft staan. Dan kan je admin taken verrichten zonder login.

Stomme fouten in een productie omgeving, maar het gebeurd helaas nog steeds. Net als dat velen nog steeds geen offsite backups doen.
Whats next? InfluxDB? Heeft standaard ook geen authenticatie aan staan.
Inderdaad, zo ook Redis, RabbitMQ Zookeeper en meer van dit soort dingen. Ook vaak geen SSL support
Wie vult er aan?

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*