Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers vragen losgeld voor gijzelen 12.000 openbare MongoDB-databases

Hackers hebben in de afgelopen drie weken ruim 12.000 MongoDB-databases verwijderd van internet. De eigenaren ervan worden afgeperst om geld te betalen om de databases terug te krijgen.

Dat zegt beveiligingsonderzoeker Sanyam Jain tegen Bleeping Computer. De onderzoeker gebruikte zoekmachines zoals BinaryEdge om te zien hoeveel databases er verwijderd waren. In totaal zou het om 12.564 databases gaan.

Het gaat specifiek om MongoDB-databases die publiek toegankelijk zijn en waar geen beveiliging op zit. MongoDB ligt al sinds 2015 onder vuur omdat het bij nieuwe installaties niet verplicht was om autorisatie in te stellen. Daardoor bleek veel informatie openbaar op internet te staan. Sindsdien worden er regelmatig grote campagnes uitgevoerd waarbij hackersgroep Unistellar zulke databases zoekt en verwijdert. Vervolgens sturen zij een e-mail waarin zij losgeld eisen voor het terugzetten van de database.

In dit nieuwe geval laten de hackers alleen een bericht achter met daarin een e-mailadres. Dat is een @yandex.com-adres, wat erop lijkt te wijzen dat de bende uit Rusland komt. Het is niet bekend hoeveel losgeld de criminelen in dit geval eisen. Omdat de criminelen ook geen cryptovaluta-adres achterlaten is niet te achterhalen hoeveel zij ermee verdienen.

Door Tijs Hofmans

Redacteur

17-05-2019 • 18:12

143 Linkedin Google+

Reacties (143)

Wijzig sortering
Hackers zijn slimme gasten. Zo'n overduidelijk Yandex-email-adres lijkt mij eerder een indicatie dat de hacker(s) NIET uit Rusland komen.
Zou je inderdaad twijfels bij kunnen hebben.
"Cover your tracks" is toch wel een belangrijk principe als je dit langer dan 1 script wilt volhouden. :P
Als je volgbare "tracks" achterlaat die naar ID kunnen leiden en gecovered moeten worden is je OPSEC niet in orde. Met goede OPSEC is je ID niet te achterhalen hoe lek 't apparaat waarmee je aanvalt ook is en hoeveel sporen 't ook achterlaat.

OPSEC is altijd stap 1 en veelal niet technisch.
Hackers zijn slimme gasten. Zo'n overduidelijk Yandex-email-adres lijkt mij eerder een indicatie dat de hacker(s) NIET uit Rusland komen.
Precies dit dus. Omdat het tegenwoordig een gewoonte is geworden om Rusland van alle hackaanvallen te beschuldigen maken slimme hackers hier misbruik van door zichzelf voor te doen als Russen waarna de media 't toch wel weer aan Rusland zou knopen. Dit helpt hun in het verbergen van hun identiteit.
Nee juist tegenwoordig weer westerse sporen, zodat men denkt dat het de Russen zijn die zich voordoen als westerlingen. Hoe diep zullen we gaan? 8)7
In het artikel van Bleeping Computer staat dat er zowel een yandex als een hotmail adres gebruikt worden.

Ik betwijfel of het relevant is om een van de twee wel of niet te noemen of er zelfs een conclusie uit te kunnen trekken waar de hackers vandaan zouden komen. Het zijn gratis diensten die het in meerdere talen aanbieden en iedereen kan aanvragen.
Sterker nog: het is een indicatie dat ze WEL OF NIET uit Rusland komen. Of anders geformuleerd: het zegt simpelweg weinig.
Was voor een ander onderzoek ook met open mongodb poorten bezig. Grote sites waarbij creditkaart gevens zo te downloaden zijn...
Ik heb de eigennaren verwittigd. Alleen sommige namen me niet eens sireus. Sites zoals shodan maken dit soort zoek acties zo veel simpeler.
I know that you know that I know that you know that I know that you know that I know that you know that I know that you know that I know that you know that I know that you know that I know that you know that I know that you know that it's a trap.
Precies, zijn vaak zulke slimme gasten dat je denkt waarom niet gewoon betaald werk doen? Blijkt dat bedrijven toch zich laten leiden door diploma's en achtergrond en niet perse op echte kunde.
In wat voor use case zou je zo'n DB uberhaupt aan internet hangen?
Ik snap dat mongo al even onder vuur ligt voor slechte defaults maar zelfs een beveiligde DB wil je niet zomaar aan internet hebben?
Ik neem aan dat het vooral prototypes en hello world achtige apps zijn die tot stand zijn gekomen door tutorials die mensen volgen op hun thuiscomputer. Dat deze mensen nou poorten open laten.. tsja.. Let wel, ik verdedig mongodb hier niet - naar mijn weten vraagt vrijwel elke andere databasesoftware om autheticatie in te stellen tijden setup. Het zou mij verbazen als er veel mkb's of anders tussen zit zonder authenticatie.
Dat en een gevalletje omhoog gevallen management die 't wel beter weet dan de ingehuurde pro's.

Je weet wel, dat PoC'je (Proof of Concept), neergezet met wat test meuk erin ter demonstratie.

"Goh, wat leuk. Laat maar staan, kunnen we het direct gebruiken"
"Ja maar, dat kan niet"
"Tuurlijk wel, is er toch al?"
"Nee, werkt niet [..]"
"Net zien werken! Werkt prima! Laat 't zo!"
Dit is ook een beetje een inrichting probleem en een "ik volg een tutorial wat toch uit breid naar meer". Het heeft een hogere drempel om MongoDB achter een docker container te hangen die dan zelf niet via internet te benaderen is. Je site moet dan ineens via een reverse proxy werken, dat vergt gewoon (veel) meer kennis.

Als je aan het experimenteren ben kan je het simpelweg vergeten dat je database zo voor de wereld te bereiken is, zeker als je net begint. Zelf heb ik dat een paar jaar geleden ook gehad en was idd ook gehacked (ik had gelukkig een recente backup). Voor mij was dat een moment om me dan toch is te verdiepen in Docker en reverse proxy opstellingen om deze fout niet meer te maken. Sindsdien heb ik zelf een motivering van een webserver mag alleen poort 80 en 443 open hebben. De rest moet allemaal alleen intern te benaderen zijn. Dit wordt uiteraard wat breder als je SSH en FTP toevoegt, maar databases horen gewoon niet naar binnen/buiten toegankelijk te zijn.
Meestal komt dit door een verkeerde interpretatie van het DevOps model, waardoor developers belast worden met system admin taken, zonder dat ze daar de nodige kennis van hebben...

Als je geen mensen in dienst hebt die system operations doen, krijg je dit soort toestanden.

"Wij hebben geen operation engineers nodig, want we draaien alles in de cloud", altijd lachen als ik zoiets hoor... :-)
Of developers die denken dat sysadministratie niets voorsteld, en dat dan zelf wel even fixen. Ook al vaak meegemaakt. Inderdaad leuk voor je eigen laptop / systeem, tot het serieus wordt.
Bij alle bedrijven waar ik sollicitaties doe, scan ik hun hele netwerk af.
Je komt dan tot best wel gevaarlijke informatie, waar je tijdens een sollicitatie gesprek de personen toch wel met een "Oh.....?!" als antwoord krijgt.
Soms zo bizar dat veel mensen zich IT'ers durven te noemen met zulke acties...
Fantasie slaat weer toe op tweakers….
Ik merk het, ben jij een van die mensen die liever niet horen als je deur open staat ?
Op zich niet zo heel raar, dat je jezelf tevoren inlicht over wat je mogelijke toekomstige werkgever doet op jouw vakgebied. Je wilt tenslotte een leuke nieuwe baan. Maar om daar nu dingen voor te doen die niet mogen, gaat wel wat ver.

Stel ik wil solliciteren als politieagent. Dan ga ik toch ook niet eerst foutparkeren voor het politiebureau om effe te checken of ze wel opletten daar?

Of als veiligheidsbeambte in een winkelketen. Dan ga ik toch ook niet eerst iets in mijn tas stoppen en doen alsof ik de winkel uitga zonder te betalen (maar ik leg het natuurlijk wel weer terug he, want heus ik meen het wel goed), om te kijken of ze een beetje goed zijn?

Daar is nou het sollicitatiegesprek voor: dat je vraagt hoe ver ze zijn in hun security, waar ze tegen aan lopen. En dan kan jij jouw vaardigheden etaleren. En krijg je een idee waar je ze kan helpen en of je dat wil.
Mja, het is niet zo dat ik dit puur doe om betweterig te zijn.
Ik werk graag bij een bedrijf die competent zijn, en de systeem/server beheerder die er ook werkt, al weet wat hij doet (firewallen, etc..).
Veel server beheerders moet ik nog wel eens helpen om bijvoorbeeld hun max connection limit omhoog te gooien, aangezien Linux standaard 1024 sockets toe laat, dat soort zaken hoort naar mijn mening iedere server beheerder wel te weten, laat staan de sysctl.conf standaard getweaked te hebben.

Je hoeft er geen security specialist te zijn, maar dit soort configuraties horen naar mijn mening alle server en systeem beheerders wel te moeten kennen, maar praktijk laat vaak anders blijken.

En ja, dat is eigenlijk ook het doel. De bedoeling is niet om een bedrijf onderuit te halen. Als ze namelijk die beveiliging al volledig op orde hebben, weet ik tenminste dat ik bij een competent bedrijf werk. Helaas een boel mensen op tweakers kijken met een andere blik wat ik zeg en bedoel, maar iedereen heeft een mening erover, en dat is prima. Helaas is de moderatie gebruikt om mij monddood te maken, zoals je misschien wel gemerkt hebt. Jammer, maar uw opmerking was precies wat het doel was ;)
jij gaat solliciteren en gaat dan effen het netwerkverkeer sniffen ... 8)7

Daarenboven, kun hiervoor een celstraf oplopen van 3maand tot 1jaar.

[Reactie gewijzigd door klakkie.57th op 17 mei 2019 19:20]

Maar wanneer is het strafbaar hacken en wanneer is het gewoon nalatigheid van een bedrijf?
Het is altijd strafbaar !!

In het geval van externe hacking volstaat het dat de overtreder zich volledig bewust is van de daad die hij stelt en de voltrekking ervan wil, of althans aanvaardt. Anders gezegd: externe hacking veronderstelt geenszins dat de ongeoorloofde toegang tot het systeem of het er zich handhaven gepaard gaat met bedrieglijk opzet of met het oogmerk te schaden. Indien het misdrijf wordt gepleegd met een dergelijk opzet of doel, dan wordt de straf enkel verzwaard. Er is sprake van het zich handhaven in het informaticasysteem zodra de indringer er zich gedurende een bepaalde tijd in verplaatst, ook al is het systeem niet beveiligd (met een wachtwoord of firewall) of al omzeilt de indringer geen enkele beveiligingsmaatregel.

Bron: http://forensicron.be/hacking/

[Reactie gewijzigd door klakkie.57th op 17 mei 2019 20:19]

Het is inderdaad altijd strafbaar. Al laat jij de achterdeur van je huis openstaan, is het alsnog strafbaar om daar zomaar naar binnen te gaan als vreemde, ookal is het nalatigheid van jou.
Je kan een portscan beter vergelijken met rondkijken. Power2All ziet ramen en deuren openstaan en attendeert de bedrijven daarop.
Als het alleen een portscan betreft en verder geen binnentreden, dan is het niet strafbaar. Net zoals het proberen of een deur al dan niet op slot zit zonder de intentie binnen te gaan ook niet strafbaar is.

Maar Power2all scant het hele netwerk. Hij gaat dus wel binnen. En dat is wel strafbaar.
Mag je de politie gaan proberen uit te leggen waarom je deuren test als je toch niet naar binnen wil/op zoek bent naar eentje die open gaat..."cause reasons" en "er for science" gaan 't hem niet doen denk ik zo... Als je niks bij die deur te zoeken hebt hoef je hem ook niet te testen. Het is net zeer aannemelijk als je deuren loopt te testen dat je op zoek bent naar eentje die niet is afgesloten en dus aannemelijk dat je de intentie hebt om binnen te gaan. Wachten tot een buurtbewoner het verdachte gedrag meldt.

Daarbij is in 't geval van de fysieke voordeur de deur niet jouw eigendom dus ja het is onwettig om er aan te rommelen zonder toestemming van de eigenaar.

Slechte vergelijking.
Politie zal je staande houden, maar ervoor veroordeeld word je nooit. Het is namelijk pas strafbaar op het moment dat je de woning daadwerkelijk betreedt.
Pas wanneer je daadwerkelijk gegevens gaat jatten, zit je naar mijn mening fout.
"Maar edelachtbare, naar mijn mening mag het wel hoor, ook al zegt de wet van niet."

;( :O
Pas wanneer je daadwerkelijk gegevens gaat jatten, zit je naar mijn mening fout.
(...) Dan nog, kun je de persoon in kwestie of bedrijf in kwestie, zo spoedig mogelijk benaderen, want als ik al door zonder gegevens in een MySQL server te kunnen bevinden, is het goed fout voor de persoon die dit host, en is die persoon naar mijn mening meer strafbaarder dan de persoon die zich erin kan werken.
- en -
Mensen hier moeten even iets verder kijken dan enkel hun neus, of aangezien de voorbeelden, dan hun huis.
Of je kan het ook anders bekijken: eventueel moet jij eerst eens kijken naar wat de wetgeving zegt, en niet zozeer wat jij als mening hebt (het ging hier over wat "strafbaar" is... en jij kan daarover jouw eigen mening hebben, maar jij bepaalt dat niet, de wetgeving - en als toepasser daarvan, een rechter - wel).
Daar is ook nog eens de wetgeving die je tegen vervolging kan beveiligen.
Benieuwd welke wetgeving jij kan inroepen als je zonder toestemming inbreekt in een netwerk... dat is immers strafbaar (of een bedrijf effectief klacht moet indienen of net blij zijn met de gratis "consultancy" is een andere discussie).
Heb ik al gepost omtrent port scanning.
Zoek maar even op, tenzij die 2 belgen die hier ook lopen minnen dit voor je verborgen houdt.
Er is ook nog zoiets als klokkenluider wetgeving enzo, en er is geen wetgeving die een port scanning strafbaar maakt, dus....
Port scanning mag dan niet strafbaar zijn, kijk maar eens na waar connecteren naar een DB server onder valt (je gaf zelf immers aan dat je ook probeert te connecteren naar de MySQL).
Wat de wetgeving voor klokkenluiders betreft: Denk je dat je daar onder valt?
Los van het al dan niet een misdrijf zijn wat je doet: ik kan je alleszins vertellen dat het kunnen uitvoeren van een port scan op zich mijn voorbije werkgevers niet zou overtuigen van iemands capaciteiten (ok, je kan typen en klikken op een website)... Het geeft aan dat je eraan denkt om dat te controleren (ok, goed), maar of dat opweegt tegen de andere argumenten die al aangehaald zijn...
Nu goed, ik twijfel eraan of deze discussie veel zin heeft. Je lijkt rotsvast overtuigd van je eigen gelijk, hopelijk moet je nooit keihard het tegendeel ondervinden.
.... ik heb niet gezegd dat ik intern netwerk ook scan...
Je zei: "... hun hele netwerk"
Het is wellicht de reden waarom hij zoveel sollicitatiegesprekken heeft. "Daar heb je weer zo'n wijsneus die even ons komt vertellen hoe we het moeten aanpakken." hoor je ze denken. Tegelijkertijd... Ik ben geen haar beter hoor ;-)
Als je solliciteert om hun netwerk te helpen beveiligen is het wel een goede move ;-)
Nope, integendeel. Het komt enorm arrogant over. Op zo'n moment geef je een indruk van "Jullie kennen er niets van, en ik ken het allemaal beter."

Veel geluk om met zo'n houding een job te vinden.

Ik ken een goede web developer die elke sollicitatie-brief begon met aan te halen wat er allemaal mis was met hun huidige website. Ondanks het feit dat hij in principe gelijk had, werden zijn sollicitaties amper beantwoord en had hij niet door waarom.

Zulke IT'ers moeten gewoon leren om hun soft skills te ontwikkelen...
Je hebt helemaal gelijk, sommige (best een flink deel als je het mij vraagt) leeft in een wereld van harde techniek en harde feiten en denkt dat als ze daar maar heel goed in zijn en dit dumpen bij wie het maar moet horen dat ze goed bezig zijn.

Ze vergeten ”soms” dat ze met mensen werken met menselijk belangen, historische zaken, etc.
Een goede techneut die je met klanten in contact kan brengen is iemand die het techcnische verhaal goed beheerst maar het daarna ook goed aan verschillende soorten mensen weet over te brengen en rekening houd met wat voor dat andere persoon belangrijk is.

De combinatie tussen hard en soft skills is de unicorn die veel bedrijven zoeken, dat zijn de mensen die je met vertrouwen bij een klant over de vloer kan laten komen zonder dat er altijd een sales of project manager bij hoeft te zijn om “de boel in de gaten te houden”.

Het begint volgens mij bij inlevingsvermogen.

[Reactie gewijzigd door R3m3d7 op 18 mei 2019 10:25]

Ik merk gewoon tekorten bij heel wat soft skills.

Oftewel te rechtuit oftewel te asociaal. Velen hebben ook de droom van een startup in hun hoofd.

Anderen zijn de zogenaamde expert beginners: weten wel iets, maar denken dat ze alles weten. Hun analyse van wat er misloopt is dan ook altijd iets anders en ze willen alles refactoren, omdat ze het beter weten.

Als je hen laat doen, ben je vertrokken voor 2 jaar

[Reactie gewijzigd door NicoJuicy op 18 mei 2019 10:09]

Waarom zou dat moeten?

Ik kan me in ieder geval goed voorstellen dat er mensen zijn met goede vaardigheden die ze mogelijk wat onhandig aanprijzen.

Sociaal handig zijn is gewoon niet een eigenschap die voor iedereen is.

Is het niet redelijker om te verwachten dat mensen van wie er redelijker een sociaal handige skillset verwacht wordt en van wie je zou verwachten dat ze goed zijn in mensen selecteren, namelijk HR/P&O etc. mensen, dat die hier doorheen zouden kunnen prikken?

[Reactie gewijzigd door Siaon op 18 mei 2019 23:05]

> Als je solliciteert om hun netwerk te helpen beveiligen is het wel een goede move ;-)

Werkt echt niet ... Het gevolg is dat er veel kans is dat de job voorbij je neus vliegt. Zeker als de persoon dat de server of wat dan ook opgezet heeft, in de interview zit samen met de baas. Wat je doet is letterlijk een toekomstige senior/collega IT'er gezicht doen verliezen voor de baas.

Het gevolg is dat dit als arrogant overkomt. En als de baas erachter vraagt, zal de IT'er snel zijn gat afdekken met iets van "die spreekt uit zijn gat", vlug, vlug de beveiligingsissue sluiten en niet aanraden voor je aan te nemen want je bent geen team player.

En als je denkt "dat is toch klein van die IT'er". Tot je zelf in dezelfde situatie zit en dan komt zo een gedrag ook over als "een niet teamplayer".

Daartegen, had je dit gemeld na het interview ( of 1-1 met de IT'ers zonder de baas ), dan had je wel brownie points gewonnen. Omdat je een teamplayer bent, en niet je toekomstige collega's voor schuit zet!

En mensen dat zo dom zijn dat in hun CV's te zetten, die komen vaak niet eens tot een eerste interview. Niemand heeft het graag dat fouten open en bloot voor management of bazen aangekondigd worden. Zelf al solliciteer je voor netwerk beveiliging.

People skills is ook een vaardigheid voor interviews. En weten wanneer je iets zegt en niet zegt, hoort bij je interview.
Of ze zien potentie dat je weet waar je over lult, en ook wat oplossingen geeft om het zo spoedig mogelijk dicht te timmeren, het is maar hoe je het bekijkt.
Als je je als een totale idioot opstelt en over laat komen dat je alles weet, heb je zeer zeker een punt, en als ik een persoon moet aannemen (ik heb ook sollicitaties moeten afnemen, dus, hehe), en de persoon geeft mij informatie op een manier dat hij niet overkomt als betweterig, dan heb ik ook zeer zeker interesse in, vooral om technieken toe te passen waar je als systeem/server beheerder misschien niet over had nagedacht, of iets nieuws ervan opsteekt.

Jullie denken simple minded op dit moment, en dat is prima, niks mis mee, maar niet iedereen kijkt alleen in 1 rechte lijn ;)
Zou je denken... Maar in de regel wordt er vaak heel slecht op gereageerd. Al was het alleen maar omdat degene die in het comite zit om jou aan te nemen, vaak ook je directe collega of leidinggevende is. En dat zal waarschijnlijk dan een IT-manager die zich op z'n *** getrapt voelt.
Dan weet je ook gelijk dat je daar niet wilt werken!
Je maakt het met elke reactie erger, ik weet niet wat ik lees. Vermaak. Succes met solliciteren!
Kwam hier om dit te zeggen :P .
Scannen van een netwerk intern of extern mag niet. Tenzij jij daarvoor opdracht krijgt.

Naast het scannen wil nog niet verklaren dat jij een goede iT man ben als je iets hebt gevonden. Elke script kiddie is daar toe in staat. Wat je vind en raporteer tijdens je sollicitatie getuigd op dat moment al van ondergeschiktheid en niet integer.
Extern netwerk mag je scannen, zolang je geen schade of problemen ondervind als beheerder of bedrijf zijnde.
Aangezien je met portscans sowieso al access en error logs vervuilt, hinder je dus daadwerkelijk beheerders en bedrijven.

Hoe moeten ze uit de logging opmaken of ze te maken hebben met een daadwerkelijke aanval of met een sollicitant die de resultaten van de portscans en probers wil gebruiken om de sollicitatie-afnemers te overtuigen?

Door te scannen en proben kost je al geld voor het bedrijf waarvoor je wilt solliciteren. Nog zelfs vóórdat je sollicitatie begint.

De intentie is goed, maar je kan beter voor jezelf beginnen als whitehatter die uurtje-factuurtje op verzoek van bedrijven hun netwerk scant.

[Reactie gewijzigd door RoestVrijStaal op 18 mei 2019 15:57]

Aangezien je met portscans sowieso al access en error logs vervuilt, hinder je dus daadwerkelijk beheerders en bedrijven.
... sorry maar dit neem ik echt niet serieus.
Als ze juist door middel van de logs, de probe/scan zien en je op basis hiervan je IP blokken, vind ik dat juist eigenlijk best wel top. Je maakt van een muis een olifant verhaal...
Door te scannen en proben kost je al geld voor het bedrijf waarvoor je wilt solliciteren. Nog zelfs vóórdat je sollicitatie begint.
Het muis wordt een olifant verhaal... Ga jij eens kijken bij een hosting bedrijf, een port scan of probe is dagelijkse kost, en daar halen iederen, waaronder ik, ook zijn shouders voor op. Fail2ban werkt daar prima tegen...
De intentie is goed, maar je kan beter voor jezelf beginnen als whitehatter die uurtje-factuurtje op verzoek van bedrijven hun netwerk scant.
Als jij port scannen en proben al onder hacken verstaat, even een facepalm doen...
Nee echt, je bent heel leuk in het erger maken van een nonsense probleem.
Maar goed, ik merk al wat voor houding IT'ers tegen over elkaar hebben als het gaat om bedrijven die sowieso al de fout in gaan als hun security al niet op orde is. Er is namelijk ook zoiets dat ze een boete kunnen krijgen als hun beveiliging niet op orde is...
De rechter oordeelde niet zo lang geleden dat op een database waarop was ingebroken een te makkelijk te achterhalen wachtwoord zat, deze toch was beveiligd in de ogen van de wet.

De persoon die het bedrijf daarop wees, moest het bedrijf een schadevergoeding betalen, kreeg een heftige boete, en kan werken in de medische IT voortaan wel vergeten, omdat zijn naam op een lijst staat, welke door nieuwe, potentiele werkgevers word getoetst.

Maar word vooral blij met je denkwijze: 'ongevraagd wijzen op fouten, dan word ik serieus genomen'. Anderen hebben (tevergeefs) al aangegeven dat je serieus "genomen" gaat worden, er zijn voorbeelden van mensen die dit ook werkelijk door schade en schande hebben moeten ondervinden.

En toch op de zeepdoos blijven springen en je woord blijven verkondigen. Krijg daar zelf een beetje het 'Holier than thou'-gevoel bij, neigend naar zealotry. Is voor iedereen tijdsverspilling, zelfs voor de zealot.

Typisch geval van theorie en praktijk. In theorie heb je gelijk, maar in de praktijk speelt er veel meer dan alleen het 'gelijk hebben'. Wat ook al is aangegeven door velen.
De database, was er data gestolen ?
Dus in dit geval, was er bewijs dat de persoon ook daadwerkelijk data had gepakt van de database ?
Zo nee, dan is die oordeel wellicht door een hoger beroep te verwerpen.
Een database dat een te makkelijk wachtwoord heeft, zou ook aangepakt moeten kunnen worden door een rechter, maar heb je ook een source URL ergens waar dat staat ?
Ben benieuwd wat de punten specifiek zijn, want ik vermoed dat er wel meer achter zit dan enkel simpel weg connecten naar een database.
Gevaarlijke informatie zoals? Signature van een webserver?
Bij welke provider mag jij dan wel niet zitten?

Naar mijn weet zijn er niet zoveel providers die dit oogluikend toestaan. Laat staan dat ze het überhaupt toestaan totdat er een abuse berichtje bij hen binnen komt.
Ohsorry, ik had je tenen niet gezien.

Als je regelmatig portscans en andere soort probe tools draait, ontkom je er niet aan om op een blacklist te staan. Daar staat geeneen ISP op te wachten.
De enige juiste manier om hierop te antwoorden is: beste hacker, ik heb de database teruggezet uit de backup, je mag hem nog eens verwijderen als je wilt, dan zet ik hem daarna weer terug.
Vraag me af of beheerders die niet aan basic authorisatie doen wel goede backups hebben...
Inderdaad, als ze al geen fatsoenlijke DB met authorisatie opzetten dan zullen backups vast ook een luxe zijn. Of je krijgt een antwoord van: Jawel, we syncen alles naar Dropbox 8)7
Sowieso zou elk DB standaard alleen localhost moeten gebruiken, wil je extern toegang dan maar apart instellen.
Als ik dit soort berichten lees moet ik altijd direct aan de mensen denken die Windows Firewall uitschakelen omdat het teveel gedoe is ;(
Idd, backups terugzetten en dan wel mss ineens authenticatie activeren en klaar. Ik zie geen issues eigenlijk tenzij je jezelf in de voet schiet met het niet nemen van backups.
En de data die gestolen wordt ga je toch wel mogen uitleggen. Zo eenvoudig kom je er niet vanaf
Het punt is natuurlijk niet dat je ineens een lege database aantreft... Daar heb je backups voor, waarmee je het merendeel van de data kunt restoren. Het punt is dat de data in de database vaak zo waardevol is.
Ik denk dat het vooral veel testdatabases zijn om te kijken hoe MongoDB werkt, zo heb ik er vorige week ook nog een aangemaakt. Ik vermoed dat er maar weinig mensen zijn die geïnteresseerd zijn de data te herstellen omdat het geen productie data is. En als het dan toch is dan hoop ik dat ze er wat van geleerd hebben
Tja, Als 1% van die 12k databases je 10k wil betalen om hun data terug te krijgen is het toch best lucratief...
Maak jij continue online backups? Dat zie maar heel weinig. In de praktijk ben je dus changes / productie kwijt wat, zeker in het bedrijfsleven, gewoon geld kost.
Ik hoop niet dat je in de ICT werkt, help me er anders aan herinneren dat ik je niet aanneem :P

Wat er fout gaat, is dat je met een zeer grote stelligheid "de enige juiste manier" een oplossing verkondigt die alleen maar "slightly less crappy" is dan niets doen.

Een juistere manier (let op de formulering! Ik houd de mogelijkheid altijd open dat er betere manieren zijn), zou zijn om de hacker te bedanken voor zijn waarschuwing, en dat je het lek gaat fixen en de data uit de backup terugzetten. En vanzelfsprekend: dat ook doet, maar daar ging ik bij jouw oplossing ook van uit.

En inderdaad, als het om bijvoorbeeld persoonsgegevens gaat of andere gevoelige data, is dat nog maar het begin. Maar als reactie aan de hacker is het niet onredelijk.

[Reactie gewijzigd door mae-t.net op 17 mei 2019 23:12]

Ik ben je vriend niet voor zover ik weet, en onderscheid tussen sarcasme en een vinkje bij "ongeschikt" is zonder toepasselijke smiley helaas niet altijd te maken. Mensen zijn soms echt zo dom. Als je daar niet voor aangezien wilt worden, is het handiger om een andere stijfliguur te gebruiken of je stijlfiguur beter uit te werken (zoals met emoticons).

[Reactie gewijzigd door mae-t.net op 18 mei 2019 18:33]

Je gaat ervan uit dat ik nu slechter ga slapen door die -1 bij mijn post. Misschien moet je maar eens stoppen met aannames doen, niet-vriend. Gelukkig dat je me niet aanneemt. Je lijkt me een hele goeie manager.

Ohja, dit was cynisme, ik zeg het er maar even bij, want je mentale capaciteit om dit te snappen is erg beperkt.

[Reactie gewijzigd door Ajunne op 21 mei 2019 09:14]

Hoe zeer ik hier tegen ben kan dit er wel voor zorgen dat deze databases niet meer voor iedereen te lezen zijn.
Als ze er geen geld voor weten te vangen vermoed ik dat ze de databases het internet op slingeren. Sterker nog, er is geen enkele garantie dat dat niet sowieso gaat gebeuren.
Mongodb luistert toch al een flink tijdje standaard op 127.0.0.1? Ik vermoed dat er een hoop test databases tussen zullen zitten die min of meer vergeten zijn.

[Reactie gewijzigd door floorcula op 17 mei 2019 18:48]

Yep, sinds versie 3.5.7 om precies te zijn, die ruim 2 jaar geleden is vrijgegeven (bron: https://jira.mongodb.org/browse/SERVER-28229). Maar, repositories van veel populaire distributies, waaronder Debian, zijn simpelweg nog niet aangekomen bij die versie. :) Dus een installatie van je package manager zadelt je op met een oude versie die gewoon nog op 0.0.0.0 bind.

Edit:
Daarnaast, als je het via Docker uitrolt zie je vaak dat (onervaren) mensen "-p 27017:27017" toevoegen aan hun "docker run" commando, wat er helaas ook voor zorgt dat je poort gewoon openstaat. Vaak is dat een directe copy/paste actie vanuit een tutorial van iemand die het ook niet helemaal snapt. Praktijk leert dat security en integratie / netwerk activiteiten een specialisme op zich zijn, wat een developer vaak niet even zomaar meepakt. Hoe leuk DevOps ook klinkt...

[Reactie gewijzigd door Solaire op 17 mei 2019 19:09]

Dan zou er ook geen probleem moeten zijn, immers bevat een testdatabase alleen geanonimiseerde c.q. fakegegevens ipv klanten- of bedrijfsdata. Toch? :+ O-)

[Reactie gewijzigd door Aganim op 17 mei 2019 18:59]

Kan iemand me dit uitleggen: als een database openbaar is en informatie heeft die voor publiek beschikbaar is, zijn er toch wel backups?

Of gaat het echt om prive DBs met knullige security?
Als data publiek beschikbaar is wil dat niet zeggen dat het bedoeld is dat de data openbaar moet zijn. Maar stel dat je een database hebt waarbij de data bewust openbaar is, dan lijkt het me juist niet de bedoeling dat iedereen die de data kan inzien ook alles zonder overleg dus maar kan verwijderen. Dat maakt de data immers niet meer openbaar.

Wat er precies in die databases stond staat niet in het artikel. Maar of het dan maar openbare databases of zelfs testdatabases zouden zijn waarin iedereen zou mogen spelen zou ik niet te makkelijk vanuit gaan. MongoDB komt standaard weinig beveiliging en zijn er genoeg meldingen van dat soort databases die zonder credentials voor iedereen in te zien en te beheren waren. En de data die erin stond heeft er dan niet veel van weg dat het bedoeld was dat iedereen er bij kon. MongoDB database exposing 275,265,298 records of Indian citizens, A family tracking app was leaking real-time location data, MongoDB database exposes personal data of 66M users, Millions of records exposed by insecure database, Veeam MongoDB left unsecured, 445 million records exposed,385K users, all open and publicly available. Outdated Mongo v.2.4.14, no pass
Ah makes sense. Thanks :)
Dat is een @yandex.com-adres, wat erop lijkt te wijzen dat de bende uit Rusland komt.
Het is natuurlijk ondenkbaar dat mensen op het wereldwijd verbonden netwerk ervoor kunnen kiezen om in een willekeurig land een emailadres te maken terwijl ze eigenlijk niets met dat land te maken hebben.

Heeft Tweakers.net wellicht bewijzen dat de groep daadwerkelijk uit het wijsvingerland komt?
Basis security checks: "Hey is mijn database onbeveiligd" denken we niet meer bij na tegenwoordig?
Mongodb wordt in veel tutorials geprezen om de simpliciteit, o.a. daarbij juist geen 'gedoe' met initiële database setup, maar direct aan de slag te kunnen. Indien je het hier verder bij laat, dan tsja, is dit het gevolg.

Ik kan mij nagenoeg niet voorstellen dat de hierbij getroffen databases veel meer is dan amateurwerk, in zowel letterlijke als figuurlijke zin.
Het zou natuurlijk helpen als MongoDB standaard alleen via localhost is te benaderen en dat MongoDB dan in dev mode staat.

Wil je de machine bereikbaar maken van het netwerk, dan moet je hem in production mode plaatsen en dan zou ook authenticatie daarbij verplicht moeten zijn..

Het switchen van relationele databases naar document databases kost wat tijd omdat veel developers onbewust nog steeds vaak model ontwerp baseren op de routine welke is opgedaan met relationele databases. Echter de mogelijkheden van een document database zijn vele malen groter.

Percona levert standaard een script mee om authenticatie in te schakelen voor MongoDB: /usr/bin/percona-server-mongodb-enable-auth.sh
Die wordt bij ons standaard vanuit het provision script aangeroepen.
Met MariaDB kun je ook direct aan de slag en die staat default niet open.
Met MariaDB dien je een account aan te maken, moet bij database verbinding hier ook weer rekening mee houden. Om dit goed te doen moet je er tevens voor zorgen dat je je login gegevens niet hardcode in je broncode, maar bijv. via environment variables aanlevert. Daarnaast kun je bij MariaDB niet direct data erin zetten en uitlezeb. Je moet eerst een tabel definiëren.

Vermoedelijk zijn we het er beide over eens dat dit zeer zeker geen reden is om MariaDB links te laten liggen, maar is om veel entry-level tutorials zo entry-level mogelijk te houden de reden dat MongoDB zo vaak wordt aangehaald.

In de praktijk is bovendien de keus voor MongoDB buiten deze onnodige simplificatie onzinnig, gezien er vaak een redelijk relationele opzet wordt gedaan.
Met een default configuratie staat helemaal niks open om dat je op z'n minst achter een NAT en een Firewall zit. Je moet het dus eigenlijk al expres verkeerd doen voor dat zo'n ding rechtstreeks aan het internet hangt.
Tegenwoordig met cloud en vps machines hangen veel machines direct aan het internet. Bijvoorbeeld bij TransIP krijgt elke machine standaard een extern IP. MongoDB luistert standaard naar alle IP's (0.0.0.0).

Helaas komt Linux (of Windows) standaard niet met een geconfigureerde firewall.

Vroeger toen we nog met fysieken bakken werkte waren DMZ netwerken redelijk standaard. Database servers waren alleen via het interne IP bereikbaar. Wij hadden een soort van 'gateway' server voor de admins. Als admin kon je daarop inloggen op SSH en vanaf die machine kon je verbinding maken met de productie servers. De linuxgw en rdpgw servers waren alleen over een IPSEC verbinding bereikbaar.

Veel designers hebben weinig kaas gegeten van beveiliging. Die pakken dan een open source pakket zoals wordpress of magento als basis en beginnen dan met het bouwen van de website. Als de klant tevreden is, maken ze een VPS machine aan en wordt vaak de boel daar neergezet en in productie genomen..

Persoonlijk ben ik bang dat dit geldt voor zo'n 50% van alle websites welke nieuw worden gelanceerd en minder dan 5 man personeel hebben..
Idd cloud en vps gaat lekker snel en dan heb je deze shit.
Het ding is dat je zelfs op een publieke cloud, perfect een gelijkaardige secure setup kan hebben. Op AWS/GCP/Azure kan je zonder problemen private subnets aanmaken, firewalls/security groups aanmaken voor netwerk trafiek te filteren, VPN tunnels opzetten (zowel ipsec als OpenVPN).

Maar ja, zo'n setup kost wat meer natuurlijk, en alles moet zo goedkoop mogelijk tegenwoordig...
Dit. In de meeste gevallen wordt het met die tutorials aangeraden gewoon een docker containertje op te werpen. Deze is bij default niet open naar buiten. En naar buiten is dan zelfs nog lokaal op de machine. Ik snap niet dat er kennelijk 12K instances open stonden. Zelfs als je ze bij Mongo zelf afneemt zit er nog iets van afscherming op.
Je gaat hier fout in de gedachte dat bedreigingen alleen vanaf het internet / buiten komen. In de praktijk ligt dat anders, zeker in bedrijven. Dat er een filteren device tussen het systeem en de buitenwereld / internet zit zegt nog niet direct iets of een systeem open staat of niet.

[Reactie gewijzigd door Bor op 18 mei 2019 08:59]

Volgens mij ga ik op het artikel in waarbij het over publiek toegankelijke instances op internet gaat ;-) Threats in het algemeen heb je idd overal.
Niet alleen dat, maar "Maak ik een offsite backup van mijn database?" is kennelijk ook heel moeilijk (zelfs voor ITers)...
MKB bedrijf

IT "We moeten meer doen aan informatiebeveiliging, we lopen risico's"
MT "Hoeveel kost het om te zorgen dat alles veilig is"
IT "40K per jaar"
MT "Hoe vaak zijn we al gehacked"
IT "0x, maar dat is geen reden om niet na te denken over veiligheid"
MT "We hebben net alle MT leden een Tesla gegeven zodat we innovatief zijn, budget is op"
IT " |:( 8)7

[Reactie gewijzigd door Lisadr op 17 mei 2019 18:49]

Ja dat het management slecht is wordt hier wel altijd beweert, maar als je als it;er gewoon een DB online zet zonder enige vorm van authentificatie faal je gewoon in je werk.
In zulke bedrijven is het niet ondenkbaar dat je gewoon de opdracht krijgt om dat te doen. Als je een goede ICT'er bent, ben je dan al in de baas zijn tijd CV's aan het versturen, maar dat doet er niet aan af dat je je naar je meerderen zult moeten schikken zolang je er nog werkt.
Daarnaast hoor je ook gewoon op firewall niveau alles behalve specifieke ip adressen uit te sluiten. Echt totaal geen medelijden met dergelijke sysadmins.
Ik heb ook een yandex adres, kom ik nu ook uit Rusland? Of uit de VS omdat ik ook een gmail.com adres heb? Sterke bewijsvoering...
> wat erop lijkt te wijzen

Zie dikgedrukte uit artikel. Wordt niet gezegd dat het zo is, maar dat het lijkt. Net zoals als dat je bij een @libero.it zou zeggen: wat er op lijkt te wijzen... Als je verder niks anders hebt om op af te gaan.

Valt mij op dat de snelste comments vooral gaan over het in twijfel trekken dat het Russen zijn geweest :aluhoedje:.

Het is niet zo alsof onbeveiligde mongodb's moelijk zijn om te stelen, lees ook onbeveiligd. Gaan we hier nu een heel ding over maken - ik denk niet dat er een super geavanceerde 'bende hackers' achter zit.
Je verplaatst het probleem naar het woordje "lijkt", maar ook daarvoor moet een gegronde onderliggende redenering zijn. Iedereen kan zo'n adres aanmaken. Ik heb een @google.com adres. Kom ik dan uit de Verenigde Staten? Of, "lijk" ik dan uit dit land te komen?

[Reactie gewijzigd door Lapjespoes op 17 mei 2019 21:49]

:aluhoedje:.
Een aluhoedje? Werkelijk? (._. ) Wat is dat nou weer voor kinderachtige manier om anderen weer in diskrediet te brengen.

Scroll es even een stukje omhoog, naar de andere mensen die ook betwijfelen of het wel russisch is juist omdat hackers veel slimmer zijn. Nooit van False-flag gehoord zeker?
Zijn die andere replies dan ook aluhoed dragers hm?

[Reactie gewijzigd door Yezpahr op 17 mei 2019 20:04]

Ik ben het in de basis met je eens, maar ik snap de bedoeling achter zijn reactie ook goed. Mensen zijn tegenwoordig vaak heel snel met het verdedigen of goedpraten van Rusland, terwijl daar net zo min aanwijzingen voor zijn. Je kunt simpelweg weinig conclusies trekken uit het gebruik van een mailadres. Misschien dat je met de headers al iets meer kunt, maar ook dat geeft geen zekerheid (en ik weet niet of Yandex het IP van de verzender er wel inzet om maar eens iets te noemen).
Dat is een @yandex.com-adres, wat erop lijkt te wijzen dat de bende uit Rusland komt
Lol, en iedereen met een gmail of hotmail adres is Amerikaans en iedereen met een Zoho adres komt uit India.

Yandex werkt overigens perfect. Het is nog zowat de enige waar je je eigen domein gratis mee kunt koppelen. En geen gedoe met schuifjes zoals 'allow less secure apps' en geen gedoe met betalingen die afketsen of niet geverifieerd kunnen worden, want gratis.

[Reactie gewijzigd door Slingeraap2 op 18 mei 2019 09:25]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Verenigde staten

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True