早在 1月12日,网络专家 Naill Merrigan 就发现有黑客组织 NODATA4U 已专门锁定 Hadoop ,之后几天内就出现了 115 个受害者。
当时他就提醒,Hadoop 所用的底层分布式文件系统的默认配置会关闭「Security」和「Safemode」两个安全选项,默认安装程序会允许任何未授权的操作者使用管理员身份,一旦 Hadoop 暴露在外网上就会有安全隐患,攻击者仅通过浏览器就可以破坏这些缺乏保护的 Hadoop 中的数据。
至上周五,另一位安全研究人员 Victor Gevers 也表示,自己已发现了126 起 Hadoop 攻击事件 和 452 起 CouchDB 攻击事件。导致问题的原因和此前发生的 MongoDB 以及 ElasticSearch 勒索事件如出一辙:
数据库的默认设置允许任何人在身份未认证的情况下直接访问数据。攻击者利用 Hadoop 和 CouchDB 默认安装设置,不需要密码凭据或者使用弱口令即可自由访问数据库。也就是说,一个稍懂技术的人就能登录进去删掉里面的文件。
Gevers 表示,和之前的攻击方式一样,勒索者可以先破坏里面的数据,然后留下一条勒索信息,要求受害者支付高额勒索金来拿回数据,很多情况下即使受害者支付完赎金也没能拿回数据。
据雷锋网(公众号:雷锋网)了解到,目前 Shodan 上已经能搜到超过五千个未受保护的 Hadoop 和 4000个 CouchDB。在被暴露的五千多个Hadoop 中,有一些部署在企业内部环境的应用系统上,按理说会受到企业防火墙的保护,但是如今的搜寻引擎技术威力巨大,类似 Shodan 这类 IoT 搜索引擎,以及专门锁定 IP 和特定产品来搜索的工具的出现,使得就算企业没有对外公开,一些缺乏防护的内部系统 IP,也会被搜索引擎检索成了公开资料,最终成为黑客觊觎的目标。
Hadoop 提供商发话: 不作不死
最知名的 Hadoop 服务提供商 Cloudera 公司发话了,其联合创始人兼首席战略官 Mike Olson 对此表示:问题本身并不在于平台的安全性,而是在于操作者在部署和配置时没有注意相应的安全准则。
他说:
Hadoop 本身提供了安全和数据保护功能,操作者可以在平台上加密所有数据,也可以将密钥单独管理,还可以利用身份验证、访问控制来基于用户身份权限来对数据进行加密,在部署过程还会提醒开启。但是显然,被攻击的系统都没有开启这些特性。
简而言之就是一句话,Hadoop 提供了相当完善的安全设置,结果就是有作死的人不开启,这个锅我们不背。
CouchDB 现已加入勒索套餐
Gevers 说,目前大多数针对 Hadoop 的攻击是手动执行的,针对 CouchDB 的攻击却已趋于自动化。
此前 MongoDB 和 ElasticSearch 爆发勒索事件时,他就发现有黑客组织 Kraken0 把这两个受害产品的可攻击名单(10万个MongoDB 数据库和 3万个Elastic 服务器的IP地址),连同入侵工具、自动化扫描工具一起打包成一个勒索工具包在暗网出售,一包仅售500美刀,而且买一送一,附送攻击工具源代码。如今 CouchDB 也被加入了这个勒索工具包。
至1月24日,网络专家 Naill Merrigan 表示目前自己发现遭破坏的 CouchDB 已逾 500,该数量仍在迅速增长。
勒索软件是去年最让企业信息安全头疼的问题之一,雷锋网了解到,有高达七成企业被勒索后最终选择支付赎金,20% 的付款企业付出了4万美刀以上的赎金,光是美国在 2016年的勒索软件犯罪规模就达到 10 亿美刀,比 2015 年暴增 40 倍之多,如此看来勒索形式今年未必好转。
想借勒索大肆敛财的人常用,但在雷锋网看来,如今这些勒索者之所以如此猖獗,很大一部分原因还是在于勒索的代价实在太小了,门槛太低。