- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Какое-то время назад среди исследователей безопасности было очень «модно» находить неправильно сконфигурированные облачные хранилища AWS с разного рода конфиденциальной информацией. Раннее попадалась а про то, как обнаруживают открытые облачные хранилища Amazon S3.
Однако, время идет и акцент в исследовательских изысканиях сместился на поиск оставленных в открытом доступе баз данных. Более половины известных случаев крупных утечек данных за прошлый год — это утечки из открытых баз (обзор утечек за 2018 год и ).
Сегодня попробуем разобраться как такие БД обнаруживаются исследователями безопасности…
Не секрет, что основными инструментами для поиска открытых баз данных являются специализированные поисковики и . Это не бесплатные сервисы и за доступ к полным результатам поиска придется заплатить свои честно заработанные не-рубли (в случае Shodan это $59/месяц, а за Censys — $99/месяц, и это только за минимальные базовые пакеты). Бесплатные версии поисковиков сильно ограничивают количество результатов в выдаче.
Помимо классического Google-подобного поиска с помощью поисковой строки, эти поисковики предоставляют возможность подключаться к ним через API. Счастливый обладатель платной подписки получит свой API-ключ. Это позволяет существенным образом облегчить задачу разгребания кучи поискового мусора. Список полезных скриптов и программ автоматизации процесса поиска, использующих API-ключи приведены в конце этой статьи.
Кстати говоря, используя небольшую хитрость и опять же поиск, только на этот раз по GitHub, можно найти некоторое количество API-ключей, оставленных в открытых репозитариях их неосторожными владельцами.
Давайте рассмотрим на примере поисковика Shodan, как найти открытые базы данных MongoDB и Elasticsearch.
Самый простой и очевидный запрос, который напрашивается это «MongoDB»:
Как видно из скриншота, этот запрос вернул нам все проиндексированные сервера MongoDB (на дефолтном 27017 порту). Причем большинство из них (на скриншоте это первые три) будут закрытыми БД, требующими учетных записей для подключения. А это не совсем то, что нам интересно. Точнее, это совсем не то.
Немного усложним запрос, используя поисковые фильтры «all:"mongodb server information" all:"metrics"»:
Результат выглядит уже намного лучше. Все найденные базы были свободно доступными на момент, когда их проиндексировал поисковик. С большой долей вероятности к ним можно будет подключиться по указанным IP-адресам, используя какой-либо менеджер для MongoDB (например, NoSQL Manager for MongoDB или Studio 3T for MongoDB).
Можно ограничить область поиска какой-либо страной. Скажем, давайте поищем открытые MongoDB в Китае (запрос «all:"mongodb server information" all:"metrics" country:"cn"»):
Для поиска открытых баз Elasticsearch удобно использовать запрос «port:"9200" all:"elastic indices"»:
К сожалению, способа, как в поисковой строке задать условие поиска по размеру базы пока не удалось. Если вы знаете, как это сделать (задать в поисковой строке фильтр на параметры "totalSize" или "sizeOnDisk"), то пишите в комментариях.
Накладывать более сложные фильтры (ограничения по размеру базы, дата попадания сервера в индекс и т.п.) на поисковую выдачу можно с помощью специализированных скриптов и программ. Для этого уже понадобится платный доступ и API-ключ, о чем я писал выше.
Вот небольшой список того, что может пригодится:
Однако, время идет и акцент в исследовательских изысканиях сместился на поиск оставленных в открытом доступе баз данных. Более половины известных случаев крупных утечек данных за прошлый год — это утечки из открытых баз (обзор утечек за 2018 год и ).
Сегодня попробуем разобраться как такие БД обнаруживаются исследователями безопасности…
Не секрет, что основными инструментами для поиска открытых баз данных являются специализированные поисковики и . Это не бесплатные сервисы и за доступ к полным результатам поиска придется заплатить свои честно заработанные не-рубли (в случае Shodan это $59/месяц, а за Censys — $99/месяц, и это только за минимальные базовые пакеты). Бесплатные версии поисковиков сильно ограничивают количество результатов в выдаче.
Помимо классического Google-подобного поиска с помощью поисковой строки, эти поисковики предоставляют возможность подключаться к ним через API. Счастливый обладатель платной подписки получит свой API-ключ. Это позволяет существенным образом облегчить задачу разгребания кучи поискового мусора. Список полезных скриптов и программ автоматизации процесса поиска, использующих API-ключи приведены в конце этой статьи.
Кстати говоря, используя небольшую хитрость и опять же поиск, только на этот раз по GitHub, можно найти некоторое количество API-ключей, оставленных в открытых репозитариях их неосторожными владельцами.
Давайте рассмотрим на примере поисковика Shodan, как найти открытые базы данных MongoDB и Elasticsearch.
Самый простой и очевидный запрос, который напрашивается это «MongoDB»:
Как видно из скриншота, этот запрос вернул нам все проиндексированные сервера MongoDB (на дефолтном 27017 порту). Причем большинство из них (на скриншоте это первые три) будут закрытыми БД, требующими учетных записей для подключения. А это не совсем то, что нам интересно. Точнее, это совсем не то.
Немного усложним запрос, используя поисковые фильтры «all:"mongodb server information" all:"metrics"»:
Результат выглядит уже намного лучше. Все найденные базы были свободно доступными на момент, когда их проиндексировал поисковик. С большой долей вероятности к ним можно будет подключиться по указанным IP-адресам, используя какой-либо менеджер для MongoDB (например, NoSQL Manager for MongoDB или Studio 3T for MongoDB).
Можно ограничить область поиска какой-либо страной. Скажем, давайте поищем открытые MongoDB в Китае (запрос «all:"mongodb server information" all:"metrics" country:"cn"»):
Для поиска открытых баз Elasticsearch удобно использовать запрос «port:"9200" all:"elastic indices"»:
К сожалению, способа, как в поисковой строке задать условие поиска по размеру базы пока не удалось. Если вы знаете, как это сделать (задать в поисковой строке фильтр на параметры "totalSize" или "sizeOnDisk"), то пишите в комментариях.
Накладывать более сложные фильтры (ограничения по размеру базы, дата попадания сервера в индекс и т.п.) на поисковую выдачу можно с помощью специализированных скриптов и программ. Для этого уже понадобится платный доступ и API-ключ, о чем я писал выше.
Вот небольшой список того, что может пригодится:
- – официальная консоль Shodan. На русском про ее использование можно почитать .
- — руководство по Shodan на русском языке.
- — программа на питоне для поиска открытых баз (MongoDB, CouchDB, Elasticsearch и др.).
- – очень мощный (и пока очень глючный!) графический интерфейс для поиска и визуализации найденного. Имеет встроенные шаблоны для поиска MongoDB и много чего еще. Находится в стадии бета-тестирования со всеми вытекающими…
- (если заблокировано, то ) — мой скромный канал в Telegram, в котором я обозреваю утечки информации и в частности пишу про то, что находят исследователи безопасности в открытом доступе. Бывает интересно.
