Myslím, že už viac ako rok beží diskusia okolo zabezpečenia databázového enginu MongoDB. Ono vlastne ani nie je o čom veľa diskutovať – po inštalácii je celý systém otvorený do sveta a nijako nechránený. Má to na svedomí taký ten hipsterský trend moderných aplikácii – pripoj sa a hneď používaj.
Myslím, že aj keď prebehlo veľa osvety na túto tému tak stav je stále dosť mizerný. Stále sa dá nájsť množstvo nezabezpečených inštalácii – stačí na to jednoduchý scan na defaultnom porte 27017
. Prípadne je možné pozrieť si to napríklad cez Shodan a dozviete sa, že na
- Amazone ich beží viac ako 4 tisíc
- DigitalOcean viac ako 3 tisíc
- celkovo len v Spojených štátoch 14 tisíc
Takže bolo naozaj len otázkou času kedy sa to rozhodne niekto zneužiť. Ide o ransomware - zatiaľ neznámy útočník vám „zabezpečí“ takýto otvorený systém a následne požaduje 0,2 bitcoinu ako výkupne za obnovenie prístupu k dátam. Ak nemáte dobrú zálohu a dáta potrebujete tak máte naozaj problém.
{
"_id" : ObjectId("5859a0370b8e49f123fcc7da"),
"mail" : "harak1r1@sigaint.org",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}
Je to dosť dobrá ukážka toho, že nemusí ísť o kritickú bezpečnostnú chybu (napr. Zero-Day Vulnerability), ale ignorovanie bezpečnostných pravidiel. Pritom práve MongoDB má dosť pekne spracovaný Security Checklist
.
Mohli by vás zaujímať aj tieto články
Weekly #34 - kernel 4.20, OrbitDB, K8s, Project Mu, vianočné tipy pre Bash
Technológie 2019 Open Source Database Trends & Predictions Bye bye Mongo, Hello Postgres OrbitDB is a serverless, distributed, peer-to-peer databa
Weekly #28 - Angular vs. React vs. Vue, Helm, Microsoft hotfix, MongoDB
Technológie Microsoft's Hotfix service is no longer available Researchers discover seven new Meltdown and Spectre attacks Meet the Raspberry Pi 3 Mode
Weekly #27 - Oracle 18c, monitoring, EKS, UX, serverless
Technológie MongoDB security tips The Dark Side of MongoDB’s New License Oracle Database 18c XE now available! The differing definitions of “serverles