Myslím, že už viac ako rok beží diskusia okolo zabezpečenia databázového enginu MongoDB. Ono vlastne ani nie je o čom veľa diskutovať – po inštalácii je celý systém otvorený do sveta a nijako nechránený. Má to na svedomí taký ten hipsterský trend moderných aplikácii – pripoj sa a hneď používaj.
Myslím, že aj keď prebehlo veľa osvety na túto tému tak stav je stále dosť mizerný. Stále sa dá nájsť množstvo nezabezpečených inštalácii – stačí na to jednoduchý scan na defaultnom porte 27017. Prípadne je možné pozrieť si to napríklad cez Shodan a dozviete sa, že na
- Amazone ich beží viac ako 4 tisíc
- DigitalOcean viac ako 3 tisíc
- celkovo len v Spojených štátoch 14 tisíc
Takže bolo naozaj len otázkou času kedy sa to rozhodne niekto zneužiť. Ide o ransomware - zatiaľ neznámy útočník vám „zabezpečí“ takýto otvorený systém a následne požaduje 0,2 bitcoinu ako výkupne za obnovenie prístupu k dátam. Ak nemáte dobrú zálohu a dáta potrebujete tak máte naozaj problém.
{
"_id" : ObjectId("5859a0370b8e49f123fcc7da"),
"mail" : "harak1r1@sigaint.org",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}
Je to dosť dobrá ukážka toho, že nemusí ísť o kritickú bezpečnostnú chybu (napr. Zero-Day Vulnerability), ale ignorovanie bezpečnostných pravidiel. Pritom práve MongoDB má dosť pekne spracovaný Security Checklist
.
Mohli by vás zaujímať aj tieto články
Weekly #18
Technológie VMware CEO: A Virtual Machine Is Still the Best Place to Run Kubernetes Auth0 Architecture: Running In Multiple Cloud Providers And Region
MongoDB Europe 2017 má svoj dátum
Okrem MongoDB World, dvojdňového podujatia ktoré sa koná v Spojených štátoch existuje aj európska verzia s názvom MongoDB Europe. Tá sa uskutoční 8. n
3 online školenia MongoDB na február: výkon, ladenie a bezpečnosť
Pokiaľ sa zaujímate o NoSQL databázu MongoDB, tak by vás mohla zaujímať informácia, že vo februári štartujú nové kurzy. Mimoriadne užitočné, ak už ovl