不久之前 ，全球數(shù)萬(wàn)的 Mongo DB 數(shù)據(jù)庫(kù)被勒索風(fēng)波席卷，一時(shí)間災(zāi)情遍野。如今一波未平一波又起，網(wǎng)絡(luò)安全專家預(yù)警：下一個(gè)遭遇黑客鎖定的目標(biāo)將是 Hadoop 和 CouchDB ,目前已出現(xiàn)災(zāi)情。

早在 1月12日，網(wǎng)絡(luò)專家 Naill Merrigan 就發(fā)現(xiàn)有黑客組織 NODATA4U 已專門(mén)鎖定 Hadoop ，之后幾天內(nèi)就出現(xiàn)了 115 個(gè)受害者。

當(dāng)時(shí)他就提醒，Hadoop 所用的底層分布式文件系統(tǒng)的默認(rèn)配置會(huì)關(guān)閉「Security」和「Safemode」兩個(gè)安全選項(xiàng)，默認(rèn)安裝程序會(huì)允許任何未授權(quán)的操作者使用管理員身份，一旦 Hadoop 暴露在外網(wǎng)上就會(huì)有安全隱患，攻擊者僅通過(guò)瀏覽器就可以破壞這些缺乏保護(hù)的 Hadoop 中的數(shù)據(jù)。

至上周五,另一位安全研究人員 Victor Gevers 也表示，自己已發(fā)現(xiàn)了126 起 Hadoop 攻擊事件 和 452 起 CouchDB 攻擊事件。導(dǎo)致問(wèn)題的原因和此前發(fā)生的 MongoDB 以及 ElasticSearch 勒索事件如出一轍：

數(shù)據(jù)庫(kù)的默認(rèn)設(shè)置允許任何人在身份未認(rèn)證的情況下直接訪問(wèn)數(shù)據(jù)。攻擊者利用 Hadoop 和 CouchDB 默認(rèn)安裝設(shè)置，不需要密碼憑據(jù)或者使用弱口令即可自由訪問(wèn)數(shù)據(jù)庫(kù)。也就是說(shuō)，一個(gè)稍懂技術(shù)的人就能登錄進(jìn)去刪掉里面的文件。

Gevers 表示，和之前的攻擊方式一樣，勒索者可以先破壞里面的數(shù)據(jù)，然后留下一條勒索信息，要求受害者支付高額勒索金來(lái)拿回?cái)?shù)據(jù)，很多情況下即使受害者支付完贖金也沒(méi)能拿回?cái)?shù)據(jù)。

據(jù)雷鋒網(wǎng)了解到，目前 Shodan 上已經(jīng)能搜到超過(guò)五千個(gè)未受保護(hù)的 Hadoop 和 4000個(gè) CouchDB。在被暴露的五千多個(gè)Hadoop 中，有一些部署在企業(yè)內(nèi)部環(huán)境的應(yīng)用系統(tǒng)上，按理說(shuō)會(huì)受到企業(yè)防火墻的保護(hù)，但是如今的搜尋引擎技術(shù)威力巨大，類似 Shodan 這類 IoT 搜索引擎，以及專門(mén)鎖定 IP 和特定產(chǎn)品來(lái)搜索的工具的出現(xiàn)，使得就算企業(yè)沒(méi)有對(duì)外公開(kāi)，一些缺乏防護(hù)的內(nèi)部系統(tǒng) IP，也會(huì)被搜索引擎檢索成了公開(kāi)資料，最終成為黑客覬覦的目標(biāo)。

Hadoop 提供商發(fā)話： 不作不死

最知名的 Hadoop 服務(wù)提供商 Cloudera 公司發(fā)話了，其聯(lián)合創(chuàng)始人兼首席戰(zhàn)略官 Mike Olson 對(duì)此表示：問(wèn)題本身并不在于平臺(tái)的安全性，而是在于操作者在部署和配置時(shí)沒(méi)有注意相應(yīng)的安全準(zhǔn)則。

他說(shuō)：

Hadoop 本身提供了安全和數(shù)據(jù)保護(hù)功能，操作者可以在平臺(tái)上加密所有數(shù)據(jù)，也可以將密鑰單獨(dú)管理，還可以利用身份驗(yàn)證、訪問(wèn)控制來(lái)基于用戶身份權(quán)限來(lái)對(duì)數(shù)據(jù)進(jìn)行加密，在部署過(guò)程還會(huì)提醒開(kāi)啟。但是顯然，被攻擊的系統(tǒng)都沒(méi)有開(kāi)啟這些特性。

簡(jiǎn)而言之就是一句話，Hadoop 提供了相當(dāng)完善的安全設(shè)置，結(jié)果就是有作死的人不開(kāi)啟，這個(gè)鍋我們不背。

CouchDB 現(xiàn)已加入勒索套餐

Gevers 說(shuō)，目前大多數(shù)針對(duì) Hadoop 的攻擊是手動(dòng)執(zhí)行的，針對(duì) CouchDB 的攻擊卻已趨于自動(dòng)化。

此前 MongoDB 和 ElasticSearch 爆發(fā)勒索事件時(shí)，他就發(fā)現(xiàn)有黑客組織 Kraken0 把這兩個(gè)受害產(chǎn)品的可攻擊名單（10萬(wàn)個(gè)MongoDB 數(shù)據(jù)庫(kù)和 3萬(wàn)個(gè)Elastic 服務(wù)器的IP地址），連同入侵工具、自動(dòng)化掃描工具一起打包成一個(gè)勒索工具包在暗網(wǎng)出售，一包僅售500美刀，而且買(mǎi)一送一，附送攻擊工具源代碼。如今 CouchDB 也被加入了這個(gè)勒索工具包。

至1月24日，網(wǎng)絡(luò)專家 Naill Merrigan 表示目前自己發(fā)現(xiàn)遭破壞的 CouchDB 已逾 500，該數(shù)量仍在迅速增長(zhǎng)。

勒索軟件是去年最讓企業(yè)信息安全頭疼的問(wèn)題之一，雷鋒網(wǎng)了解到，有高達(dá)七成企業(yè)被勒索后最終選擇支付贖金，20% 的付款企業(yè)付出了4萬(wàn)美刀以上的贖金，光是美國(guó)在 2016年的勒索軟件犯罪規(guī)模就達(dá)到 10 億美刀，比 2015 年暴增 40 倍之多，如此看來(lái)勒索形式今年未必好轉(zhuǎn)。

想借勒索大肆斂財(cái)?shù)娜顺Ｓ?，但在雷鋒網(wǎng)看來(lái)，如今這些勒索者之所以如此猖獗，很大一部分原因還是在于勒索的代價(jià)實(shí)在太小了，門(mén)檻太低。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。