IP Adresin Görünüyor!
Güvende Kal!
Kritik global sektörlerdeki siber tehditlere dikkat çekmek için WizCase ekibi bir süredir siber güvenlik üzerine araştırma yapmakta. Bu araştırmalarımız çerçevesinde, daha önce tıbbi ürünler sanayisindeki veri sızıntıları ve online eğitim sektöründeki veri sızıntılarını ele aldık çünkü bunlar hem fazlasıyla önemli hem de fazlasıyla göz ardı edilen iki sektör. Ardından birkaç farklı sektöre daha baktıktan sonra, veri tabanı işleten her şirketi etkileyebilecek genel sunucu ihlallerini de analiz etmenin mantıklı olacağını düşündük. Son 10 yılda 100.000’den fazla kaydın bulunduğu 300’ü aşkın veri ihlali meydana geldi. Bu kadar fazla miktarda veri hem şirketlere hem de kullanıcılara çok büyük zarar verebilir.
Bu araç, global veri ihlallerinin büyüklüğünü ve şiddetini ortaya çıkarmak için birçok farklı değişkeni takip edip görüntüler:
Sunucu analizlerinin gösterileceği zaman dilimini girin.
Belirtilen zaman diliminde taranmış olan sunucuların toplam sayısı.
Taranmış sunucuların kaç tanesi bir Elasticsearch veri tabanı çalıştırıyordu.
Kaç adet Elasticsearch veri tabanı, güvenli bir doğrulama olmadan erişilebilir bırakılmış.
Veri tabanlarının yüzde kaçına güvenli bir doğrulama olmadan erişilebiliyor, yüzde kaçı için parola gerekiyor, yüzde kaçı erişimi tamamen kapatmış.
Taranmış Elasticsearch veri tabanlarının yüzde kaçı 1 GB’ın altında, 1-100 GB arasında ve 100 GB’ın üstünde.
Belirlenen zaman dilimi içinde korunmayan tüm Elasticsearch veri tabanlarından herkesçe erişilebilen dosya sayısı.
Güvenli olmayan kaç sunucu Meow gibi saldırıların hedefi olarak veri hırsızlığı ya da veri silme gibi sorunlar yaşamış.
İhlal sırasında çalınmış olan veri türlerine göre, bu verileri bilgileri sızmış kişilere karşı kullanmanın birkaç farklı yolu vardır:
Eğer kredi kartı bilgileri gibi bilgileriniz çalınmışsa parasal işlemlerde kullanılabilir; hassas kişisel bilgileriniz çalınmışsa kimlik hırsızlığında kullanılabilir.
Saldırgınların ele geçirdiği bilgiler sağlık hizmeti bilgileri veya finansal bilgiler gibi hassas bilgilerse şantaj amacıyla kullanılabilir.
Eğer aynı giriş bilgileri kullanılıyorsa, çalınan bilgilerle başka servislerdeki hesaplara ya da veri ihlaline uğramış sağlayıcıda kullanılan hesaba erişilebilir.
Eğer yeteri kadar kişisel bilgi ele geçirilirse, bu bilgilerle çok etkili phishing saldırıları hazırlanabilir. Bu saldırılarla da kişiler kandırılıp kredi kartı veya bankacılık gibi daha fazla hassas bilgi ele geçirilebilir.
Veri ihlalleri yalnızca verileri çalınan kişileri değil, aynı zamanda bu verileri korumakla sprumlu olan tarafları da etkiler. Veri ihlaline uğrayan şirketler muhtemelen şu zararları görecektir:
Şu anki birçok işletmenin de içinde bulunduğu global ortamı düşünürsek, veri ihlaline uğramış bir şirkete muhtemelen birden fazla yargı bölgesinde hukuki işlem başlatılacaktır. Bunun sonucunda şirketin kapanmasına kadar gidebilecek adli masraflar çıkabilir.
Büyük bir veri ihlali sonrasında yaşanacak müşteri kaybı da muhtemelen çok ciddi boyutlarda olacaktır. Müşteriler şirketlere verilerini emanet ettiklerinden, böyle bir sorun yaşanırsa işlerini başka bir yere götürmeleri muhtemeldir. Hatta öyle ki, veri ihlalinden sonra bir işletmenin yaşadığı ortalama maddi kayıp şu an 1,4 milyon dolardır.
Fikrî mülkiyetten finansal bilgilere kadar, çalınan bilgiler birçok farklı şekillerde kayba neden olabilir.
Veri koruma kanunlarını yerine getiremeyen şirketler para cezası alabilir. Örneğin, 2017 Equifax veri ihlali sonrasında ABD Federal Ticaret Komisyonu, şirkete 700 milyon dolar para cezası vermişti.
Tarihteki en ciddi veri ihlalleri, gelmiş geçmiş en büyük ve en güvenilen bazı şirketleri etkilemişti. 2018 yılına kadar internetteki her üç kişiden ikisinin kayıtlarının çalınmış olmasına hiç şaşmamalı.
Bundan etkilenen en büyük şirketlerin tamamının Amerika’dan olması ilginç bir detay. Amerika’da veri ihlali sonrasında ödenen bedelin ortalaması, tüm dünyanın ortalamasını büyük ölçüde aşan 8,2 milyon dolardır.
Bir veri ihlalinin size olan zararını minimum seviyelere düşürmek için yapabileceğiniz birkaç şey vardır:
Eğer bir şifreyi birden fazla hesapta kullanıyorsanız, bir sitenin uğradığı veri ihlali sonucunda tüm bu hesaplarınızı kaybedebilirsiniz. Her servis için ayrı ve güçlü bir şifrenizin olması için güvenilir bir şifre yöneticisi kullanmanız önerilir.
Bir ihlal sonucunda giriş bilgileriniz çalınmışsa bile, eğer iki faktörlü doğrulamayı kullanıyorsanız bu ek kod olmadan saldırganların hesabınıza erişmesi neredeyse imkânsızdır.
Bu araç, kişisel bilgileriniz bir sitenin çalınmış verileri arasında bulunursa veya kredi başvurularında, sosyal medya gönderilerinde, siparişlerde vb. kullanılırsa sizi uyarır. Bu sayede bilgilerinizin çalındığını fark eder etmez faaliyete geçebilirsiniz.
İlk başta %100’ünü tarar ama daha sonra bu oranı %0,06’ya düşürüyoruz. Elasticsearch’i kullanıyor olması muhtemel olan IP adreslerini (yaklaşık 250.000 adet) bulmak için haftada bir kez tüm interneti tararız. Bu sayede tüm interneti, ilgili %0,06’ya kadar daraltır ve kalan bu oranı düzenli olarak taramaya devam ederiz.
Veri İhlali Takipçisi global sunucu zaaflarını incelemede ve veri tabanı güvenliğinin nasıl geliştirileceğini analiz etmede kullanılabilecek mükemmel bir araçtır. Saldırıya elverişli veri tabanları sayısının fazlalığını düşünürsek, tüm şirketler ve hassas verileri güvenli olmayan bir sunucuda tutan kişiler için bu aracın uyarı niteliğinde olmasını umuyoruz. Tüm dünyada bir veri ihlalinin ortalama bedeli neredeyse 4 milyon dolar olduğundan, şirketlerin saldırıya açık veri tabanlarını mümkün olduğunca çabuk güvence altına almaları gerekir.
Elasticsearch farklı veri türleri arasında sıralama ve arama yapmak için kullanılan bir veri tabanı motorudur. Uygulama arama, kayıt analizleri, performans takibi ve güvenlik analizi gibi birçok farklı kullanımı vardır. Kullanıcılar özellikle de hızı ve çok sayıdaki veriyi milisaniyeler içinde arama becerisinden dolayı Elasticsearch’ü çok sever. Tüm dünyadaki en popüler veri tabanı motolarından bir tanesidir.
Meow siber saldırısı birçok diğer saldırının aksine hiçbir kâr amacı gütmeyen, fazlasıyla yıkıcı bir saldırı türüdür. Tek yaptığı güvende tutulmayan veri tabanlarını bularak tüm içeriklerini silmek ve geride saldırıdan etkilenen veri tabanının tamamına “Meow” yazısını bırakmaktır. Yalnızca Elasticsearch veri tabanlarını değil, MongoDB, Cassandra, Hadoop ve çok daha fazlasını da etkiler.
Yukarıda da adı geçen Meow’ın dışında, sunucuları hedef alan birçok farklı saldırı türü vardır:
İnternetteki neredeyse her veri tabanı güvensiz, saldırıya açık bir şekilde bırakılabilir. Ancak sık sık açık olanlar çoğu zaman MongoDB, Cassandra, Hadoop ve Jenkins’tir.
Elasticsearch kullanıcı onayı için birkaç farklı yerleşik mekanizmaya sahiptir ve bu yüzden yalnızca doğrulanmış kullanıcılar giriş yapıp sunucudaki verileri görüntüleyebilir. Ancak bu tek başına yeterli değildir çünkü kullanıcıların, yalnızca yetkilerinin olduğu verileri görebilmeleri için onlara ilgili öncelikler verilmelidir. Elasticsearch’te bu “rol tabanlı erişim kontrolü mekanizması” (role-based access control mechanism / RBAC) olarak bilinir. Kısacası, daha gelişmiş veri güvenliği için her kullanıcıya bir rol ve bu role ilişkin ayrıcalıklar tanınır.
Elbette güvenlik konusu bununla sınırlı değildir ama daha gelişmiş doğrulama ayarlarıyla birçok sunucu çok daha güvenli bir hâle gelebilir.
Veri İhlali Takipçisi aracımız özellikle de saldırıya uğrama ihtimali olan (veya çoktan saldırıya uğramış) güvensiz Elasticsearch veri tabanlarını bulmak için her hafta interneti tarar. Daha sonra bu verileri kaydeder ve istediğiniz zaman dilimi ve veriyi analiz edebilesiniz diye çeşitli değişkenlerin olduğu detaylı bir çizelge hâline getirir.