Tenho a impressão de que o ano de 2016, quando os dados de grandes empresas começaram a ser comercializados em fóruns privados devido a vazamentos que ocorreram em 2012 e nos anos sequentes, deu início a um novo tipo de “tendência”: busca e exposição de dados de grandes corporações.
Após isso, ficamos sabendo de grandes marcas internacionais e nacionais que também vieram a sofrer desse “novo mal”. Mas, afinal, afinal qual é a ligação entre elas?
Nos meses de outubro e novembro deste ano tivemos revelações de novos vazamentos, totalizando mais de 64 milhões de dados de usuários e clientes de grandes empresas, além de uma exposição de dados de clientes de um provedor de serviço, após um ataque direcionado, ao qual a maioria de nós está sujeita se não tomar os devidos cuidados.
Quando pensamos em grandes exposições de dados, a primeira ideia que vem à cabeça de algumas pessoas é: “hackers com exímios conhecimentos resolveram atacar aquele ambiente”, mas em muitas vezes isso não é verdade, e o grande vilão é a famosa “negligência”.
Aquelas situações em que todos que tem algum histórico em TI já passaram, como “vou testar rapidinho, depois você bloqueia novamente” ou “A ‘gmud’ vai demorar muito!! Quebra essa, fazendo favor!”, e que acabam gerando uma cadeia de riscos e vulnerabilidades, são, na maioria das vezes, as responsáveis por esse tipo de situação.
Quando algum novo serviço é publicado na internet por meio de um endereço de IP em uma porta nada provável, muitas vezes acreditamos que a possibilidade de alguém localizá-lo horas após a sua publicação é quase nulo. E é aí que os grandes problemas ocorrem. Hoje existem ferramentas como o Shodan (https://shodan.io/) e a BinaryEdge (https://app.binaryedge.io), que têm como objetivo buscar e identificar de forma aleatória todos os serviços e portas existentes em IPs, IoT e outros dispositivos.
Dessa forma, o simples fato de subir um serviço como ElasticSearch ou um “bucket” de armazenamento exposto para a internet sem os devidos cuidados com autenticação e publicação, pode resultar em uma desastrosa exposição de informação.
“- Ok, entendi que existem ferramentas para ajudar a encontrar serviços expostos na internet, mas isso não quer dizer que vão encontrar os meus, certo?”
Errado! Hoje existem pessoas que gastam grande parte do seu dia apenas fazendo pesquisas nessas ferramentas para identificar possíveis informações expostas sem as devidas proteções, possibilitando o acesso aos dados sensíveis, em uma simples busca na Binaryedge utilizando a palavra-chave “elasticsearch.version: 6.3.2” a ferramenta retornou 1.096 resultados.
Nesse caso, esses “pesquisadores” passam grande parte do tempo acessando cada uma dessas portas e IPs atrás desses potes de ouro e quando o acham, bingo! A divulgação é feita e em questão de horas o estrago, também.
Agora que já sabemos como atuam, o que podemos fazer para nos proteger? Seguir algumas regras básicas como não divulgar novos serviços sem as devidas proteções necessárias aplicadas já é um bom começo. E como saber se você está com dados expostos?
Através dessas ferramentas é possível buscar serviços e portas expostas com foco em uma classe de IP ou em um IP único. Nesse caso é só você adicionar o seu IP no campo e validar todos os resultados.
Espero ter ajudado de alguma forma, nos vemos no próximo mês!