不久之前 ，全球數(shù)萬的 Mongo DB 數(shù)據(jù)庫被勒索風(fēng)波席卷，一時間災(zāi)情遍野。如今一波未平一波又起，網(wǎng)絡(luò)安全專家預(yù)警：下一個遭遇黑客鎖定的目標將是 Hadoop 和 CouchDB ,目前已出現(xiàn)災(zāi)情。

早在 1月12日，網(wǎng)絡(luò)專家 Naill Merrigan 就發(fā)現(xiàn)有黑客組織 NODATA4U 已專門鎖定 Hadoop ，之后幾天內(nèi)就出現(xiàn)了 115 個受害者。

當時他就提醒，Hadoop 所用的底層分布式文件系統(tǒng)的默認配置會關(guān)閉「Security」和「Safemode」兩個安全選項，默認安裝程序會允許任何未授權(quán)的操作者使用管理員身份，一旦 Hadoop 暴露在外網(wǎng)上就會有安全隱患，攻擊者僅通過瀏覽器就可以破壞這些缺乏保護的 Hadoop 中的數(shù)據(jù)。

至上周五,另一位安全研究人員 Victor Gevers 也表示，自己已發(fā)現(xiàn)了126 起 Hadoop 攻擊事件 和 452 起 CouchDB 攻擊事件。導(dǎo)致問題的原因和此前發(fā)生的 MongoDB 以及 ElasticSearch 勒索事件如出一轍：

數(shù)據(jù)庫的默認設(shè)置允許任何人在身份未認證的情況下直接訪問數(shù)據(jù)。攻擊者利用 Hadoop 和 CouchDB 默認安裝設(shè)置，不需要密碼憑據(jù)或者使用弱口令即可自由訪問數(shù)據(jù)庫。也就是說，一個稍懂技術(shù)的人就能登錄進去刪掉里面的文件。

Gevers 表示，和之前的攻擊方式一樣，勒索者可以先破壞里面的數(shù)據(jù)，然后留下一條勒索信息，要求受害者支付高額勒索金來拿回數(shù)據(jù)，很多情況下即使受害者支付完贖金也沒能拿回數(shù)據(jù)。

據(jù)雷鋒網(wǎng)了解到，目前 Shodan 上已經(jīng)能搜到超過五千個未受保護的 Hadoop 和 4000個 CouchDB。在被暴露的五千多個Hadoop 中，有一些部署在企業(yè)內(nèi)部環(huán)境的應(yīng)用系統(tǒng)上，按理說會受到企業(yè)防火墻的保護，但是如今的搜尋引擎技術(shù)威力巨大，類似 Shodan 這類 IoT 搜索引擎，以及專門鎖定 IP 和特定產(chǎn)品來搜索的工具的出現(xiàn)，使得就算企業(yè)沒有對外公開，一些缺乏防護的內(nèi)部系統(tǒng) IP，也會被搜索引擎檢索成了公開資料，最終成為黑客覬覦的目標。

Hadoop 提供商發(fā)話： 不作不死

最知名的 Hadoop 服務(wù)提供商 Cloudera 公司發(fā)話了，其聯(lián)合創(chuàng)始人兼首席戰(zhàn)略官 Mike Olson 對此表示：問題本身并不在于平臺的安全性，而是在于操作者在部署和配置時沒有注意相應(yīng)的安全準則。

他說：

Hadoop 本身提供了安全和數(shù)據(jù)保護功能，操作者可以在平臺上加密所有數(shù)據(jù)，也可以將密鑰單獨管理，還可以利用身份驗證、訪問控制來基于用戶身份權(quán)限來對數(shù)據(jù)進行加密，在部署過程還會提醒開啟。但是顯然，被攻擊的系統(tǒng)都沒有開啟這些特性。

簡而言之就是一句話，Hadoop 提供了相當完善的安全設(shè)置，結(jié)果就是有作死的人不開啟，這個鍋我們不背。

CouchDB 現(xiàn)已加入勒索套餐

Gevers 說，目前大多數(shù)針對 Hadoop 的攻擊是手動執(zhí)行的，針對 CouchDB 的攻擊卻已趨于自動化。

此前 MongoDB 和 ElasticSearch 爆發(fā)勒索事件時，他就發(fā)現(xiàn)有黑客組織 Kraken0 把這兩個受害產(chǎn)品的可攻擊名單（10萬個MongoDB 數(shù)據(jù)庫和 3萬個Elastic 服務(wù)器的IP地址），連同入侵工具、自動化掃描工具一起打包成一個勒索工具包在暗網(wǎng)出售，一包僅售500美刀，而且買一送一，附送攻擊工具源代碼。如今 CouchDB 也被加入了這個勒索工具包。

至1月24日，網(wǎng)絡(luò)專家 Naill Merrigan 表示目前自己發(fā)現(xiàn)遭破壞的 CouchDB 已逾 500，該數(shù)量仍在迅速增長。

勒索軟件是去年最讓企業(yè)信息安全頭疼的問題之一，雷鋒網(wǎng)了解到，有高達七成企業(yè)被勒索后最終選擇支付贖金，20% 的付款企業(yè)付出了4萬美刀以上的贖金，光是美國在 2016年的勒索軟件犯罪規(guī)模就達到 10 億美刀，比 2015 年暴增 40 倍之多，如此看來勒索形式今年未必好轉(zhuǎn)。

想借勒索大肆斂財?shù)娜顺Ｓ?，但在雷鋒網(wǎng)看來，如今這些勒索者之所以如此猖獗，很大一部分原因還是在于勒索的代價實在太小了，門檻太低。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。