Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (99)
  • добавить в избранное
    Добавить в закладки

Кто бы сомневался

Прочитали: 26947 Комментариев: 47 Рейтинг: 67

10 апреля 2020

Плохо быть Кассандрой: когда предрекаешь – не верят, когда сбывается – говорят «напророчила».

Мы уже отмечали, что срочный перевод сотрудников компаний на удаленную работу и, соответственно, срочное открытие вовне корпоративных сервисов (а значит, и серверов) приведет к увеличению поверхности атак.

Основываясь на полученных данных, можно сделать вывод, что из-за массового перевода сотрудников на удаленную работу количество доступных устройств стремительно растет. Так, всего за неделю число доступных серверов в мире увеличилось более чем на 20% и достигло отметки в 3 миллиона. Похожая ситуация наблюдается и в России – рост доли доступных серверов почти на 15%, общее число составляет более 75 000.

#drweb #drweb

Источник

Если в целом в мире количество доступных по сети устройств выросло вдвое, то в России – втрое! Не нужно быть Кассандрой, что предсказать, что в условиях цейтнота администраторы компаний не успели установить ранее не установленные патчи безопасности, не дозакупили и не установили средства резервного копирования – не менее половины компаний (статистика разнится) не использует средства резервного копирования.

Чем быстрее растет количество узлов с RDP-протоколом, тем больше среди них уязвимых машин (как правило). Например, на Урале число открытых узлов увеличилось на 21%, и в 17% систем есть уязвимость BlueKeep. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Южный (12% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный (4% и 11%) федеральные округа.

Источник

При этом наверняка были допущены ошибки в настройках безопасности, в то время как злоумышленники наращивают автоматизацию атак.

Очень похоже на то, что появился новый “червь”, который ищет открытые Elsticsearch-сервера, обнуляет в них индексы с данными.

Источник

А в чем проблема, если уязвимости типовые, а искать их можно с помощью открытых сервисов? Ранее мы рассказывали, что существуют специальные поисковые серверы, позволяющие найти незащищенные устройства. Но даже простой Google – уже подспорье:

Google Dork, также известный как Google Dorking или Google Hacking, является ценным ресурсом для исследователей безопасности. Для обычного человека Google - это просто поисковая система, используемая для поиска текста, изображений, видео и новостей. Тем не менее, в мире информационных технологий Google является полезным хакерским инструментом.

Вы не можете взломать сайты напрямую с помощью Google, но, поскольку у него огромные возможности для сканирования веб-сайтов, он может индексировать практически все на сайтах, включая конфиденциальную информацию. Это означает, что владелец сайта может раскрыть слишком много информации о своих веб-технологиях, именах пользователей, паролях и общих уязвимостях, даже не подозревая об этом.

Источник

Напомним, что в строку поиска Google можно вводить не только слова, но и определенные операторы, позволяющие уточнить поиск. Например:

Логи

Логи являются прекрасным примером того, как конфиденциальная информация может быть найдена на любом веб-сайте. Журналы ошибок, журналы доступа и другие типы журналов приложений часто обнаруживаются в общедоступном HTTP-пространстве веб-сайтов. Это может помочь злоумышленникам найти версию PHP, которую вы используете, а также системный путь вашей CMS или фреймворков.

Для этого типа мы можем объединить два оператора Google, allintext и filetype, например:

allintext:username filetype:log

Это покажет много результатов, которые включают имя пользователя во всех * .log файлах.

Google Dork можно использовать для обнаружения уязвимых или взломанных серверов, которые позволяют добавлять «/proc/self/cwd/» непосредственно в URL вашего веб-сайта.

inurl:/proc/self/cwd

Как вы можете видеть на следующем снимке экрана, результаты уязвимого сервера будут отображаться вместе с их открытыми каталогами, которые можно просматривать из вашего собственного браузера.

#drweb

Закрытые ключи SSH используются для расшифровки информации, которой обмениваются в протоколе SSH. По правилу безопасности, закрытые ключи всегда должны оставаться в системе, используемой для доступа к удаленному SSH-серверу, и не должны передаваться кому-либо еще.

На следующей странице вы сможете найти закрытые ключи SSH, которые были проиндексированы Google.

intitle:index.of id_rsa -id_rsa.pub

Найти списки Email-адресов с помощью Google Dorks довольно легко. В следующем примере мы собираемся получить файлы Excel, которые могут содержать много адресов электронной почты.

filetype:xls inurl:"email.xls"

Источник

Но это – для продвинутых хакеров. Для тех, кто любит подглядывать, есть свои возможности:

Вот dork, чтобы получить различные IP-камеры:

inurl:top.htm inurl:currenttime

Чтобы найти трансляции на основе WebcamXP:

intitle:"webcamXP 5"

И еще один для обычных живых камер:

inurl:"lvappl.htm"

Источник

Для тех, кто ищет музыку и фильмы, – свои:

Вы можете использовать этот dork для поиска mp3-файлов:

intitle: index of mp3

То же самое относится и к легальным бесплатным медиафайлам или документам PDF, которые могут вам понадобиться:

intitle: index of pdf intext: .mp4

Источник

#взлом #защита_от_потери_данных #слежка #технологии #уязвимость

Антивирусная правДА! рекомендует

Проверяйте свои ресурсы на наличие уязвимостей, регулярно устанавливайте патчи безопасности и пароли на доступ. Используйте для проверки приведенные выше поисковые запросы. И не выкладывайте важные данные на серверы с открытым доступом из Интернета. Ведь найдется все!

Думаете, мы нагнетаем? Почитайте:

Я отслеживаю небольшой пул адресов (местные провы, ~24k адресов), с того момента как начали говорить о карантине.

  1. «голых задниц» RDP — (24) 236
  2. SMB — (2) 17
  3. VPN — (72) 124 (преимущественно l2tp — mikrotik)
  4. SQL — (4) 7

вот список того что приросло (в скобках ДО) и продолжает почуток расти. ~20% RDP и SMB (зачем вообще его шарят) уязвимы. Разослал провайдерам список IP с описанием проблемы и просьбой передать клиентам информацию. Сделали они это или нет неизвестно, но ситуация за две недели никак не поменялась и только усугубляется.

Источник

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии