Názory k článku
Více než 3,6 milionů serverů MySQL je dostupných z internetu
-
Takto otevřený přístup k serveru může vytvářet prostor pro útočníky.
...jde o servery, ke kterým se skutečně podařilo připojit a získat od nich uvítací hlášku.
- . - . - . -
A co teprve takový Apache... To je prostoru pro útočníky, neměli by jsme je vypnout? Nebo když se dá server do zásuvky a zapne, to se otevře prostoru pro útočníky...
Tyhle "studie" mají výstupy odpovídající prohlášení: "Když máte doma dveře, dveře můžou být otevřeny. Odstraňte dveře." -
Filip JirsákStříbrný podporovatelJá jsem to ze zprávičky nepochopil, jestli je jen o otevřené porty, na které jde navázat TCP/IP spojení a přihlásí se tam MySQL (což by vlastně nebylo nic proti ničemu, pokud je tam aktuální verze MySQL a bezpečná hesla), nebo jestli se tam dalo přihlásit nějakými obecně známými přihlašovacími údaji (což by byl pořádný průšvih).
-
Filip JirsákStříbrný podporovatel
Když to zpráva uvádí jasně, tak mi to jistě dokážete přeložit. Podařilo se tedy k těm serverům přihlásit nebo ne?
Drobná nápověda: na serveru mi běží SSH na standardní portu 22. Takže jde o server, ke kterému se vám skutečně podaří připojit a získáte od něj uvítací hlášku. Konkrétně se mi v klientovi zobrazí uvítací hláška „login as:“. Teprve pak zadávám login. Já na tom nic nebezpečného nevidím. U databází je to poněkud netradiční, nebývá zvykem databáze vystavovat do internetu – ale může k tomu být dobrý důvod a ta databáze vy to měla ustát. Pokud to neustojí a nepřihlášený uživatel ji může třeba shodit, bál bych se takovou databázi provozovat i schovanou za firewallem. Protože to svědčí o špatném návrhu.
-
Filip JirsákStříbrný podporovatel
Na základě čeho tak soudíte? Ve zprávičce se píše, že se nepokoušeli získat přístup k datům, což je něco jiného.
Jinak já si také myslím, že je to tak, jak píšete. Ale pak je to trochu jako objev, že na internetu jsou miliony serverů s naslouchajícím SSH serverem, miliony SMTP serverů, miliony IMAP serverů, miliony HTTPS serverů.
-
Je velký rozdíl mezi SW, který zpřístupňuje neveřejná data i pro zápis (databáze), a SW zpřístupňující data záměrně veřejně a jen pro čtení (Apache).
Je též velký rozdíl mezi mnoha léty a detailně prověřený SW (SSH, Apache) a SW který má implicitně známý účet a přístup bez hesla a je obecně známo, že to většina lidí ignoruje (MySQL).
4. 6. 2022, 10:19 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Apache často zpřístupňuje data i pro zápis. A data v té MySQL mohou být veřejná.
MySQL je také prověřený mnoha léty – a pokud mu někdo nedůvěřuje z hlediska zabezpečení, je otázka, proč mu důvěřuje v jiných oblastech.
Implicitně známý účet a přístup bez hesla je jiná věc – ale to je zase něco, co by mělo být vyřešené, i když je MySQL za firewallem.
-
Serverů kde je otevřeno kde co (kromě HTTP/HTTPS) jsou milióny ...
To podle mně není tragédie pokud je k nim přístup dobře zabezpečený - např. autentizace certifikátem + user/password anebo OTP, nebo např. U2F, FIDO apod.
Spíš by bylo zajímavé kolik z nich používá default user/password nebo dokonce bez autentizace. To už je jiná písnička.
Určitě znáte shodan.io ... najdete tam kdeco Modbus TCP, MQTT, ... a mnoho dalších bez jakéhokoliv zabezpečení. Takže nějaký MySQL je jen jeden z mnoha ... -
Zcela upřímně, naopak to, že se stalo zlozvykem, že databáze nejsou dostupné pro spojení, má spíš za následek to, že ve fůře projektů si vývojáři kopnou na web adminer nebo phpmysqladmin. Ten ustrne v kdovíjaké verzi, protože ho nespravuje správce serveru. Ve výsledku to podle mě tvoří daleko větší riziko, než mít zabezpečený sql server vystavený do internetu.
