Специалисты Risk Based Security представили исследование, согласно которому разработчики Redis совершенно напрасно не уделяли внимание безопасности своего детища. Исследователям удалось обнаружить 6338 скомпрометированных серверов Redis, из-за чего под угрозой оказались более 30 000 баз данных.
Redis считается почти идеальным решением среди NoSQL БД серверов и key-value хранилищ. Согласно статистике DB-Engines, в 2015 году Redis занимал десятое место по популярности. Однако исследователи Risk Based Security пишут, что продукт создавался с упором на производительность, а о безопасности разработчики почти не думали. В частности, конфигурация по умолчанию не предполагает вообще никакой аутентификации и механизмов защиты. Разумеется, в документации сказано, что использовать Redis нужно только внутри доверенного окружения, но с этим случаются проколы,
Исследователи заинтересовались данной проблемой, после того как провели аудит сервера, на котором обнаружили сторонний SSH-ключ и email-адрес ryan@exploit.im. Похожие изменения встречались специалистам во время расследования других инцидентов. Воспользовавшись простым сканированием через Shodan, специалисты убедились, что все действительно плохо. Redis не только опасно использовать в дефолтной конфигурации, в 2015 году также появился эксплоит, который позволяет посторонним создать и поместить SSH-ключ в файл authorized_keys, то есть на любой сервер Redis, где не настроена аутентификация.
По данным Risk Based Security, в настоящий момент скомпрометированы 6338 серверов Redis, то есть более 30 000 баз данных доступны любому желающему, безо всякой аутентификации.
Наиболее популярны среди нестандартных ключей crackit, crackit_key, qwe, ck и crack. Суммарно исследователи выявили 14 уникальных email-адресов и 40 уникальных комбинацией SSH-ключей. По словам исследователей, все это похоже на работу сразу нескольких хакерских групп. Скомпрометированные серверы Redis работают под управлением 106 разных версий, от совсем старых (1.2.0) до новейших (3.2.1).
«Наш анализ подтверждает две вещи. Во-первых, это не новая проблема. Во-вторых, некоторые серверы заражены и “открыты”, но не используются для реализации каких-либо вредоносных целей», — пишут исследователи.
В заключении эксперты рекомендуют не забывать об обновлениях, использовать наиболее свежие версии Redis, а также активировать «защищенный режим», который был представлен в версии 3.2.
Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.
Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:
Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.
«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.
Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
