HACKING ElasticSeach y Kianna
Estimados amigos de Inseguros !!!
En esta ocasión vamos a hablar del sistema ElasticSearch y Kibana.
Big Data? Nosql? Realmente ElasticSearch, a partir de ahora ES, es un sistema de base de datos no relacional basado en un motor Java y en un almacenamiento nativo en JSON.
Es un motor de base de datos optimizado para las consultas por texto, con un lenguaje de consulta muy simple, olvídate de select * !!! preguntamos por el campo, recorremos el índice y realmente de manera rápida, obtenemos los resultados.
Una de las cosas buenas que tiene ES es que no depende de un esquema de datos previo para introducir información, por lo que no hace falta diseñar el esquema como con xml por ejemplo.
Kibana es un front end para realizar esas consultas y definir cuadros de mando bonitos con la información que queremos buscar, así como un motor de búsqueda.
En mi caso lo uso para visualizar datos de inteligencia de dominios, ip, hashes y demás muestras que vamos realizando por nuestros sensores.
En muchos escenarios se utiliza el conjunto denominado ELK, ES, Logstash y Kibana, para gestionar de manera masiva eventos.
Como con cualquier servicio, debemos tener en cuenta que al publicarlo en Internet lo hacemos accesible, sea de la manera que lo publiquemos. Esconder la dirección exacta, el puerto, son medidas que ya sabemos que no funcionan.
La única manera de proteger estos sistemas expuestos es mediante autenticación, bien sea la que trae el propio sistema o mediante authdigest en el webserver, restringir los extremos que se van a conectar... lo de siempre, pero NUNCA dejarlo abierto esperando que la ocultación haga efecto.
Vamos a empezar por dar una vuelta a unos cuantos kibana que he encontrado por la red…
El siguiente sistema expuesto y peligroso…
Las implantaciones correctas lo muestran así:
Con este me he reído un poco porque el índice de datos se denomina MWAC…
Ahora vamos a ver algunos un tanto inquietantes…
Otro sistema curioso: monitorización de chat de Twitch…
Empresa “machine learning”…
Tracking de camiones…
Universidad australiana / controles físicos…
Meteorología / eficiencia:
Hosting / métricas de VM:
Procedimientos de claves / tokens:
Vimeo / claves secretas:
Plataforma de lectura online (datos personales + geolocalización):
Listas de correo para phishing:
Sistema OSSEC expuesto:
Clientes de analytics expuestos:
ElasticSearch — info de cluster / índices:
Configurar index pattern / compatibilidad:
Insertar JSON en ES / pruebas:
Exploit RCE 2015-1427 (pruebas inofensivas):
Jenkins expuesto:
Gracias por leerme !!!
Estimados amigos de Inseguros !!!
En esta ocasión vamos a hablar del sistema ElasticSearch y Kibana.
Big Data? Nosql? Realmente ElasticSearch, a partir de ahora ES, es un sistema de base de datos no relacional basado en un motor Java y en un almacenamiento nativo en JSON.
Es un motor de base de datos optimizado para las consultas por texto, con un lenguaje de consulta muy simple, olvídate de select * !!! preguntamos por el campo, recorremos el índice y realmente de manera rápida, obtenemos los resultados.
Una de las cosas buenas que tiene ES es que no depende de un esquema de datos previo para introducir información, por lo que no hace falta diseñar el esquema como con xml por ejemplo.
Kibana es un front end para realizar esas consultas y definir cuadros de mando bonitos con la información que queremos buscar, así como un motor de búsqueda.
En mi caso lo uso para visualizar datos de inteligencia de dominios, ip, hashes y demás muestras que vamos realizando por nuestros sensores.
En muchos escenarios se utiliza el conjunto denominado ELK, ES, Logstash y Kibana, para gestionar de manera masiva eventos.
Como con cualquier servicio, debemos tener en cuenta que al publicarlo en Internet lo hacemos accesible, sea de la manera que lo publiquemos. Esconder la dirección exacta, el puerto, son medidas que ya sabemos que no funcionan.
La única manera de proteger estos sistemas expuestos es mediante autenticación, bien sea la que trae el propio sistema o mediante authdigest en el webserver, restringir los extremos que se van a conectar... lo de siempre, pero NUNCA dejarlo abierto esperando que la ocultación haga efecto.
Vamos a empezar por dar una vuelta a unos cuantos kibana que he encontrado por la red…
El siguiente sistema expuesto y peligroso…
Las implantaciones correctas lo muestran así:
Con este me he reído un poco porque el índice de datos se denomina MWAC…
Ahora vamos a ver algunos un tanto inquietantes…
Otro sistema curioso: monitorización de chat de Twitch…
Empresa “machine learning”…
Tracking de camiones…
Universidad australiana / controles físicos…
Meteorología / eficiencia:
Hosting / métricas de VM:
Procedimientos de claves / tokens:
Vimeo / claves secretas:
Plataforma de lectura online (datos personales + geolocalización):
Listas de correo para phishing:
Sistema OSSEC expuesto:
Clientes de analytics expuestos:
ElasticSearch — info de cluster / índices:
Configurar index pattern / compatibilidad:
Insertar JSON en ES / pruebas:
Exploit RCE 2015-1427 (pruebas inofensivas):
Jenkins expuesto:
Gracias por leerme !!!