2017年初，大數據生態基礎軟件就陷入了一場全球范圍內的大規模勒索攻擊。隨著MongoDB、ElasticSearch等軟件系統遭遇勒索攻擊以外，戰火已經蔓延到Hadoop集群系統，黑客刪除或破壞用戶數據后，利用比特幣平臺進行匿名勒索，稱繳納贖金以后才能提供恢復數據的方法。該事件已在全世界范圍內造成了廣泛的影響并給相關組織造成了嚴重的經濟損失。

勒索事件綜述：

從2016年12月27日發現一些裸奔的MongoDB用戶數據被黑客刪除起截至2017年2月3日根據shodan.io的統計結果顯示，在中國有15046個放在公網上的MangoDB數據庫，其中沒有設置賬戶密碼的占絕大部分，具體數據如下圖所示：

2017年1月17日據國內某知名威脅情報預警機構對68000余個Elasticsearch進行統計分析，發現目前全球共有9750臺存在勒索信息。其中此次被刪除的數據達到至少500億條，被刪除數據大小至少450TB。通過對比分析，發現有大概1%的Elasticsearch使用了身份驗證插件，另外有2%則關閉Elasticsearch，現在已經無法訪問。目前全球中受影響最多的為美國4380臺，其次是中國第二944臺。法國787臺，愛爾蘭462臺，新加坡418臺。以下是Elasticsearch勒索全球分布范圍：

2017年1月12日，網絡專家 Naill Merrigan 就發現有黑客組織 NODATA4U 已專門鎖定 Hadoop ，之后幾天內就出現了 115 個受害者。另一位安全研究人員 Victor Gevers 也表示，自己已發現了126 起 Hadoop 攻擊事件。

根據shodan.io的統計結果顯示，在中國有8300多個Hadoop集群的50070端口暴露在公網上，如下圖所示：

這些勒索攻擊的攻擊模式都較為相似，在整個攻擊過程中并沒有涉及常規漏洞，而是利用這些產品的不安全配置，輕而易舉地對數據進行操作。大數據基礎軟件在大數據領域到底有多重要？大數據基礎軟件的安全為何如此脆弱？關閉相應端口、啟用Kerberos等身份認證體系是不是足以應對這類攻擊？

大數據基礎軟件與大數據：

DT時代，發展大數據產業成為國家戰略，沒有大數據安全就沒有大數據產業發展的基礎。以“Hadoop、Hbase等”為核心的基礎軟件由于其開源、易擴展等優勢，目前已成為應用最廣泛的大數據基礎軟件，而且短期內這種勢態不會有質的改變。要保證當前大數據的安全，“Hadoop、Hbase”等基礎軟件的安全首當其沖。如果不采取有效的措施，類似于上述威脅大數據安全的勒索事件將會越來越頻繁。

現有解決方案的弊端：

MongoDB、ElasticSearch雖然遭受攻擊，但其軟件本身就具備設置用戶名密碼的功能，只不過許多人忽略安全的重要性，沒有開啟。但原生Hadoop天然就沒有用戶名密碼這樣的功能，因此在面臨勒索攻擊的時候十分被動。默認情況下是沒有面對此類問題，大多數用戶想到并采用的解決辦法是關閉相應端口、啟用Kerberos等身份認證機制。但是僅僅只是關閉端口可能造成應用無法在互聯網上提供正常的對外服務，即使只允許內網訪問，Hadoop也存在通過內網破壞數據的可能性。而啟用Kerberos身份認證機制的配置又極其復雜，導致許多用戶無法完成。

簡單異行的補充方案：

北京觀數科技在2017年春節期間針對此類問題專門研發了一款免費工具“BIG DAF反勒索應急包”。該工具包可對抗目前黑客組織利用Hadoop等相關產品的不安全配置進行的勒索攻擊。其作用是為Hadoop的默認訪問提供了增加用戶名和密碼的身份驗證功能，安裝以后訪問50070端口時，無論WebHDFS還是RPC HDFS協議，都需要輸入用戶名和密碼驗證才可以正常工作。可使用戶不再擔心因關閉端口造成通過互聯網的正常服務中斷，也無需擔憂啟用Kerberos等身份認證機制的繁雜配置。該方案可單獨使用，也可與防火墻、Kerberos結合，進而起到更全面的防護效果。

該工具的配置十分簡單，下載安裝后，在gateway.properties文件中為Hadoop 添加用戶名和密碼：vi conf/gateway.properties