Bare 15 prosent av PostgreSQL-serverne som lytter til internett og som kan søkes opp med søkemotoren Shodan, krever at forbindelsen mellom serveren og klienten er kryptert. Faktisk er det bare 36 prosent av serverne som støtter kryptering. Dette skriver Bit.io, et selskap som selv tilbyr PostgreSQL-baserte databasetjenester. Noen uavhengig observasjon er det altså ikke.
Dataene som presenteres, er til en viss grad etterprøvbare. Shodan tilbyr ferdige lenker på denne siden til å søke etter flere typer eksponerte databaseservere, inkludert PostgreSQL. Bit.io har i september i år studert et utvalgt på 820.000 PostgreSQL-servere av de mer enn 980.000 som listes av Shodan. Søkemotoren oppgir at rundt tusen slike servere har norsk IP-adresse.
I noen tilfeller oppgir Shodan også om det blir opprettet en kryptert SSL-forbindelse mellom Shodans klientprogramvare og PostgreSQL-serveren. Men Bit.io har gjort egne skanninger som viser at mer enn en halv million servere er eksponert mot internett uten å bruke SSL/TLS.
Mangelfulle sertifikater
Rundt 300.000 servere er utstyrt med et SSL/TLS-sertifikat, noe som er nødvendig for å kunne tilby SSL/TLS-basert kryptering. Men 43,3 prosent av disse benytter et selvsignert sertifikat, som ikke tilbyr noen form for tillit. 4,0 prosent av serverne med SSL/TLS-sertifikat har et sertifikat som er utløpt på dato.
Men selv blant serverne med et godt og gyldig SSL/TLS-sertifikat er det mange som ikke er ideelt konfigurert. Det er nemlig slik at mange av serverne som støtter kryptering, ikke krever at forbindelsen er kryptert. Når forbindelsen ikke er kryptert, kan den avlyttes, slik at både brukernavn, passord og andre data kan fanges opp av uvedkommende.
Teknologidirektør Jonathan Mortensen i Bit.io sier i blogginnlegget at det er forunderlig at mens nesten all trafikk som sendes via internett mellom en nettleser og en webserver i dag, er kryptert, er dataene som sendes til og fra internettilknyttede PostgreSQL-servere, sannsynligvis ukryptert.
Samtidig er det slik at mange slike forbindelser mellom databaseservere og -klienter ikke går via internett, men i stedet innad i et lokalnett eller lokalt på en fysisk server, hvor de ikke er (like) tilgjengelige for uvedkommende.
Bjørnetjeneste
Til The Register, som også har omtalt undersøkelsen, sier Marc Linster, teknologidirektør i den amerikanske PostgreSQL-spesialisten EDB, at det kan virke som noen tilbydere av databasetjenester gjør kundene sine en bjørnetjeneste ved ikke å gi dem muligheten til å ha en liste for å begrense nettverkstilgangen. Det anbefalte, ifølge Linster, er å ha hviteliste for å begrense nettverkstilgangen.
I blogginnlegget kommer Bit.io med en rekke råd om hvordan PostgreSQL kan konfigureres for å gjøre forbindelsene sikrere. Der opplyses det også at Bit.io også gjennomført en undersøkelse av 22 populære klienter med støtte for PostgreSQL. Bare to av disse har en standardinnstilling som krever kryptert forbindelse.