Cloudbleed: Ako sa s tým vysporiadať

Tavis Ormandy (Tavis Ormandy) projektu Google Zero odhalil hlavnú zraniteľnosť v službe internetovej infraštruktúry Cloudflare. Webové žiadosti týkajúce sa webov podporovaných technológiou Cloudflare v podstate dostali odpovede, ktoré obsahovali náhodné informácie z iných webov podporovaných technológiou Cloudflare! Tieto informácie môžu potenciálne zahŕňať dôverné informácie (súkromné ​​správy na zoznamovacích serveroch, e-maily), informácie o totožnosti používateľa (Informácie umožňujúce identifikáciu osôb (PII)) a prípadne v kontexte zdravotnej starostlivosti, Chránené zdravotné informácie (PHI) alebo poverenia používateľov, aplikácií alebo zariadení. (heslá, kľúče API, autentifikačné tokeny atď.)

Projekt Zero aj Cloudflare konali rýchlo. Chyba bola nahlásená v rokoch 2017–02–17 a do jednej hodiny došlo k jej zmierneniu. Verejné oznámenie bolo vydané 2017–02–23.

Trvanie (2016–09–22 až 2017–02–20) a potenciálna šírka vystavených informácií sú obrovské - Cloudflare má vo svojej sieti viac ako 2 milióny webových stránok a údaje z ktorýchkoľvek z nich sú potenciálne odkryté. Cloudflare vyhlásil, že skutočný vplyv je relatívne malý, takže sa domnievam, že sa skutočne šírilo iba obmedzené množstvo informácií. V zásade bolo potenciálne ohrozených široké spektrum údajov, ale riziko pre jednotlivé údaje bolo veľmi nízke. Bez ohľadu na to, ak sa dá presvedčivo preukázať, že vaše údaje NIE boli ohrozené, bolo by rozumné zvážiť možnosť, že boli ohrozené.

Zatiaľ čo služba Cloudflare bola rýchlo opravená na odstránenie tejto chyby, údaje pred týmto bodom nepretržite unikali - mesiace. Niektoré z týchto údajov boli verejne uložené vo vyrovnávacej pamäti vo vyhľadávacích nástrojoch, ako je Google, a sú odstránené. Ďalšie údaje môžu existovať v iných vyrovnávacích pamätiach a službách po celom internete a samozrejme nie je možné koordinovať mazanie na všetkých týchto miestach. Vždy existuje možnosť, že niekto škodlivý softvér túto zraniteľnosť objavil nezávisle a pred Tavisom a možno ju aktívne zneužíval, ale neexistuje žiadny dôkaz na podporu tejto teórie. Bohužiaľ je tiež ťažké presvedčivo vyvrátiť názor.

Najcitlivejšou únikovou informáciou sú autentifikačné informácie a poverenia. Kompromis týchto údajov môže mať trvalé a pretrvávajúce dôsledky, až kým sa poverenia nezrušia a nenahradia.

Z individuálneho hľadiska je to jednoduché - najúčinnejším riešením je zmena vašich hesiel. Aj keď to s najväčšou pravdepodobnosťou nie je potrebné (je nepravdepodobné, že by boli vaše heslá pri tomto incidente vystavené), absolútne to zlepší vašu bezpečnosť v dôsledku tohto potenciálneho kompromisu a mnohých ďalších, oveľa pravdepodobnejších bezpečnostných problémov. Cloudflare zaostáva za mnohými z najväčších spotrebiteľských webových služieb (Uber, Fitbit, OKCupid, ...), takže namiesto pokusu zistiť, ktoré služby sú v službe Cloudflare, naj opatrnejší je použitie tejto príležitosti ako otočenie VŠETKÝCH hesiel na všetkých vašich stránkach. , Tým sa zlepší vaša bezpečnosť, hoci hlavným prínosom sú hrozby nesúvisiace s týmto incidentom.

(Osvedčeným postupom je použitie dlhého náhodného reťazca pre každé heslo, ktoré je jedinečné pre každú stránku, a spravovanie tejto kolekcie pomocou „správcu hesiel“, ako je napríklad 1Password, LastPass alebo vstavaných správcov hesiel v moderných webových prehľadávačoch. by sa mali po tejto aktualizácii tiež odhlásiť a prihlásiť sa do svojich mobilných aplikácií. Ak ste na tom, či je možné používať 2FA alebo 2SV s webmi, ktoré považujete za dôležité (pomocou niečoho ako TOTP / Google Authenticator alebo U2F), je to zmysluplné bezpečnostná aktualizácia.)

Pre operátorov stránok používajúcich Cloudflare: hoci to môže byť škodlivé, mali by ste vážne zvážiť vplyv na vašich používateľov. Využite tento incident ako príležitosť na precvičenie vášho procesu riešenia incidentov - prediskutujte konkrétny dopad na vašu aplikáciu a akú odozvu má najväčší zmysel (pravdepodobne sa líši pre každú lokalitu alebo aplikáciu.) Musíte vyrovnať neznáme, ale malé riziko vs - iné náklady. Dávajte pozor, aby ste ich „nevystrašili“, ale môže byť rozumné konať. Minimálne by som pripravil „odpoveď na akciu“ na podporu tohto incidentu av podnikovom alebo b2b kontexte aktívne komunikoval so zákazníkmi o rozsahu incidentu a jeho vplyve na vašu aplikáciu a ich údaje. Pre veľkú väčšinu lokalít v službe Cloudflare je to samo osebe dostatočné.

Vynútenie zmeny hesla používateľa je veľmi reálne - používatelia môžu stratiť dôveru vo vašu službu a je to nepríjemnosť. Nezdá sa, že by došlo k ohrozeniu veľkého počtu poverení, takže v prípade služieb pre spotrebiteľov s obmedzeným rizikom ohrozenia účtov nemusí byť potrebné vynaložiť úsilie na hromadné zneplatnenie hesiel a vynútenie zmeny. Pokiaľ ide o poverenia správcu alebo pre všetky webové stránky spracovávajúce veľmi citlivé informácie prostredníctvom služby Cloudflare, nedostatok kvantifikovateľného maximálneho vystavenia pravdepodobne znamená, že by sa malo vyžadovať vynútenie aktualizácie hesla. Ak by ste mali akékoľvek ďalšie dôvody na to, aby ste chceli zaslať aktualizáciu hesla všetkým svojim používateľom, bolo by to samozrejme ďalší faktor pri rozhodovaní.

Webové stránky by mali zneplatniť prihlasovacie údaje pre mobilné aplikácie a iné komunikácie medzi strojmi (zariadenia IoT atď.), Čo by používateľov prinútilo znovu zaregistrovať aplikácie a zariadenia, ak používali Cloudflare ako poskytovateľa infraštruktúry. Ak nechcete vynútiť zmenu hesiel, uskutočniteľným prechodným krokom by mohlo byť zneplatnenie autentifikačných tokenov, čo núti používateľov, aby sa znova prihlásili pomocou svojich existujúcich hesiel; Pretože autentifikačné tokeny sa medzi prehliadačom a serverom častejšie prenášajú, je oveľa pravdepodobnejšie, že v úniku náhodnej pamäte zo servera budú existovať ako prvotné heslá. Vynútenie nového prihlásenia je pre používateľov minimálny vplyv a nemusí vyžadovať žiadne konkrétne správy. alebo oznámenie.

Okrem toho by všetky weby, ktoré nie sú v službe Cloudflare, ale s mnohými používateľmi, ktorí používajú lokality hostené v službe Cloudflare (v podstate akékoľvek veľké alebo spotrebiteľské stránky na internete), mali zvážiť vynútenie zmien hesla používateľa v prípade, že ich používatelia opakovane použili rovnaké heslá na každej lokalite. , Pravdepodobne to nie je zaručené pre veľkú väčšinu lokalít (každý, kto má bezpečnostné potreby tak vysoké, že by to malo zmysel, by mal používať autentifikačnú infraštruktúru oveľa silnejšiu ako používateľské heslá; v opačnom prípade je takmer isté, že používatelia budú znova používať heslá v prípade napadnutej stránky. ), ale môže to byť aj možnosť. Osobne by som ju v takom prípade využil ako príležitosť na modernizáciu svojej celkovej autentifikačnej infraštruktúry - nasadenie 2FA (ideálne U2F alebo lepšie, alebo užívateľsky voliteľné TOTP / HOTP, nie SMS), monitorovanie činnosti účtu atď. - skôr než sa ponáhľať. zmena, napríklad zneplatnenie hesiel. Samostatné heslá na internete už nie sú najlepšou praxou na overenie totožnosti používateľa.

Ak sa vaša aplikácia alebo webová stránka nachádza v službe Cloudflare a podlieha odvetvovým alebo vnútroštátnym predpisom, môže ísť o incident, ktorý je možné nahlásiť. (príklady by sa týkali zdravotnej starostlivosti / ochrany osobných údajov v súvislosti s HIPAA). Vaše tímy pre bezpečnosť a dodržiavanie predpisov by mali vyhodnotiť. Úplný súlad s platnými predpismi je samozrejme nevyhnutnou súčasťou bezpečnosti.

Subjektívne sa domnievam, že sa jedná o závažný bezpečnostný problém a mala by ho vyhodnotiť každá významná služba využívajúca Cloudflare. Pravdepodobne to nie je „koniec sveta“ v závažnosti, pretože pokiaľ nedôjde k zosúladenému škodlivému zneužívaniu, zraniteľné údaje sa pravdepodobne distribuujú na internete náhodne náhodne, ale prítomnosť údajov vo vyrovnávacej pamäti, ktorú je možné prehľadávať, by mohla umožniť využitie v malom rozsahu. Keďže zmierňovanie pre koncových používateľov je vo všeobecnosti dobrou radou (použite správcu hesiel, používajte jedinečné náhodné heslá na webových stránkach, striedajte pri akomkoľvek kompromise), pre väčšinu koncových používateľov, ktorí si uvedomujú bezpečnosť, použite striedanie. Pokiaľ ide o prevádzkovateľov stránok, rozhodnutie skutočne závisí od konkrétnej základne používateľov a úrovne náročnosti zabezpečenia a tolerancie rizika. Veľmi si cením jednak prebiehajúcu prácu projektu Google Zero (najmä Tavis), ale aj rýchlu reakciu spoločnosti Cloudflare na tento problém.