Cloudbleed: kako se nositi s tim

Tavis Ormandy (Tavis Ormandy) iz Googleove Projekt Zero otkrio je veliku ranjivost u usluzi internetske infrastrukture Cloudflare. U osnovi, internetski zahtjevi za web lokacije koje podržavaju Cloudflare dobili su odgovore koji uključuju slučajne podatke s drugih web lokacija podržanih Cloudflare-om! Ti podaci mogu potencijalno uključivati ​​povjerljive podatke (privatne poruke na web lokacijama za upoznavanje, e-poruke), podatke o identitetu korisnika (podaci o osobnoj identifikaciji (PII)) i potencijalno u kontekstu zdravstvenog osiguranja, zaštićene zdravstvene podatke (PHI) ili vjerodajnice korisnika, aplikacije ili uređaja (lozinke, API ključevi, tokeni za autentifikaciju itd.)

I Project Zero i Cloudflare djelovali su odmah. Izgleda da je buga prijavljena 2017–02–17 i da je došlo do ublažavanja unutar jednog sata. Javna obavijest dana je 2017.-02.-23.

Trajanje (2016–09–22 do 2017–02–20) i potencijalna širina izloženih informacija je ogromna - Cloudflare ima preko 2 milijuna web stranica na svojoj mreži, a podaci s bilo kojeg od njih mogu biti izloženi. Cloudflare je rekao da je stvarni utjecaj relativno mali, tako da vjerujem da se distribuiralo samo ograničeno puno informacija. U osnovi, široki raspon podataka mogao je biti u opasnosti, ali rizik za svaki pojedini podatak bio je vrlo nizak. Bez obzira na to, ukoliko se ne može u potpunosti pokazati da vaši podaci NISU ugroženi, razborito bi bilo razmotriti mogućnost da su ugroženi.

Iako je Cloudflareova usluga brzo bila zakrpljena za uklanjanje ove pogreške, podaci su neprestano curili prije ove točke - mjesecima. Neki od ovih podataka javno su spremljeni u predmemorijske stranice poput Googlea i uklanjaju se. Ostali podaci mogu postojati u drugim predmemorijama i uslugama na cijelom Internetu, a očito je nemoguće koordinirati brisanje na svim tim lokacijama. Uvijek postoji potencijal da je netko zloban otkrio ovu ranjivost neovisno i prije Tavisa, i možda je aktivno iskorištavao, ali nema dokaza koji bi podržali ovu teoriju. Nažalost, teško je i uporno opovrgnuti.

Najosjetljivije informacije koje su procurile su informacije i vjerodajnice. Kompromis ovih podataka može imati trajne i trajne posljedice dok se opozivi i ne ukinu vjerodajnice.

Iz pojedinačne perspektive, to je jednostavno - najefikasnije ublažavanje jest promjena zaporki. Iako ovo po svoj prilici nije potrebno (malo je vjerojatno da su vaše lozinke bile izložene u ovom incidentu), apsolutno će poboljšati vašu sigurnost i od ovog potencijalnog kompromisa i od mnogih drugih, daleko vjerojatnije sigurnosnih problema. Cloudflare stoji iza mnogih najvećih internetskih servisa za potrošače (Uber, Fitbit, OKCupid,…), pa umjesto pokušaja prepoznavanja koji se servisi nalaze na Cloudflare-u, najviše oprezno je koristiti ovo kao priliku za rotaciju SVE lozinke na svim vašim web mjestima , To će poboljšati vašu sigurnost, iako je glavna korist od prijetnji nepovezanih za ovaj incident.

(Najbolja praksa je koristiti dugački slučajni niz za svaku lozinku, jedinstven za svaku web lokaciju, i upravljati tom zbirkom pomoću "upravitelja lozinki", kao što su 1Password, LastPass ili ugrađenih upravitelja lozinki u modernim web preglednicima. Korisnici Također biste se trebali odjaviti i prijaviti u svoje mobilne aplikacije nakon ovog ažuriranja. Dok ste na njemu, ako je moguće koristiti 2FA ili 2SV na web lokacijama koje smatrate važnim (koristeći nešto poput TOTP / Google Autentifikator ili U2F), to ima smisla. nadogradnja sigurnosti također.)

Za operatere web lokacija koji koriste Cloudflare: iako to može biti uznemirujuće, trebali biste ozbiljno razmisliti o utjecaju na vaše korisnike. Iskoristite ovaj incident kao priliku da iskoristite svoj postupak rješavanja incidenata - razgovarajte o konkretnom utjecaju na vašu aplikaciju i o tome koji odgovor ima najviše smisla (vjerojatno se razlikuje za svaku web lokaciju ili aplikaciju.) Morate uravnotežiti nepoznati, ali mali rizik u odnosu na ostali troškovi. Pazite da ih ne "uplašite", no moglo bi biti razborito poduzeti mjere. U najmanju ruku, pripremio bih "odgovor na zalihe" za podršku u vezi s ovim incidentom, te u kontekstu poduzeća ili b2b proaktivno komuniciram s kupcima o stupnju incidenta i njegovom utjecaju na vašu prijavu i njihove podatke. Za veliku većinu web lokacija u Cloudflare-u, to samo po sebi je vjerojatno.

Prisiljavanje na promjenu korisničke lozinke postoji vrlo stvarni troškovi - korisnici mogu izgubiti povjerenje u vašu uslugu, a to predstavlja i neugodnost. Ne čini se da je veliki broj vjerodajnica ugrožen, tako da za potrošačku uslugu s ograničenim rizikom za kompromitirane račune možda neće biti vrijedno truditi se masovno poništiti zaporke i natjerati na promjenu. Za vjerodajnice administratora ili bilo koje web mjesto koje obrađuje vrlo osjetljive informacije putem Cloudflare-a, nedostatak maksimalno mjerljive izloženosti vjerojatno znači vrijediti prisiljavanja na ažuriranje zaporke. Ako biste imali neke druge razloge zbog kojih želite ažurirati lozinku svim svojim korisnicima, to bi, naravno, bio dodatni faktor u odluci.

Web lokacije trebaju onemogućiti vjerodajnice za provjeru autentičnosti za mobilne aplikacije i drugi stroj za komunikaciju s strojevima (IoT uređaji itd.), Prisiljavajući korisnike da ponovo registriraju aplikacije i uređaje ako su Cloudflare koristili kao davatelja infrastrukture. Ako ne želite forsirati promjenu zaporki, održivi posredni korak mogao bi biti poništavanje tokena za provjeru autentičnosti, prisiljavanje korisnika da se ponovo prijave s postojećim zaporkama; budući da se tokeni za provjeru autentičnosti češće prosljeđuju između preglednika i poslužitelja, veća je vjerojatnost da će procuriti slučajna memorija s poslužitelja nego neobrađene lozinke, a prisiljavanje svježe prijave minimalan je učinak na korisnike i možda neće zahtijevati posebno slanje poruka ili obavijest.

Uz to, sve web lokacije koje nisu na Cloudflare-u, ali s većinom korisnika koji koriste Cloudflare web-lokacije (u osnovi bilo koje velike ili potrošačke web stranice na Internetu) trebale bi razmotriti prisiljavanje promjena korisničkih lozinki u slučaju da su njihovi korisnici ponovno koristili iste lozinke na svakoj web-lokaciji , To vjerojatno nije za velikoj većini web lokacija (svatko tko ima sigurnosne potrebe toliko visok da bi to imalo smisla upotrebljavati infrastrukturu za provjeru autentičnosti daleko jaču od korisničkih lozinki; inače će gotovo sigurno korisnici ponovo koristiti lozinke s ugroženom web mjestom. ), ali to može biti mogućnost. Osobno bih to iskoristio kao priliku za nadogradnju svoje cjelokupne infrastrukture za provjeru autentičnosti u takvom slučaju - raspoređivanje 2FA (u idealnom slučaju U2F ili bolje ili TOTP / HOTP koji se bira korisnik, a ne SMS), praćenje aktivnosti računa itd. - umjesto da se žuri promjena poput nevažećih zaporki. Samostalne lozinke na Internetu više nisu najbolja praksa za provjeru autentičnosti korisnika.

Ako je vaša prijava ili web mjesto na Cloudflareu i podliježu industrijskim ili nacionalnim propisima, to može biti izvještajni incident. (primjeri su briga o zdravstvenoj zaštiti / zaštiti privatnosti s HIPAA-om). Timovi za sigurnost i poštivanje zakona trebali bi procijeniti. Očito je da je potpuna usklađenost s važećim propisima bitan dio sigurnosti.

Subjektivno, vjerujem da je ovo ozbiljan sigurnosni problem i da bi ga trebala procijeniti svaka velika služba koja koristi Cloudflare. Vjerojatno nije riječ o „kraj svijeta“ u ozbiljnosti, jer osim ako nije došlo do usklađenog zlonamjernog iskorištavanja, ranjivi podaci se vjerojatno prilično nasumično distribuiraju putem interneta, ali prisutnost podataka u predmemoriranim pretraživačima može omogućiti eksploataciju malih razmjera. Budući da je ublažavanje za krajnje korisnike općenito dobar savjet (koristite upravitelj lozinki, koristite jedinstvene slučajne zaporke po web lokacijama, rotirajte na bilo kakvom kompromisu), za većinu krajnjih korisnika koji nisu sigurni u sigurnost, to je "no brainer". Za operatore web mjesta odluka se svodi na vašu specifičnu korisničku bazu i njihovu razinu sofisticiranosti sigurnosti i tolerancije na rizik. Duboko cenim kako tekući rad Googleove Projekt Zero (posebno Tavis), tako i brzi odgovor Cloudflarea na ovo pitanje.