Hvad Cloudbleed Lækage Fortæl os om Online Security
En forbløffende mængde websites bruger reverse proxies og DDoS-afbødningstjenester som Cloudflare (f.eks. Reddit) for at beskytte dem mod store katastrofer og holde lysene konsekvent. Disse tjenester markedsfører sig ofte som leverandører af sikkerhed og forbedring af ydeevnen.
Men i modstrid med dette, den 17. februar 2017, forårsagede en stor fejl i Cloudflares software en massiv mængde private data fra millioner af hjemmesider, der var tilgængelige på ethvert tidspunkt. Nogle af disse data optrådte endda på cachelagrede kopier af websteder, der blev vist i Googles søgeresultater. Denne særlige begivenhed, som blev kendt som Cloudbleed, har givet en værdifuld mulighed for en diskussion om sikker brug af teknologi.
Hvad er alt dette ?!
For de uindviede er Cloudflare en tjeneste, der fungerer som mellemmand mellem dit websted og det bredere internet. Når du går til et websted, der bruger tjenesten, forbinder du faktisk med Cloudflare, der forbinder til webstedet og relæer dets output til dig. Det vil cache nogle af de hyppigst besøgte sider, så webstedet ikke behøver at svare hver gang en person forbinder og derved reducere de konsekvenser, som store mængder trafik har på den lokale server. Dette hjælper også med at reducere den indvirkning, som distribuerede benægtelser af tjenesten (DDoS) har på dit websted, da der er en mellemmand, der kan bremse brugen af disse angreb, der fungerer som en slags trafiklys, der tillader legitime besøgende at stoppe og stoppe bots i deres spor . Cloudflare og andre omvendte proxy-tjenester (som Incapsula og Akamai) vil ofte markedsføre sig som leverandører af websikkerhed.
Hvad er Cloudbleed?
Cloudbleed er en begivenhed, hvor en fejl blev opdaget i Cloudflares software af et medlem af Googles Project Zero-team, der afdækkede private beskeder fra store websteder, online adgangskodeadministratordata og fulde HTTPS-anmodninger fra flere andre servere. Cloudflares svar på forbindelsesanmodninger ville ofte overskride deres tildelte bufferrum og præsentere data fra andre kunder, der har adgang til websteder på det pågældende tidspunkt. Det efterlader alt ud i det åbne og præsenterer en katastrofal sikkerhedsrisiko for alle, der bruger eller ejer websites, der er afhængige af tjenesten.
Fejlen blev patcheret i slutningen af februar, selv om tjenesten indrømmer, at data lækager kan have været på gang så tidligt som introduktionen af sin nye HTML parser den 22. september 2016.
Erfaringer
Hvis du har læst vores historier et stykke tid, kan du huske en meget lignende begivenhed kendt som Heartbleed tilbage i 2014, hvor websteder, der bruger OpenSSL, var sårbare over for en udnyttelse, der kunne eksponere fragmenter af private data til snooping-parter. Dette sammen med den nyere Cloudbleed kerfuffle lærer os en værdifuld lektion: Intet er et hundrede procent pålideligt, ikke engang de tjenester med det udtrykkelige formål at beskytte dig.
Dette er ikke meningen at bash Cloudflare. Fejlen kunne være sket med nogen tjeneste. Pointen her er, at internettet ikke er et sted, hvor du bør forvente et garanteret sikkerhedsniveau. Du kunne gøre alt for at beskytte dig selv og stadig blive udeladt i det åbne af en situation, du ikke har kontrol over.
Hvad skulle du gøre?
Sandheden er, som Inc.Coms Joseph Steinberg skriver: "Den nuværende risiko er meget mindre end den pris, der ville blive betalt i øget cybersikkerhedstræthed, " der fører til meget større problemer i fremtiden. "Hvad han mener at sige her er at arten af fejlen gør chancerne for at din adgangskode lækket så astronomisk lav, at den ændrer det, kun vil have den virkning at bære dig ned. Når en reel krise rammer, kan du blive for udmattet af al den støj, panik og hype, som du måske ignorerer et opkald til at ændre dit kodeord på et afgørende tidspunkt. Cloudbleed er ikke det øjeblik. Men hvis du virkelig føler behov for det, skal du ændre dit kodeord.
Bortset fra det, vær bare vågent og ignorér ikke e-mails fra de tjenester, du elsker. I det øjeblik en krise rammer, vil de højst sandsynligt sende dig et venligt brev med alt hvad du behøver at vide om det og måske endda komme med forslag til, hvad du skal gøre for at sikre, at du ikke bliver påvirket.
Tror du, at cybersikkerhedstræthed eksisterer, som Steinberg foreslår? Skal folk være i konstant tilstand, selv når der ikke er en stærk nok begrundelse for panik? Fortæl os hvad du synes i en kommentar!