Întunecat: Cum să faci față

Tavis Ormandy (Tavis Ormandy) din Proiectul Google Zero a descoperit o vulnerabilitate majoră în serviciul de infrastructură Internet Cloudflare. În esență, solicitările web către site-urile susținute de Cloudflare au primit răspunsuri care includeau informații aleatorii de la alte site-uri cu Cloudflare! Aceste informații ar putea include informații confidențiale (mesaje private pe site-uri de întâlnire, e-mailuri), informații despre identitatea utilizatorului (Informații de identificare personală (PII)) și, eventual, într-un context de asistență medicală, Informații de sănătate protejate (PHI) sau informații de identificare pentru utilizator, aplicație sau dispozitiv. (parole, chei API, jetoane de autentificare etc.)

Atât Project Zero, cât și Cloudflare au acționat prompt. Eroarea a fost semnalată în perioada 2017–02–17 și o atenuare a avut loc într-o oră. Notificarea publică a fost dată pe 2017–02–23.

Durata (2016–09–22–2022–2017–202–20) și potențialitatea de informații expuse este uriașă - Cloudflare are peste 2 milioane de site-uri web în rețeaua sa, iar datele din oricare dintre acestea sunt potențial expuse. Cloudflare a spus că impactul real este relativ minor, așa că cred că doar cantități limitate de informații au fost difuzate de fapt. În esență, o gamă largă de date era potențial riscată, dar riscul pentru orice informație individuală era foarte mic. Indiferent, cu excepția cazului în care se poate demonstra în mod concludent că datele dvs. NU au fost compromise, ar fi prudent să se ia în considerare posibilitatea ca acestea să fie compromise.

În timp ce serviciul Cloudflare a fost aplicat rapid pentru a elimina această eroare, datele scurgeau constant înainte de acest moment - de luni întregi. O parte din aceste date au fost memorate în cache în motoarele de căutare precum Google și sunt eliminate. Alte date ar putea exista în alte cache-uri și servicii de pe Internet și, în mod evident, este imposibil să coordonați ștergerea în toate aceste locații. Există întotdeauna potențialul pe care cineva dăunător a descoperit această vulnerabilitate în mod independent și înainte de Tavis și este posibil să o exploateze activ, dar nu există dovezi care să susțină această teorie. Din păcate, este, de asemenea, dificil de dezamăgit definitiv.

Cele mai sensibile informații scurse sunt informațiile de autentificare și datele de acreditare. Un compromis al acestor date poate avea consecințe durabile și continue până la revocarea și înlocuirea acredităților.

Din perspectivă individuală, aceasta este simplă - cea mai eficientă atenuare este schimbarea parolelor. Deși este probabil că nu este necesar (este puțin probabil ca parolele dvs. să fie expuse în acest incident), vă va îmbunătăți securitatea atât din acest compromis potențial, cât și din multe alte probleme de securitate, mult mai probabil. Cloudflare se află în spatele multor cele mai mari servicii web pentru consumatori (Uber, Fitbit, OKCupid, ...), așa că în loc să încercați să identificați ce servicii sunt pe Cloudflare, cel mai precaut este să folosiți acest lucru ca o oportunitate pentru a roti TOATE parolele pe toate site-urile dvs. . Acest lucru vă va îmbunătăți securitatea, deși beneficiul principal este din cauza amenințărilor care nu au legătură cu acest incident.

(Cele mai bune practici sunt să folosești un șir lung aleatoriu pentru fiecare parolă, unică pentru fiecare site și să gestionezi colecția folosind un „manager de parole”, cum ar fi 1Password, LastPass sau administratorii de parole încorporate în browserele web moderne. ar trebui, de asemenea, să vă deconectați și să vă conectați la aplicațiile lor mobile după această actualizare. În timp ce sunteți la el, dacă este posibil să utilizați 2FA sau 2SV cu site-uri pe care le considerați importante (folosind ceva de genul TOTP / Google Authenticator sau U2F), aceasta este semnificativă De asemenea, upgrade de securitate.)

Pentru operatorii de site-uri care folosesc Cloudflare: deși poate fi perturbator, ar trebui să luați în considerare serios impactul asupra utilizatorilor dvs. Utilizați acest incident ca o oportunitate de a vă exercita procesul de gestionare a incidentelor - discutați impactul specific asupra aplicației dvs. și ce răspuns are cel mai mult sens (este probabil diferit pentru fiecare site sau aplicație.) Trebuie să echilibrați un risc necunoscut, dar mic față de . alte costuri. Aveți grijă să nu le „speriați”, dar poate fi prudent să luați măsuri. Cel puțin, aș pregăti un „răspuns pe stoc” pentru susținere în legătură cu acest incident și, într-un context de întreprindere sau b2b, să comunic proactiv cu clienții despre amploarea incidentului și efectul său asupra aplicației dvs. și a datelor lor. Pentru marea majoritate a site-urilor de pe Cloudflare, doar atât este probabil suficient.

Există costuri foarte reale pentru a forța schimbarea parolei utilizatorului - utilizatorii ar putea pierde încrederea în serviciul dvs. și este un inconvenient. Se pare că nu au fost compromise un număr mare de acreditări, astfel încât, pentru un serviciu pentru consumatori cu risc limitat de conturi compromise, este posibil să nu merite efortul de a invalida în masă parolele și de a forța o schimbare. Pentru acreditările de administrator sau pentru orice site-uri care prelucrează informații extrem de sensibile prin Cloudflare, lipsa unei expuneri maxime cuantificabile înseamnă probabil că merită să forțezi o actualizare cu parolă. Dacă aveți alte motive pentru care doriți să împingeți o actualizare a parolei tuturor utilizatorilor dvs., aceasta va fi desigur un factor suplimentar în decizie.

Site-urile ar trebui să invalideze acreditările de autentificare pentru aplicațiile mobile și alte comunicații de la mașină la mașină (dispozitive IoT etc.), forțând utilizatorii să reînregistreze aplicații și dispozitive, dacă foloseau Cloudflare ca furnizor de infrastructură. Dacă nu doriți să forțați o schimbare de parole, un pas intermediar viabil ar putea fi invalidarea jetoanelor de autentificare, obligând utilizatorii să se autentifice din nou cu parolele existente; întrucât token-urile de autentificare sunt trecute mai frecvent între browser și server, ele sunt mult mai probabil să existe într-o scurgere de memorie aleatorie de pe server decât parolele brute, iar forțarea unei autentificări noi este un impact minim asupra utilizatorilor și este posibil să nu necesite nicio mesagerie specifică sau notificare.

În plus, orice site-uri care nu sunt pe Cloudflare, dar cu o mulțime de utilizatori care utilizează site-uri găzduite de Cloudflare (în esență, site-uri mari sau consumatoare de pe Internet) ar trebui să ia în considerare forțarea modificărilor de parolă ale utilizatorului în cazul în care utilizatorii lor au reutilizat aceleași parole pe fiecare site . Acest lucru probabil nu este justificat pentru marea majoritate a site-urilor (oricine are nevoie de securitate atât de mare încât acest lucru ar avea sens ar trebui să folosească infrastructura de autentificare mult mai puternică decât parolele utilizatorului; în caz contrar, este aproape sigur că utilizatorii vor reutiliza parolele cu un site compromis ), dar poate fi o posibilitate. Personal, l-aș folosi ca o oportunitate pentru a-mi actualiza infrastructura de autentificare generală într-un astfel de caz - implementarea de 2FA (ideal U2F sau mai bine, sau TOTP / HOTP selectabil de utilizator, nu SMS), monitorizarea activității contului, etc. o modificare precum invalidarea parolelor. Parolele autonome pe Internet nu mai sunt cele mai bune practici pentru autentificarea utilizatorului.

Dacă aplicația sau site-ul dvs. se află pe Cloudflare și face obiectul reglementărilor industriale sau naționale, acesta poate fi un incident raportabil. (exemple ar fi probleme de îngrijire medicală / confidențialitate medicală cu HIPAA). Echipele dvs. de securitate și conformitate ar trebui să evalueze. Evident, respectarea deplină a reglementărilor aplicabile este o parte esențială a securității.

Subiectiv, cred că aceasta este o problemă serioasă de securitate și ar trebui evaluată de orice serviciu major folosind Cloudflare. Probabil că nu este un „sfârșit al lumii” în severitate, deoarece nu există o exploatare rău intenționată, datele vulnerabile sunt probabil distribuite destul de aleatoriu pe Internet, dar prezența datelor în cache-urile căutabile ar putea face posibilă exploatarea la scară mică. Întrucât atenuarea utilizatorilor finali este un sfat bun în general (utilizați un manager de parole, utilizați parole aleatorii unice pe site-uri, rotiți orice compromis), este un „fără idei” pentru majoritatea utilizatorilor finali conștienți de securitate. Pentru operatorii site-ului, decizia se reduce într-adevăr la baza dvs. de utilizator specifică și la nivelul lor de sofisticare a securității și toleranță la risc. Sunt profund recunoscător atât de activitatea în curs a proiectului Google Zero (în special Tavis), cât și de răspunsul rapid al Cloudflare la această problemă.