Wat de Cloudbleed Leaks ons vertellen over online beveiliging
Een verbazingwekkende hoeveelheid websites gebruiken omgekeerde volmachten en DDoS-beperkende diensten zoals Cloudflare (bijvoorbeeld Reddit) om hen te beschermen tegen grote rampen en de verlichting consequent te laten branden. Deze diensten vermarkten zichzelf vaak als aanbieders van beveiliging en prestatieverbetering.
Maar in directe tegenspraak hiermee veroorzaakte een grote bug in Cloudflare's software op 17 februari 2017 een enorme hoeveelheid privégegevens van miljoenen websites om op elk moment toegankelijk te zijn. Sommige van deze gegevens zijn zelfs weergegeven in de cachekopieën van websites die zijn weergegeven in de zoekresultaten van Google. Deze specifieke gebeurtenis, die bekend werd als Cloudbleed, heeft een waardevolle gelegenheid geboden voor een discussie over het veilige gebruik van technologie.
Wat is dit allemaal?!
Voor niet-ingewijden is Cloudflare een service die optreedt als tussenpersoon tussen uw website en het ruimere internet. Wanneer u naar een site gaat die gebruikmaakt van de service, maakt u daadwerkelijk verbinding met Cloudflare, die verbinding maakt met de site en de uitvoer naar u doorstuurt. Het zal een aantal van de vaker bezochte pagina's in de cache opslaan, zodat de site niet elke keer hoeft te antwoorden als iemand verbinding maakt, waardoor de impact van grote hoeveelheden verkeer op de lokale server wordt verminderd. Dit helpt ook om de impact te verminderen die gedistribueerde denial-of-service (DDoS) -aanvallen op je site hebben, omdat er een tussenpersoon is die de gevolgen van deze aanvallen kan verijdelen, en die als een soort verkeerslicht fungeert dat legitieme bezoekers doorlaat en bots in hun tracks stopt . Cloudflare en andere reverse proxy-services (zoals Incapsula en Akamai) zullen zichzelf vaak promoten als aanbieders van websitebeveiliging.
Wat is Cloudbleed?
Cloudbleed is een gebeurtenis waarbij een bug werd ontdekt in de Cloudflare-software door een lid van het Google Project Zero-team dat privé-berichten van grote websites, online wachtwoordmanagergegevens en volledige HTTPS-verzoeken van verschillende andere servers blootlegde. Het antwoord van Cloudflare op verbindingsaanvragen overschreed vaak hun toegewezen bufferruimte en presenteerde gegevens van andere klanten die op dat moment toegang tot websites hadden. Het laat alles open en biedt een catastrofaal beveiligingsrisico voor iedereen die websites gebruikt of bezit die afhankelijk zijn van de service.
De bug is tegen het einde van februari gepatcht, hoewel de service toegeeft dat datalekken al op het moment van de introductie van de nieuwe HTML-parser op 22 september 2016 aan de gang zijn.
Les geleerd
Als u onze verhalen een tijdje hebt gelezen, herinnert u zich misschien een soortgelijke gebeurtenis die in 2014 werd bekend als Heartbleed, waarin websites die OpenSSL gebruikten kwetsbaar waren voor een exploit die fragmenten van privégegevens aan nieuwsgierige partijen kon blootstellen. Dit samen met de meer recente Cloudbleed-kabel leert ons een waardevolle les: niets is honderd procent betrouwbaar, zelfs niet de services met het expliciete doel om u te beschermen.
Dit is niet bedoeld om cloudflare te bashen. De bug kan bij elke service zijn gebeurd. Het punt hier is dat internet geen plaats is waar u een gegarandeerd veiligheidsniveau zou moeten verwachten. Je zou alles in het werk kunnen stellen om jezelf te beschermen en toch buitengesloten te worden door een situatie waar je geen controle over hebt.
Wat zou je moeten doen?
De waarheid is, zoals Joseph Steinberg, Inc.Com, schrijft: "Het huidige risico is veel kleiner dan de prijs die zou worden betaald in toenemende" cyberbeveiligingsmoeheid ", wat in de toekomst tot veel grotere problemen leidt." Wat hij hier wil zeggen is dat de aard van de bug de kans geeft dat je wachtwoord zo astronomisch laag lekte dat het veranderen van het wachtwoord alleen maar tot gevolg heeft dat je je verslapt. Wanneer een echte crisis toeslaat, ben je misschien te uitgeput door al het lawaai, de paniek en de hype dat je een oproep om je wachtwoord te wijzigen op een cruciaal moment negeert. Cloudbleed is niet dat moment. Maar als u echt de behoefte voelt om dit te doen, verander dan uw wachtwoord.
Buiten dat, blijf gewoon waakzaam en negeer geen e-mails van de diensten waar je van houdt. Op het moment dat een crisis toeslaat, sturen ze je waarschijnlijk een vriendelijke brief met alles wat je moet weten en kunnen ze je zelfs suggesties geven over wat je moet doen om ervoor te zorgen dat je niet getroffen wordt.
Denk je dat cyberveiligheidsmoeheid bestaat zoals Steinberg suggereert? Moeten mensen in een constante staat van paraatheid zijn, zelfs wanneer er geen voldoende sterke rechtvaardiging is voor paniek? Vertel ons wat je denkt in een reactie!