Windows

CloudBleed: Η απειλή ασφάλειας που παίρνει το Διαδίκτυο από μια καταιγίδα

Inside Cloudbleed

Inside Cloudbleed

Πίνακας περιεχομένων:

Anonim

Το CloudBleed είναι μια από τις μεγαλύτερες απειλές για την ασφάλεια όλων των εποχών και βρίσκεται σήμερα στην κορυφή του. Cloudflare ο οποίος έχει προκαλέσει πρόσφατα ένα σφάλμα που προκάλεσε πολλές διαρροές προσωπικών δεδομένων, από κωδικούς πρόσβασης σε στοιχεία χρηστών έως τραπεζικές πληροφορίες, . Η ιταλική εταιρεία Cloudflare είναι μία από τις μεγαλύτερες εταιρείες διαδικτυακής ασφάλειας και τέθηκε υπό έλεγχο πέρυσι μέσω της έκθεσης ευαισθησίας της Google εναντίον τους. Αλλά οι χειρότερες ειδήσεις είναι ότι οι τοποθεσίες που υποστηρίζονται από Cloudflare έχουν πιθανώς διαρροή δεδομένων πολύ πριν ανακαλυφθούν από τους αναλυτές της Google. Και, με πελάτες όπως το FitBit, το Uber και το OKCupid, υπάρχουν πολλά που πρέπει να ανησυχούν για τους πελάτες της Cloudflare. Έτσι, το πρώτο βήμα που πρέπει να κάνετε είναι να αλλάξετε ΟΛΟΥΣ τους κωδικούς σας σε κάθε λογαριασμό στο Διαδίκτυο και να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων όπου είναι δυνατόν.

Η CloudFlare, ενώ είναι μια από τις πιο δημοφιλείς υπηρεσίες Internet στον κόσμο, άγνωστο όνομα. Αυτό συμβαίνει επειδή λειτουργεί πίσω από τις σκηνές για να βεβαιωθείτε ότι οι ιστότοποι προστατεύονται από ένα τείχος προστασίας ιστού. Είναι επίσης μια υπηρεσία CDN, Domain Name Server και DDoS Protector που προσφέρουν ένα ολόκληρο μενού προϊόντων για μεγάλους ιστότοπους. Και, αυτή είναι η μεγάλη ειρωνεία της κατάστασης. Ως ειδικός οργανισμός ασφάλειας περιεχομένου, το Cloudflare θα έπρεπε να ήταν το τελευταίο μέρος για να έχει μια τέτοια επίθεση malware. Μετά από όλα, αμέτρητες εταιρείες πληρώνουν Cloudflare για να βοηθήσουν να διατηρήσουν τα δεδομένα των χρηστών τους ασφαλή. Λεπτομέρειες του CloudBleed Το όνομα προέρχεται από το σφάλμα Heartbleed, το οποίο είναι αρκετά παρόμοιο με το νέο. Στην πραγματικότητα, προφανώς, το σφάλμα Cloudbleed είναι αποτέλεσμα σφάλματος. Ένας μοναδικός χαρακτήρας στον κώδικα του Cloudflare φάνηκε να προκαλεί την καταστροφή. Αυτή τη στιγμή δεν υπάρχουν πληροφορίες σχετικά με το αν πρόκειται για ανθρώπινο λάθος ή σκόπιμη ενέργεια, αλλά θα φανεί πολύ πιο εμφανές όταν η εταιρεία βγει δημόσια για να διεκδικήσει την επίθεση.

Αυτή τη στιγμή υπάρχει μόνο αυτή η ανάρτηση ιστολογίου, γεγονότα »από. Αναφέρει ότι το ζήτημα προκύπτει από την απόφαση της εταιρείας να χρησιμοποιήσει έναν νέο αναλυτή HTML που ονομάζεται cf-HTML. Ο αναλυτής HTML είναι μια εφαρμογή που σαρώνει τον κώδικα για να βγάλει σχετικές πληροφορίες όπως ετικέτες έναρξης και ετικέτες λήξης. Αυτό καθιστά ευκολότερη την τροποποίηση αυτού του κώδικα.

Και το cf-HTML και ο παλιός αναλυτής Ragel υλοποιήθηκαν ως μονάδες NGINX που καταρτίστηκαν στις κατασκευές μας NGINX. Αυτές οι ενότητες φίλτρων NGINX αναλύουν τα buffer (μπλοκ μνήμης) που περιέχουν απαντήσεις HTML, κάνουν τις απαραίτητες τροποποιήσεις και μεταφέρουν τα buffer στο επόμενο φίλτρο. Αποδείχθηκε ότι το υποκείμενο σφάλμα που προκάλεσε τη διαρροή μνήμης ήταν παρών στον αναλυτή βασισμένο σε Ragel για πολλά χρόνια, αλλά δεν μπόρεσε να διαρρεύσει μνήμη εξαιτίας του τρόπου με τον οποίο χρησιμοποιήθηκαν τα εσωτερικά buffers NGINX. Παρουσιάζοντας το cf-HTML, αλλάξαμε το buffering που επέτρεψε τη διαρροή, παρόλο που δεν υπήρχαν προβλήματα στην ίδια την cf-HTML.

Αυτό που σημαίνει για τους απλούς όρους είναι ότι οι προθέσεις του Cloudflare ήταν απολύτως ακίνδυνες. Απλώς προσπάθησαν να αποθηκεύσουν δεδομένα χρηστών στην πιο αποτελεσματική θέση. Αλλά όταν η τοποθεσία αυτή είχε τη μνήμη της γεμάτη, την αποθηκεύουν σε άλλους ιστοτόπους από όπου διαρρέει στο άπειρο και πέρα. Τώρα ο σχεδόν αδύνατος στόχος είναι να συγκεντρώσει όλους αυτούς τους πολυάριθμους ιστότοπους και να διεκδικήσει τα δεδομένα.

Πώς να μείνετε προστατευμένοι από τα Cloudbleed sites

Ο εμπειρογνώμονας ασφαλείας Ryan Lackey, ο ιδιοκτήτης του CryptoSeal που αποκτήθηκε από Cloudflare το 2014, έχει μερικές συμβουλές για να προστατεύσετε τον εαυτό σας, ενώ μπορείτε.

Το Cloudflare βρίσκεται πίσω από πολλές από τις μεγαλύτερες υπηρεσίες διαδικτυακών καταναλωτών, έτσι ώστε να μην προσπαθήσουμε να εντοπίσουμε ποιες υπηρεσίες βρίσκονται στο CloudFlare, ίσως είναι πιο συνετό να το χρησιμοποιήσετε ως ευκαιρία περιστροφής Όλοι οι κωδικοί πρόσβασης σε όλους τους ιστότοπούς σας. Οι χρήστες θα πρέπει επίσης να αποσυνδεθούν και να συνδεθούν στις κινητές τους εφαρμογές μετά από αυτήν την ενημέρωση. Ενώ βρίσκεστε σε αυτήν, αν είναι δυνατό να χρησιμοποιήσετε 2ΑΒΑ ή 2SV με ιστότοπους που θεωρείτε σημαντικούς », δήλωσε ο Lackey

Μάθετε εάν επισκεφθήκατε τους ιστότοπους που έχουν πληγεί από το CloudFleet

Αυτές οι δύο επεκτάσεις προγράμματος περιήγησης θα σας επιτρέψουν να ελέγξετε αν έχετε επισκεφτεί ιστότοπους που έχουν επηρεαστεί από το πρόβλημα ασφαλείας του CloudFlare: Firefox | Χρώμιο. Εγκαταστήστε τα και ξεκινήστε τη σάρωση για να μάθετε αν επισκεφθήκατε πρόσφατα ιστοσελίδες που έχουν προσβληθεί από Cloudbleed.

Σε κάθε περίπτωση, ίσως είναι καλή ιδέα να αλλάξετε τους κωδικούς πρόσβασης των online λογαριασμών σας και να παραμείνετε ασφαλείς.

Το μέγεθος της διαρροής

Το πιο ασυνήθιστο κομμάτι για ολόκληρο το φιάσκο είναι ότι δεν είναι δυνατόν να κρίνουμε ποιοι και τι έχουν επηρεαστεί όλοι. Το CloudFlare ισχυρίζεται ότι μόνο ένα λεπτό από ολόκληρη τη βάση δεδομένων έχει διαρρεύσει από το CloudBleed κατόπιν αιτήματος, αλλά αυτό προέρχεται από μια εταιρεία που δεν γνώριζε αυτό το σφάλμα, μέχρις ότου κάποιος από την Google το επεσήμανε συγκεκριμένα. Προσθέστε σε αυτό το γεγονός ότι πολλά από τα δεδομένα αποθηκεύτηκαν σε προσωρινά αποθηκευμένα αρχεία σε άλλους ιστότοπους τρίτου μέρους και ίσως να μην γνωρίζετε ποτέ ποια στοιχεία έχουν παραβιαστεί ή όχι. Αλλά, αυτό δεν είναι όλα. Τα προβλήματα δεν περιορίζονται απλώς στους πελάτες του Cloudflare - εταιρείες που έχουν πολλούς πελάτες Cloudflare καθώς οι χρήστες αναμένεται επίσης να επηρεαστούν.

Η Google έχει επεκτείνει τις δωρεάν λήψεις μουσικής που προσφέρει στην Κίνα για να συμπεριλάβει τραγούδια από καλλιτέχνες από κάθε μία από τις τέσσερις μεγάλες δισκογραφικές εταιρείες των Η.Π.Α., μια προσθήκη που θα μπορούσε να βοηθήσει τους χρήστες να κερδίσουν από την κυρίαρχη κινεζική μηχανή αναζήτησης Baidu. δωρεάν έρευνα αναζήτησης μουσικής κατεβάσετε το περασμένο έτος - μόνο στην Κίνα - για να ανταγωνιστεί μια παρόμοια υπηρεσία που λένε οι αναλυτές ότι ο αντίπαλος Baidu βασίζεται σε σημαντ

Η Google έχει επεκτείνει τις δωρεάν λήψεις μουσικής που προσφέρει στην Κίνα για να συμπεριλάβει τραγούδια από καλλιτέχνες από κάθε μία από τις τέσσερις μεγάλες δισκογραφικές εταιρείες των Η.Π.Α., μια προσθήκη που θα μπορούσε να βοηθήσει τους χρήστες να κερδίσουν από την κυρίαρχη κινεζική μηχανή αναζήτησης Baidu. δωρεάν έρευνα αναζήτησης μουσικής κατεβάσετε το περασμένο έτος - μόνο στην Κίνα - για να ανταγωνιστεί μια παρόμοια υπηρεσία που λένε οι αναλυτές ότι ο αντίπαλος Baidu βασίζεται σε σημαντ

Μια αναζήτηση μουσικής στην κινεζική ιστοσελίδα της Google αποκάλυψε τη Δευτέρα τα δικαιώματα αδειοδότησης ανήκουν στην Sony BMG Music Entertainment, την Warner Music Group, την Universal Music Group και το EMI.

1. Ο Ομπάμα περιγράφει τα σχέδια για την ασφάλεια στον κυβερνοχώρο, αναφέρει ότι υπάρχει σοβαρή απειλή για τον κυβερνοχώρο και η νέα κατεύθυνση ασφάλειας του Ομπάμα κερδίζει έπαινο: Η ασφάλεια στον κυβερνοχώρο θα αποτελέσει κορυφαία προτεραιότητα διαχείρισης για την αμερικανική κυβέρνηση, με σχέδια συντονιστή να επιβλέπει κυβερνητικές προσπάθειες στον τομέα αυτό. "Είναι πλέον σαφές ότι αυτό το Cyberthreat είναι μία από τις πιο σοβαρές προκλήσεις οικονομικής και εθνικής ασφάλειας που αντιμετ

1. Ο Ομπάμα περιγράφει τα σχέδια για την ασφάλεια στον κυβερνοχώρο, αναφέρει ότι υπάρχει σοβαρή απειλή για τον κυβερνοχώρο και η νέα κατεύθυνση ασφάλειας του Ομπάμα κερδίζει έπαινο: Η ασφάλεια στον κυβερνοχώρο θα αποτελέσει κορυφαία προτεραιότητα διαχείρισης για την αμερικανική κυβέρνηση, με σχέδια συντονιστή να επιβλέπει κυβερνητικές προσπάθειες στον τομέα αυτό. "Είναι πλέον σαφές ότι αυτό το Cyberthreat είναι μία από τις πιο σοβαρές προκλήσεις οικονομικής και εθνικής ασφάλειας που αντιμετ

2. Η Bing και η Bing: Μια οπτική περιήγηση για τα νέα: Όπως αναμενόταν, η Microsoft μετονομάστηκε σε προϊόν "Live Bing", καθώς ανακαινίζει την τεχνολογία αναζήτησης και προσπαθεί να κάνει επιδρομές στο Google σε αυτή την αγορά. Το Tom Spring της PC World εξέτασε μια έκδοση προεπισκόπησης και έφυγε εντυπωσιασμένος (δεν υπάρχει μικρό επίτευγμα) και προσφέρει στους αναγνώστες μια οπτική περιήγηση καθώς και την ανασκόπηση του Bing.

Η νέα νομοθεσία που θεσπίστηκε από μια ομάδα νομοθετών των ΗΠΑ θα απαιτούσε από τους προγραμματιστές εφαρμογών κινητής τηλεφωνίας να λαμβάνουν συγκατάθεση από τους καταναλωτές πριν συλλέξουν τα προσωπικά τους δεδομένα και να εξασφαλίσουν τα δεδομένα που συλλέγουν. και Ασφάλειας (APPS), που εισήχθη από τον εκπρόσωπο Χανκ Τζόνσον, έναν Δημοκρατικό της Γεωργίας και άλλους νομοθέτες, θα απαιτούσε επίσης από τους προγραμματιστές εφαρμογών να διατηρούν πολιτικές απορρήτου. Το νομοσχέδιο θα επιτρέψει σ

Η νέα νομοθεσία που θεσπίστηκε από μια ομάδα νομοθετών των ΗΠΑ θα απαιτούσε από τους προγραμματιστές εφαρμογών κινητής τηλεφωνίας να λαμβάνουν συγκατάθεση από τους καταναλωτές πριν συλλέξουν τα προσωπικά τους δεδομένα και να εξασφαλίσουν τα δεδομένα που συλλέγουν. και Ασφάλειας (APPS), που εισήχθη από τον εκπρόσωπο Χανκ Τζόνσον, έναν Δημοκρατικό της Γεωργίας και άλλους νομοθέτες, θα απαιτούσε επίσης από τους προγραμματιστές εφαρμογών να διατηρούν πολιτικές απορρήτου. Το νομοσχέδιο θα επιτρέψει σ

"Πολλοί καταναλωτές δεν γνωρίζουν ότι συλλέγονται τα δεδομένα τους", δήλωσε ο Johnson ανακοινώνοντας τον νόμο APPS το λόγο της Βουλής των Αντιπροσώπων. "Πρέπει να υπάρξουν κανόνες κοινής λογικής του δρόμου για αυτήν την αναδυόμενη πρόκληση."