מה הדליפות Cloudbleed לספר לנו על אבטחה מקוונת
כמות מדהימה של אתרי אינטרנט להשתמש proxies הפוכה שירותי הפחתת DDoS כגון Cloudflare (למשל Reddit) כדי להגן עליהם מפני קטסטרופה הגדולות ולשמור על האורות באופן עקבי. שירותים אלה משווקים את עצמם לעתים קרובות כספקיות אבטחה וביצועי שיפור.
עם זאת, בניגוד ישיר לכך, ב -17 בפברואר 2017, באג גדול בתוכנה של Cloudflare גרמה כמות מסיבית של נתונים פרטיים ממיליוני אתרי אינטרנט להיות נגיש בכל נקודת זמן. חלק מהנתונים האלה הופיעו גם בהעתקים המאוחסנים במטמון של אתרים שהופיעו בתוצאות החיפוש של Google. האירוע המסוים הזה, שנודע בשם "קלמבלד", הציג הזדמנות חשובה לדיון על השימוש הבטוח בטכנולוגיה.
מה כל זה?!
עבור uninitiated, Cloudflare הוא שירות הפועל כמתווך בין אתר האינטרנט שלך ואת האינטרנט הרחב. כאשר אתה עובר לאתר המשתמש בשירות, אתה בעצם מתחבר Cloudflare אשר מתחבר לאתר ומשדר את הפלט שלה אליך. זה יהיה מטמון כמה דפים ביקר לעתים קרובות יותר, כך האתר לא צריך לענות בכל פעם שמישהו מתחבר, ובכך להפחית את ההשפעה כי כמויות גדולות של תנועה יש בשרת המקומי. זה גם עוזר להפחית את ההשפעה כי מפיצים של מניעת שירות (DDoS) התקפות יש באתר שלך מאז יש מתווך שיכול לסכל את עיקר ההתקפות האלה, מתנהג כמו סוג של רמזור המאפשר למבקרים חוקיים דרך ועוצר בוטים מסלולים שלהם . Cloudflare ושאר שירותי proxy הפוכה (כמו Incapsula ו Akamai) לעיתים קרובות לשווק את עצמם כמו ספקים של אבטחת האתר.
מה זה ענן?
Cloudbleed הוא אירוע שבו התגלה באג בתוכנה של Cloudflare על ידי חבר בצוות הפרוייקט Zero של Google שחשף הודעות פרטיות מאתרים מרכזיים, נתוני מנהל סיסמאות מקוונות ובקשות HTTPS מלאות ממספר שרתים אחרים. התגובה של Cloudflare לבקשות התחברות היתה מוצפת לעתים קרובות את שטח המאגר שהוקצה להם ומציגה נתונים מכל שאר הלקוחות המגיעים לאתרים בנקודת זמן זו. זה משאיר הכל בחוץ פתוח ומציג סיכון אבטחה קטסטרופלי עבור כל משתמש או בעלות אתרים המסתמכים על השירות.
הבאג תוקן לקראת סוף פברואר, אם כי השירות מודה כי הדלפות נתונים אולי כבר קורה כבר בהקדם של מנתח ה- HTML החדש שלה ב -22 בספטמבר 2016.
לקחים
אם אתה קורא את הסיפורים שלנו במשך זמן מה, ייתכן שתזכור אירוע דומה מאוד המכונה Heartbleed בחזרה בשנת 2014 שבו אתרים באמצעות OpenSSL היו חשופים לניצול זה יכול לחשוף קטעים של נתונים פרטיים למסיבות חטטנות. זה יחד עם carmfuffle האחרון קלמבלד מלמד אותנו לקח אחד יקר: שום דבר הוא מאה אחוז אמין, אפילו לא את השירותים עם המטרה המפורשת של הגנה עליך.
זה לא נועד לשבור קלאודפלייר. הבאג יכול היה לקרות לכל שירות. הנקודה כאן היא כי האינטרנט הוא לא מקום שבו אתה צריך לצפות רמה מובטחת של בטיחות. אתה יכול לעשות כל דבר אפשרי כדי להגן על עצמך ועדיין להישאר בחוץ פתוח על ידי מצב שאין לך שליטה.
מה עליך לעשות?
האמת היא שכפי שכתב ג'וזף שטיינברג, "הסיכון הנוכחי הוא הרבה יותר קטן מהמחיר שישולם בעייפות מוגברת של cybersecurity", דבר שיוביל לבעיות הרבה יותר גדולות בעתיד ". מה שהוא מתכוון לומר כאן הוא כי טבעו של באג עושה את הסיכויים כי הסיסמה שלך דלף אז אסטרונומית נמוכה כי שינוי זה יהיה רק את ההשפעה של לבישת אותך למטה. כאשר משבר אמיתי פוגע, אתה עלול להיות מותש מדי על ידי כל רעש, פאניקה ו hype כי אתה עלול להתעלם שיחה כדי לשנות את הסיסמה שלך ברגע מכריע. ענן הוא לא באותו רגע. אבל בכל האמצעים, אם אתה באמת מרגיש את הצורך לעשות זאת, לשנות את הסיסמה שלך.
חוץ מזה, רק להישאר ערניים ולא להתעלם מיילים מהשירותים שאתה אוהב. ברגע שהמשבר יפגע, סביר להניח שישלחו לך מכתב ידידותי עם כל מה שאתה צריך לדעת על זה ואולי אפילו לספק הצעות על מה שאתה צריך לעשות כדי להבטיח שאתה לא מושפע.
האם אתה חושב כי עייפות cybersecurity קיים כפי שטיינברג מציע? האם אנשים צריכים להיות במצב מתמיד של התראה גם כאשר אין הצדקה חזקה מספיק פאניקה? ספר לנו מה אתה חושב על תגובה!