Ένας εκπληκτικός αριθμός ιστοσελίδων χρησιμοποιεί αντίστροφη πληρεξούσια και υπηρεσίες μετριασμού DDoS όπως Cloudflare (π.χ. Reddit) για να τους προστατεύσει από τις μεγάλες καταστροφές και να κρατήσει τα φώτα συνεχώς. Αυτές οι υπηρεσίες συχνά διακινούνται ως προμηθευτές ασφάλειας και βελτίωσης των επιδόσεων.

Ωστόσο, σε άμεση αντίφαση με αυτό, στις 17 Φεβρουαρίου του 2017, ένα σημαντικό σφάλμα στο λογισμικό του Cloudflare προκάλεσε ένα τεράστιο όγκο ιδιωτικών δεδομένων από εκατομμύρια ιστότοπους που ήταν προσβάσιμα ανά πάσα στιγμή. Ορισμένα από αυτά τα δεδομένα εμφανίστηκαν ακόμη και σε αποθηκευμένα αντίγραφα ιστότοπων που εμφανίστηκαν στα αποτελέσματα αναζήτησης της Google. Αυτό το συγκεκριμένο γεγονός, το οποίο έγινε γνωστό ως Cloudbleed, παρουσίασε μια πολύτιμη ευκαιρία για συζήτηση σχετικά με την ασφαλή χρήση της τεχνολογίας.

Τι είναι όλα αυτά ;!

Για τους αρχαίους, το Cloudflare είναι μια υπηρεσία που λειτουργεί ως μεσάζων μεταξύ της ιστοσελίδας σας και του ευρύτερου Διαδικτύου. Όταν πηγαίνετε σε έναν ιστότοπο που χρησιμοποιεί την υπηρεσία, στην πραγματικότητα συνδέεστε με το Cloudflare το οποίο συνδέεται με τον ιστότοπο και εκπέμπει την έξοδό του σε εσάς. Θα αποθηκευτεί προσωρινά σε μερικές από τις σελίδες που επισκέπτονται συχνότερα, έτσι ώστε ο ιστότοπος να μην χρειάζεται να απαντά κάθε φορά που κάποιος συνδέεται, μειώνοντας έτσι την επίδραση που έχουν μεγάλες ποσότητες επισκεψιμότητας στον τοπικό διακομιστή. Αυτό βοηθά επίσης να μειωθεί ο αντίκτυπος που έχουν οι επιθέσεις διανομής DDoS στον ιστότοπό σας, καθώς υπάρχει ένας μεσάζων που μπορεί να παρεμποδίσει το κύριο βάρος αυτών των επιθέσεων, ενεργώντας ως ένα είδος φανάρι που επιτρέπει στους νόμιμους επισκέπτες μέσω και σταματά τα bots στα ίχνη τους . Το Cloudflare και άλλες υπηρεσίες reverse proxy (όπως Incapsula και Akamai) συχνά διακινούνται ως προμηθευτές της ασφάλειας ιστότοπου.

Τι είναι το Cloudbleed;

Το Cloudbleed είναι ένα γεγονός στο οποίο ανακαλύφθηκε ένα σφάλμα στο λογισμικό του Cloudflare από ένα μέλος της ομάδας Project Zero της Google που αποκάλυψε ιδιωτικά μηνύματα από σημαντικούς ιστότοπους, δεδομένα διαχείρισης διαδικτυακών κωδικών πρόσβασης και πλήρη αιτήματα HTTPS από διάφορους άλλους διακομιστές. Η απάντηση του Cloudflare σε αιτήματα σύνδεσης συχνά θα υπερέβαινε τον διαθέσιμο χώρο προσωρινής αποθήκευσης και θα παρουσίαζε δεδομένα από οποιονδήποτε άλλο πελάτη έχει πρόσβαση σε ιστότοπους εκείνη την χρονική στιγμή. Αφήνει τα πάντα έξω και παρουσιάζει έναν καταστροφικό κίνδυνο ασφάλειας για οποιονδήποτε χρησιμοποιεί ή κατέχει ιστοσελίδες που βασίζονται στην υπηρεσία.

Το σφάλμα είχε διορθωθεί στα τέλη Φεβρουαρίου, παρόλο που η υπηρεσία παραδέχεται ότι διαρροές δεδομένων ενδέχεται να έχουν αρχίσει ήδη από την εισαγωγή του νέου ανιχνευτή HTML στις 22 Σεπτεμβρίου 2016.

Διδάγματα

Εάν έχετε διαβάσει τις ιστορίες μας για λίγο, μπορείτε να θυμηθείτε ένα πολύ παρόμοιο γεγονός γνωστό ως Heartbleed το 2014, στο οποίο οι ιστότοποι που χρησιμοποιούν το OpenSSL ήταν ευάλωτοι σε εκμετάλλευση που θα μπορούσε να εκθέσει θραύσματα ιδιωτικών δεδομένων σε snooping μέρη. Αυτό μαζί με το πιο πρόσφατο φεγγάρι κεραμιδιών μας διδάσκει ένα πολύτιμο μάθημα: τίποτα δεν είναι εκατό τοις εκατό αξιόπιστο, ούτε καν οι υπηρεσίες με σαφή σκοπό την προστασία σας.

Αυτό δεν σημαίνει ότι θα πυροβολήσει το Cloudflare. Το σφάλμα θα μπορούσε να συμβεί σε οποιαδήποτε υπηρεσία. Το σημείο εδώ είναι ότι το Διαδίκτυο δεν είναι μέρος όπου πρέπει να περιμένετε ένα εγγυημένο επίπεδο ασφάλειας. Θα μπορούσατε να κάνετε ό, τι είναι δυνατόν για να προστατευθείτε και να παραμείνετε ανοιχτοί σε μια κατάσταση που δεν έχετε κανέναν έλεγχο.

Τι πρέπει να κάνεις?

Η αλήθεια είναι, όπως γράφει ο Joseph Steinberg από την Inc.Com, «Ο σημερινός κίνδυνος είναι πολύ μικρότερος από την τιμή που θα καταβληθεί σε αυξημένη κόπωση στον κυβερνοχώρο», οδηγώντας σε πολύ μεγαλύτερα προβλήματα στο μέλλον ». ότι η φύση του σφάλματος καθιστά τις πιθανότητες να διαρρεύσει ο κωδικός σας τόσο αστρονομικά χαμηλός ώστε η αλλαγή του θα έχει ως αποτέλεσμα μόνο τη φθορά σας. Όταν μια πραγματική κρίση χτυπά, ίσως να είστε υπερβολικά εξαντλημένοι από όλο τον θόρυβο, τον πανικό και τη διαφημιστική εκστρατεία που μπορεί να αγνοήσετε μια κλήση για να αλλάξετε τον κωδικό σας σε μια κρίσιμη στιγμή. Το Cloudbleed δεν είναι αυτή η στιγμή. Αλλά με κάθε τρόπο, αν αισθάνεστε πραγματικά την ανάγκη να το κάνετε, αλλάξτε τον κωδικό πρόσβασής σας.

Εκτός από αυτό, παραμείνετε σε επαγρύπνηση και μην αγνοείτε μηνύματα ηλεκτρονικού ταχυδρομείου από τις υπηρεσίες που αγαπάτε. Τη στιγμή που θα χτυπήσει μια κρίση, πιθανότατα θα σας στείλουν μια φιλική επιστολή με όλα όσα πρέπει να ξέρετε για αυτήν και ίσως ακόμη και να σας προτείνουν τι πρέπει να κάνετε για να μην επηρεαστείτε.

Πιστεύετε ότι η κούραση της ασφάλειας στον κυβερνοχώρο υπάρχει, όπως προτείνει ο Steinberg; Πρέπει οι άνθρωποι να βρίσκονται σε συνεχή κατάσταση επιφυλακτικότητας ακόμα και όταν δεν υπάρχει επαρκής αιτιολόγηση για πανικό; Πείτε μας τι σκέφτεστε σε ένα σχόλιο!