cloudbleed

Cloudbleed: Di cosa si tratta e come reagire?

Cloudflare, lo sappiamo tutti, è sempre stato sinonimo di: sicurezza; efficienza; stabilità; qualità! … Ma questa volta, invece, il problema “sicurezza” è nato proprio da (a causa di) #Cloudflare ed ha causato un vero e proprio allarme sull’intero web. Stiamo parlando di: Cloudbleed.

Giusto in poche righe, la vulnerabilità – scoperta da Tavis Ormandy (ricercatore alle dipendenze di #Google) – è stata battezzata #Cloudbleed perché ricorda un po’ la “vecchia” e ben nota Heartbleed e sembra sia stata presente dal 22 Settembre 2016 fino al 18 Febbraio 2017 (ma venuta a galla solo negli ultimi giorni e prontamente affrontata da Cloudflare e i vari motori di ricerca). Cosa centrano i motori di ricerca? Il problema è proprio che determinate informazioni “riservate” venivano accidentalmente conservate, causa errata gestione di Cloudflare, nella cache dei motori di ricerca (con tutti i rischi che ne possono derivare). Si parla di messaggi privati; intere chat; password …. anche su siti di incontri (vi immaginate?)!

Detto ciò, prima di tutto dobbiamo capire se il nostro sito usa Cloudflare e quindi se, potenzialmente, è stato interessato dal Cloudbleed (ripeto: problema già risolto da Cloudflare, ma di cui è bene parlare).

Questo sito usa Cloudflare?

 

Se sì, come nel mio caso (qui su laltroweb), otterremo:

cloudbleed-laltroweb
Il sito ci conferma che questo sito usa cloudflare e quindi – potenzialmente – soggetto al Cloudbleed

Un altro modo è cercare negli header della pagina: Url Info: Check Url Tool
e quindi cercare nel primo blocco (header, per l’appunto): Server: cloudflare-nginx (se c’è siamo su cloudflare)!


Perfetto! Sappiamo come verificare se un sito è su Cloudflare o no, e quindi se – potenzialmente – è stato interessato dal Cloudbleed.

Ma, in sintesi, cos’è esattamente il Cloudbleed? E qual è la sua reale portata/diffusione?

Avendo un paio di siti su Cloudflare mi sono inevitabilmente preoccupato, e quindi ho cercato info, letto articoli (ne parla l’intero WWW, e poi chiesto conferma – con il mio maccheronico inglese – a Cloudflare stessa:

Salvatore Noschese – Feb 26, 11:29 AM GMT

Can i Know if my domain (laltroweb.it) is interesting from this issue?

I’ve Know only yesterday this problem! The,, For about two weeks my website is remain with dome important feature disabled (eg: Email obfuscation – I publish email without problem thanks to cloudflare obfuscation feature, but this remain disabled for two weeks without any feedback to me! And this cause all mails will be visible to spammer).


Anyway, now i simple need to know if my website data is exposed cause of this bug or not.

Thanks in advance, and sorry for my poor English,

Kind regards 🙂

S.N.


Simon(Cloudflare) – Feb 26, 3:03 PM GMT

Hi,

Thanks for contacting Cloudflare Customer Support. We have notified all the customers that were affected by the memory leak and I can confirm the zones on your account were not one of them.

Our CTO John Graham-Cumming has published all of the information we have here:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Please let us know if you have any other questions.

Simon

Cloudflare Support | https://support.cloudflare.com

Il link segnalato dall’operatore riporta tutte le info utili – seppur sin troppo tecniche – del caso.


Qui alcune liste pubbliche di siti potenzialmente colpiti (non ho ben capito il criterio, ma son contento che il mio sito non ci sia):


Qui i messaggi di Tavis Ormandy: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 (dove son state pubblicate anche alcune immagini “interessanti”):


Adesso abbiamo le idee un po’ più chiare su cos’è Cloudbleed!

  • Il mio sito sembra proprio non sia stato interessato dal problema e nemmeno i blog che gestisco su AlterVista: Vedi post di Gianluca
  • Il problema, in ogni caso, sembra sia stato risolto prontamente da Cloudflare in collaborazione con Google e gli altri motori di ricerca;
  • Gli amministratori dei siti interessati, mi è sembrato di capire, sono stati avvisati ed è stato consigliato loro di prendere i provvedimenti utili del caso (esempio: cambiare password ed avvisare i loro utenti di fare altrettanto);
  • Sul web se ne parla tantissimo, e se ne parlerà in eterno – questo è certo: https://en.wikipedia.org/wiki/Cloudbleed
  • Cloudflare ci perde tantissimo dopo questa storia, e non sarà facile recuperare la fiducia (sbagliare è umano, ma se sbagli tu che dovresti occuparti della mia sicurezza siam proprio fregati…)!

 

Da tutto ciò, si ritorna al solito discorso:

la sicurezza è pura utopia!

i nostri dati, le nostre password, le nostre conversazioni private, le nostre immagini e i nostri video …

basta poco affinché tutto diventi “pubblico” e pubblico può voler dire non solo conoscenti, amici e parenti, ma praticamente il mondo intero!!!

… bisogna stare attenti, ma – come questa esperienza insegna – tutta l’attenzione del mondo, purtroppo, non basta.

 

Spero di avervi offerto qualche utile spunto su cui riflettere.

Se avete qualcosa da aggiungere, il form dei commenti è proprio qui sotto (anche per i visitatori) 😉

 


Aggiornamento!!!

Martijn G.

Update on the Cloudflare Parser Bug

Our customers are what matter most to us. Thank you for the time and effort many of your teams spent analyzing your risk exposure and your own communications plans, internally and with your customers. In an effort to continue to be transparent for our customers’ benefit, we want to share our findings along the way.

Last Thursday February 23rd we released information about the Cloudflare parser bug that resulted in data flowing through Cloudflare’s network getting leaked onto the Internet. Over the past 72 hours, we have spoken with many of you, and we have clearly heard your concern about the uncertainty surrounding this bug.

We have continued our investigation into this bug non-stop since its discovery, and today we have released the results of our analysis so far. We encourage you and your technical teams to read the results of our research here: https://blog.cloudflare.com/quantifying-the-impact-of-cloudbleed/

The summary is that, while the bug was very bad and had the potential to be much worse, based on our analysis so far:

  1. We have found no evidence based on our logs that the bug was maliciously exploited before it was patched
  2. The vast majority of Cloudflare customers had no data leaked
  3. After a review of tens of thousands of pages of leaked data from search engine caches, we have found a large number of instances of leaked internal Cloudflare headers and customer cookies, but we have not found any instances of passwords, credit card numbers, or health records
  4. our review is ongoing.

We continue to have teams on standby here to help. For any open questions, please email [email protected] and we will address your questions to the best of our ability.

Best Regards,

Martijn Gonlag
Cloudflare | Support Engineer




Lascia un commento