Cloudbleed: Wie gehe ich damit um?

Tavis Ormandy (Tavis Ormandy) von Googles Project Zero deckte eine große Sicherheitslücke im Cloudflare-Internetinfrastrukturdienst auf. Im Wesentlichen erhielten Webanfragen zu von Cloudflare unterstützten Websites Antworten, die zufällige Informationen von anderen von Cloudflare unterstützten Websites enthielten! Diese Informationen können möglicherweise vertrauliche Informationen (private Nachrichten auf Dating-Websites, E-Mails), Informationen zur Benutzeridentität (personenbezogene Daten) und möglicherweise im Zusammenhang mit dem Gesundheitswesen, geschützte Gesundheitsinformationen (Protected Health Information, PHI) oder Benutzer-, Anwendungs- oder Geräteanmeldeinformationen enthalten (Passwörter, API-Schlüssel, Authentifizierungstoken usw.)

Sowohl Project Zero als auch Cloudflare haben umgehend reagiert. Der Fehler wurde am 17.02.2017 gemeldet und innerhalb einer Stunde wurde eine Abhilfemaßnahme durchgeführt. Die öffentliche Bekanntmachung erfolgte am 23.02.2017.

Die Dauer (2016–09–22 bis 2017–02–20) und die potenzielle Breite der bereitgestellten Informationen sind enorm. Cloudflare verfügt über mehr als 2 Millionen Websites in seinem Netzwerk, und Daten aus diesen Websites sind potenziell verfügbar. Laut Cloudflare ist die tatsächliche Auswirkung relativ gering, daher glaube ich, dass nur begrenzte Mengen an Informationen tatsächlich verbreitet wurden. Grundsätzlich war ein breites Spektrum an Daten potenziell gefährdet, das Risiko für einzelne Daten war jedoch sehr gering. Unabhängig davon, ob der schlüssige Nachweis erbracht werden kann, dass Ihre Daten NICHT kompromittiert wurden, ist es ratsam, die Möglichkeit einer Kompromittierung in Betracht zu ziehen.

Während der Cloudflare-Dienst schnell gepatcht wurde, um diesen Fehler zu beheben, gingen vor diesem Zeitpunkt ständig Daten verloren - monatelang. Einige dieser Daten wurden in Suchmaschinen wie Google öffentlich zwischengespeichert und werden entfernt. Andere Daten können in anderen Caches und Diensten im Internet vorhanden sein, und es ist offensichtlich unmöglich, das Löschen über alle diese Orte hinweg zu koordinieren. Es gibt immer das Potenzial, dass ein Angreifer diese Sicherheitsanfälligkeit unabhängig und vor Tavis entdeckt hat und sie möglicherweise aktiv ausnutzt, aber es gibt keine Beweise, die diese Theorie stützen. Leider ist es auch schwierig, schlüssig zu widerlegen.

Die vertraulichsten Informationen, die verloren gehen, sind Authentifizierungsinformationen und Anmeldeinformationen. Ein Kompromiss mit diesen Daten kann dauerhafte und anhaltende Folgen haben, bis die Anmeldeinformationen widerrufen und ersetzt werden.

Aus individueller Sicht ist dies unkompliziert - die effektivste Lösung besteht darin, Ihre Kennwörter zu ändern. Dies ist aller Voraussicht nach nicht erforderlich (es ist unwahrscheinlich, dass Ihre Kennwörter bei diesem Vorfall offen gelegt wurden), es wird jedoch Ihre Sicherheit sowohl vor diesem potenziellen Kompromiss als auch vor vielen anderen, weitaus wahrscheinlicheren Sicherheitsproblemen verbessern. Cloudflare steht hinter vielen der größten Webdienste für Endverbraucher (Uber, Fitbit, OKCupid, ...). Anstatt zu ermitteln, welche Dienste in Cloudflare enthalten sind, ist es am vorsichtigsten, diese Option zu verwenden, um ALLE Kennwörter auf allen Ihren Websites zu rotieren . Dies verbessert Ihre Sicherheit, obwohl der Hauptnutzen von Bedrohungen ausgeht, die nicht mit diesem Vorfall zusammenhängen.

(Es wird empfohlen, für jedes Kennwort eine lange zufällige Zeichenfolge zu verwenden, die für jede Site eindeutig ist, und diese Sammlung mit einem „Kennwortmanager“ wie 1Password, LastPass oder den in modernen Webbrowsern integrierten Kennwortmanagern zu verwalten. Benutzer Nach diesem Update sollten Sie sich auch bei ihren Mobilanwendungen abmelden und anmelden. Wenn es möglich ist, 2FA oder 2SV für Websites zu verwenden, die Sie für wichtig halten (z. B. mit TOTP / Google Authenticator oder U2F), ist dies von Bedeutung Sicherheitsupgrade auch.)

Für Website-Betreiber, die Cloudflare verwenden: Auch wenn dies störend sein kann, sollten Sie die Auswirkungen auf Ihre Benutzer ernsthaft in Betracht ziehen. Nutzen Sie diesen Vorfall als Gelegenheit, um Ihren Vorfallbehandlungsprozess zu trainieren - besprechen Sie die spezifischen Auswirkungen auf Ihre Anwendung und welche Reaktion am sinnvollsten ist (wahrscheinlich für jeden Standort oder jede Anwendung unterschiedlich) . andere Kosten. Achten Sie darauf, sie nicht zu „erschrecken“, aber es kann ratsam sein, Maßnahmen zu ergreifen. Zumindest würde ich eine „Bestandsantwort“ zur Unterstützung dieses Vorfalls vorbereiten und im Unternehmens- oder B2B-Kontext proaktiv mit Kunden über das Ausmaß des Vorfalls und dessen Auswirkungen auf Ihre Anwendung und deren Daten kommunizieren. Für die überwiegende Mehrheit der Websites auf Cloudflare ist dies wahrscheinlich ausreichend.

Das Erzwingen einer Änderung des Benutzerkennworts ist mit sehr hohen Kosten verbunden. Benutzer verlieren möglicherweise das Vertrauen in Ihren Dienst und dies ist eine Unannehmlichkeit. Es scheint nicht, dass eine große Anzahl von Anmeldeinformationen kompromittiert wurde. Daher lohnt es sich für einen Verbraucherdienst mit begrenztem Risiko für kompromittierte Konten möglicherweise nicht, Kennwörter massenhaft zu ungültig zu machen und eine Änderung zu erzwingen. Für Administratoranmeldeinformationen oder für Websites, die über Cloudflare hochsensible Informationen verarbeiten, lohnt es sich wahrscheinlich, eine Kennwortaktualisierung zu erzwingen, wenn keine quantifizierbare maximale Gefährdung vorliegt. Wenn Sie andere Gründe hätten, ein Passwort-Update an alle Ihre Benutzer zu senden, wäre dies natürlich ein zusätzlicher Entscheidungsfaktor.

Websites sollten Authentifizierungsinformationen für mobile Anwendungen und die Kommunikation zwischen Computern (IoT-Geräte usw.) ungültig machen und Benutzer dazu zwingen, Apps und Geräte erneut zu registrieren, wenn sie Cloudflare als Infrastrukturanbieter verwenden. Wenn Sie keine Änderung der Kennwörter erzwingen möchten, besteht ein praktikabler Zwischenschritt darin, Authentifizierungstoken ungültig zu machen und Benutzer dazu zu zwingen, sich mit ihren vorhandenen Kennwörtern erneut anzumelden. Da Authentifizierungstoken häufiger zwischen Browser und Server übertragen werden, besteht eine weitaus höhere Wahrscheinlichkeit, dass sie in einem zufälligen Speicherverlust des Servers auftreten als unformatierte Kennwörter. Das Erzwingen einer erneuten Anmeldung wirkt sich nur minimal auf die Benutzer aus und erfordert möglicherweise keine bestimmten Nachrichten oder Benachrichtigung.

Darüber hinaus sollten Websites, die sich nicht in Cloudflare befinden, aber viele Benutzer haben, die von Cloudflare gehostete Websites verwenden (im Wesentlichen große Websites oder Websites für Endverbraucher im Internet), das Erzwingen von Benutzer-Kennwortänderungen in Betracht ziehen, falls ihre Benutzer auf den einzelnen Websites dieselben Kennwörter erneut verwendet haben . Dies ist wahrscheinlich für die große Mehrheit der Sites nicht gewährleistet (jeder, der so hohe Sicherheitsanforderungen hat, dass dies sinnvoll wäre, sollte eine Authentifizierungsinfrastruktur verwenden, die weitaus stärker ist als Benutzerkennwörter). Andernfalls ist es fast sicher, dass Benutzer Kennwörter mit einer gefährdeten Site wiederverwenden ), aber es kann eine Möglichkeit sein. Persönlich würde ich dies als Gelegenheit nutzen, um meine gesamte Authentifizierungsinfrastruktur in einem solchen Fall zu aktualisieren - die Bereitstellung von 2FA (idealerweise U2F oder besser, oder vom Benutzer wählbares TOTP / HOTP, nicht SMS), die Überwachung der Kontoaktivität usw. - anstatt sich zu beeilen eine Änderung wie das Ungültigmachen von Passwörtern. Eigenständige Kennwörter im Internet werden für die Benutzerauthentifizierung nicht mehr empfohlen.

Wenn sich Ihre Anwendung oder Website in Cloudflare befindet und Branchen- oder nationalen Vorschriften unterliegt, kann dies ein meldepflichtiger Vorfall sein. (Beispiele wären Bedenken hinsichtlich des Gesundheitsschutzes / der Privatsphäre bei HIPAA). Ihre Sicherheits- und Compliance-Teams sollten eine Bewertung vornehmen. Die vollständige Einhaltung der geltenden Vorschriften ist natürlich ein wesentlicher Bestandteil der Sicherheit.

Subjektiv bin ich der Meinung, dass dies ein ernstes Sicherheitsproblem ist und von jedem wichtigen Dienst, der Cloudflare verwendet, bewertet werden sollte. Es ist wahrscheinlich kein "Ende der Welt" in der Schwere, da gefährdete Daten, sofern sie nicht vorsätzlich ausgenutzt wurden, wahrscheinlich nach dem Zufallsprinzip über das Internet verteilt werden. Das Vorhandensein von Daten in durchsuchbaren Caches kann jedoch eine Ausbeutung in geringem Umfang ermöglichen. Da die Abschwächung für Endbenutzer im Allgemeinen ein guter Rat ist (verwenden Sie einen Passwort-Manager, verwenden Sie eindeutige zufällige Passwörter pro Site, wechseln Sie bei jeder Kompromittierung), ist dies für die meisten sicherheitsbewussten Endbenutzer ein Kinderspiel. Für die Website-Betreiber hängt die Entscheidung von Ihrer spezifischen Nutzerbasis und deren Sicherheitsstufe und Risikotoleranz ab. Ich bin sehr dankbar für die laufende Arbeit von Googles Project Zero (insbesondere Tavis) und für die rasche Reaktion von Cloudflare auf dieses Problem.