Wiele serwisów o tematyce bezpieczeństwa informowało o incydencie, który nagłośnił Travis Ormandy – ten sam, który jakiś czas temu katował programy antywirusowe. Firma Cloudflare padła ofiarą ataku, a wraz z nią jej klienci, których dane zostały zindeksowane przez wyszukiwarki internetowe.
Informatyczne dochodzenie wykazało, że w niektórych wyjątkowych okolicznościach, serwery brzegowe, które obsługiwały dla klientów funkcje zaciemniania adresów e-mail oraz HTTPS rewrite, ujawniały informacje prywatne takie jak: ciasteczka HTTP, tokeny uwierzytelniania HTTP POST i inne poufne dane, które zostały zbuforowane przez wyszukiwarki (w tym przez google.com). Jeśli ktoś wiedział co szukać, z pewnością mógł to znaleźć, ale i tak nie było takie proste. Zespół bezpiecznikowy z Google Project Zero na pewno ma dostęp do ulepszonej wersji wyszukiwarki google.com, z której mógł korzystać Travis Ormandy, kiedy przypadkowo odkrył błąd w systemach Cloudflare podczas przeprowadzania innej analizy.
Firma Cloudflare twierdzi, że zindeksowane informacje nie zawierały żadnych haseł, numerów kart kredytowych, czy medycznej dokumentacji. Nie wyciekły także żadne klucze prywatne SSL. W czasie największego wypływu danych, czyli od 13 do 18 lutego, tylko jedno na około 3300000 żądań HTTP ujawniło niektóre dane użytkowników zebrane z ich przeglądarek. Daje o w najlepszym wypadku 0,000033% wszystkich ujawnionych poufnych informacji, które Cloudflare przetwarza każdego dnia.
Podstawowe pytanie brzmi, jak można było temu zapobiec? Tak duża firma jak Cloudflare powinna przeprowadzać regularnie audyty bezpieczeństwa. Zanim załatano ujawnione przez Travisa błędy w zabezpieczeniach, przeprowadzono pomniejsze prace konserwacyjne filtrów wykorzystywanych w poszczególnych modułach systemów Cloudflare i pewne kwestie przeoczono. Cloudflare to sieć CDN, czyli swojego rodzaju proxy, za którym przechowywane są kopie stron WWW i wyświetlane użytkownikom z ostatniego backupu. Dzięki temu, właściciele stron internetowych otrzymują całkiem sporo dodatkowych funkcji (które często kosztują krocie) i to za darmo, ale ani oni sami, ani użytkownicy nie mogli się ustrzec przed utratą niektórych danych. Nie umniejsza to jednak możliwości Cloudflare, który potrafi:
- Ukrywać adresy e-mail przed wydobywaniem ich przez roboty (web crawler).
- Zabezpieczać formularze na stronach internetowych. Cloudflare stanowi świetną ochronę przed botami spamującymi.
- Zamieniać linki HTTP na HTTPS bez posiadania certyfikatu SSL. Cloudflare zapewnia szyfrowanie za darmo, ale tylko w komunikacji „przeglądarka ↔ kopia strony na Cloudflare”. Do pełnego szyfrowania komunikacji, czyli pomiędzy „przeglądarką ↔ a kopią strony oraz kopią strony ↔ i serwerem VPS / hostingiem”, wymagany jest własny certyfikat SSL.
- Blokować ataki na CMS. Firewall aplikacyjny dostępny jest w wersji płatnej, za którą trzeba zapłacić od 20 dolarów miesięcznie. Administrator strony otrzymuje rozszerzone wsparcie dla WAF (Web Application Firewall), który na hostingu współdzielonym lub na hostingu z gwarantowanymi / skalowalnymi zasobami (np. dhosting) i bez dostępu do roota nie jest możliwy do wdrożenia na serwerze WWW (Apache lub nginx).
- Dostarcza technologię Accelerated Mobile Pages (AMP) do przyspieszania stron internetowych wspieraną przez Google.
- Przyśpieszać wczytywanie się stron internetowych poprzez cache’owanie kodu HTML, JS oraz dostarczanie technologii HTTP/2 i SPDY.
- Chronić stronę przed atakami DDoS. W planach płatnych, ochrona przed DDoS rozszerzona jest o warstwy sieci 3,4 i 7.
- Zabezpieczać witrynę internetową przed staniem się źródłem rozsyłania spamu lub złośliwego oprogramowania (w wyniku zhakowania).
- Dzięki wczytywaniu strony WWW z kopii, oszczędza transfer (limit wyrażony w gigabajtach dla właścicieli tanich hostingów).
- i wiele, wiele więcej.
