Czy ciągle można polegać na Cloudflare?

15 marca, 2017

Wiele serwisów o tematyce bezpieczeństwa informowało o incydencie, który nagłośnił Travis Ormandy – ten sam, który jakiś czas temu katował programy antywirusowe. Firma Cloudflare padła ofiarą ataku, a wraz z nią jej klienci, których dane zostały zindeksowane przez wyszukiwarki internetowe.

Informatyczne dochodzenie wykazało, że w niektórych wyjątkowych okolicznościach, serwery brzegowe, które obsługiwały dla klientów funkcje zaciemniania adresów e-mail oraz HTTPS rewrite, ujawniały informacje prywatne takie jak: ciasteczka HTTP, tokeny uwierzytelniania HTTP POST i inne poufne dane, które zostały zbuforowane przez wyszukiwarki (w tym przez google.com). Jeśli ktoś wiedział co szukać, z pewnością mógł to znaleźć, ale i tak nie było takie proste. Zespół bezpiecznikowy z Google Project Zero na pewno ma dostęp do ulepszonej wersji wyszukiwarki google.com, z której mógł korzystać Travis Ormandy, kiedy przypadkowo odkrył błąd w systemach Cloudflare podczas przeprowadzania innej analizy.

Firma Cloudflare twierdzi, że zindeksowane informacje nie zawierały żadnych haseł, numerów kart kredytowych, czy medycznej dokumentacji. Nie wyciekły także żadne klucze prywatne SSL. W czasie największego wypływu danych, czyli od 13 do 18 lutego, tylko jedno na około 3300000 żądań HTTP ujawniło niektóre dane użytkowników zebrane z ich przeglądarek. Daje o w najlepszym wypadku 0,000033% wszystkich ujawnionych poufnych informacji, które Cloudflare przetwarza każdego dnia.

Podstawowe pytanie brzmi, jak można było temu zapobiec? Tak duża firma jak Cloudflare powinna przeprowadzać regularnie audyty bezpieczeństwa. Zanim załatano ujawnione przez Travisa błędy w zabezpieczeniach, przeprowadzono pomniejsze prace konserwacyjne filtrów wykorzystywanych w poszczególnych modułach systemów Cloudflare i pewne kwestie przeoczono. Cloudflare to sieć CDN, czyli swojego rodzaju proxy, za którym przechowywane są kopie stron WWW i wyświetlane użytkownikom z ostatniego backupu. Dzięki temu, właściciele stron internetowych otrzymują całkiem sporo dodatkowych funkcji (które często kosztują krocie) i to za darmo, ale ani oni sami, ani użytkownicy nie mogli się ustrzec przed utratą niektórych danych. Nie umniejsza to jednak możliwości Cloudflare, który potrafi:

  • Ukrywać adresy e-mail przed wydobywaniem ich przez roboty (web crawler).
  • Zabezpieczać formularze na stronach internetowych. Cloudflare stanowi świetną ochronę przed botami spamującymi.
  • Zamieniać linki HTTP na HTTPS bez posiadania certyfikatu SSL. Cloudflare zapewnia szyfrowanie za darmo, ale tylko w komunikacji „przeglądarka ↔ kopia strony na Cloudflare”. Do pełnego szyfrowania komunikacji, czyli pomiędzy „przeglądarką ↔ a kopią strony oraz kopią strony ↔ i serwerem VPS / hostingiem”, wymagany jest własny certyfikat SSL.
  • Blokować ataki na CMS. Firewall aplikacyjny dostępny jest w wersji płatnej, za którą trzeba zapłacić od 20 dolarów miesięcznie. Administrator strony otrzymuje rozszerzone wsparcie dla WAF (Web Application Firewall), który na hostingu współdzielonym lub na hostingu z gwarantowanymi / skalowalnymi zasobami (np. dhosting) i bez dostępu do roota nie jest możliwy do wdrożenia na serwerze WWW (Apache lub nginx).
  • Dostarcza technologię Accelerated Mobile Pages (AMP) do przyspieszania stron internetowych wspieraną przez Google.
  • Przyśpieszać wczytywanie się stron internetowych poprzez cache’owanie kodu HTML, JS oraz dostarczanie technologii HTTP/2 i SPDY.
  • Chronić stronę przed atakami DDoS. W planach płatnych, ochrona przed DDoS rozszerzona jest o warstwy sieci 3,4 i 7.
  • Zabezpieczać witrynę internetową przed staniem się źródłem rozsyłania spamu lub złośliwego oprogramowania (w wyniku zhakowania).
  • Dzięki wczytywaniu strony WWW z kopii, oszczędza transfer (limit wyrażony w gigabajtach dla właścicieli tanich hostingów).
  • wiele, wiele więcej.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]