信息來源:企業(yè)網(wǎng)
網(wǎng)站和手機(jī)應(yīng)用程序信息在哪里泄露?無人知曉。但是,IT部門應(yīng)該考慮怎樣做才能確保信息安全。
如何解除惡意軟件
一旦信息暴露于互聯(lián)網(wǎng),就會永遠(yuǎn)留在那里。雖然內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)提供商Cloudflare已經(jīng)修復(fù)了導(dǎo)致客戶數(shù)據(jù)在網(wǎng)上泄露的代碼問題,這個事件遠(yuǎn)未結(jié)束,因為成千上萬的網(wǎng)站靠該公司提供安全和內(nèi)容優(yōu)化服務(wù)。
本次數(shù)據(jù)泄露變得奇怪且令人沮喪,因為網(wǎng)站管理者并沒有真正搞清楚他們的的信息是否被泄露或者應(yīng)該如何補(bǔ)救。雖然根據(jù)在搜索引擎文檔發(fā)現(xiàn)的數(shù)據(jù),Cloudflare知道哪些客戶受到了影響,但是并不確定具體是什么信息被泄露以及泄露的對象。
Cloudflare有四百萬用戶,其中包括政府、電子商務(wù)網(wǎng)站和金融服務(wù)機(jī)構(gòu),所以產(chǎn)生的連鎖反應(yīng)是巨大的。問題是沒有人知道具體有多大或者是不是很大。
雖然泄露始于9月,但最大的潛在影響是2月12日開始的,Cloudflare的CTO John Graham-Cumming說。目前沒有證據(jù)顯示在代碼修復(fù)之前,有人發(fā)現(xiàn)并開始利用這個安全隱患。
為了最小化損失,IT部門可采取哪些措施
IT管理員很有先見之明設(shè)想他們也受到了影響并采取相應(yīng)行動。
其中一個選擇是強(qiáng)行改變所有用戶的密碼。在網(wǎng)站被盜并不嚴(yán)重的情況下,這樣做可能是不可取的,但是如果管理員證書或者其他敏感證書已經(jīng)暴露,那么中斷可能是必要的,Ryan Lackey(Cloudflare前安全工程師)建議。
IT管理員應(yīng)該主動徹底搜索網(wǎng)站尋找泄露認(rèn)證令牌及用戶證書,David Weinstein(NowSecure 的CTO)提出。如果找到信息,應(yīng)終止會話,為受影響的賬號重新設(shè)置密碼。
如果Cloudflare后臺的應(yīng)用程序使用cookies,那么就要涉及到開發(fā)商,以便了解cookies落入壞人之手的風(fēng)險。如果你是Cloudflare的客戶,應(yīng)馬上進(jìn)入完全風(fēng)險評估模式,Lori MacVittie(F5 Networks技術(shù)專家)說道。
補(bǔ)發(fā)證書更換秘鑰不是微不足道的小任務(wù),尤其是對于大型機(jī)構(gòu)而言。但是假設(shè)他們并未受到影響就如同鴕鳥式反應(yīng),拒絕承認(rèn)存在的問題。所以,IT團(tuán)隊必須全面了解他們使用的秘鑰、在哪里使用以及如何管理。假如他們知道了泄露導(dǎo)致的后果,就可以采取適當(dāng)?shù)拇胧?。否則,他們就不得不決定,是幻想什么也不會發(fā)生,還是咬緊牙關(guān)實施昂貴且全面的證書和秘鑰補(bǔ)發(fā)。
移動應(yīng)用程序也可能會受到影響,因為很多應(yīng)用程序使用與后端相同的瀏覽器內(nèi)容傳送和HTTPS。曾經(jīng)在搜索引擎緩存中發(fā)現(xiàn)了諸如Discord, Fitbit 和Uber之類的應(yīng)用程序的HTTP報頭數(shù)據(jù)報告。NowSecure列出了200 個使用Cloudflare 服務(wù)的iOS應(yīng)用程序。站點應(yīng)該使手機(jī)應(yīng)用程序的認(rèn)證證書失效,并且促使用戶重新注冊應(yīng)用程序和設(shè)備。
雖然這些聽上去只是潛在的警報,但是我們應(yīng)該知道至少有一個區(qū)域仍然安全。Cloudflare的 Graham-Cumming說過屬于客戶的SSL私人秘鑰未被泄露,因為堆處理SSL秘鑰與漏洞代碼使用是完全分開的。
什么導(dǎo)致了Cloudflare泄露數(shù)據(jù)
所有的信息是如何被泄露的?谷歌內(nèi)部的超級黑客團(tuán)隊Project Zero中 的Tavis Ormandy偶然發(fā)現(xiàn)了敏感信息被泄露給一些返回給用戶的響應(yīng)和搜索引擎爬蟲,所以他將其反饋給Cloudflare的工程師。
因為編程失誤影響到三個次要功能(郵件混淆,自動HTTPS重寫以及服務(wù)器端不包括在內(nèi))達(dá)數(shù)月,Cloudflare的系統(tǒng)把服務(wù)器內(nèi)存隨機(jī)塊泄露到用戶能看到的網(wǎng)頁和搜索引擎爬蟲,Cloudflare的Graham-Cumming在公司的詳細(xì)事后析誤中如此講到。
結(jié)果,一個用戶訪問一個Cloudflare技術(shù)支持的網(wǎng)站有可能獲得他人的網(wǎng)站流量,即使那些本應(yīng)被加密隱藏在頁面。包括私人信息、會話cookies、認(rèn)證令牌、POST數(shù)據(jù)、加密秘鑰和用戶證書等信息有可能會被搜索引擎隱藏。這個數(shù)據(jù)有可能在存在于其他緩存中,比如用戶電腦的本地瀏覽器緩存,或者被其他私人運(yùn)行的網(wǎng)絡(luò)搜索服務(wù)保存。
Cloudflare與搜索引擎一起從緩存頁面凈化被泄露的信息,但是誰都無法確定數(shù)據(jù)泄露的影響會持續(xù)多久。