L'ultimo guaio di sicurezza informatica si chiama Cloudbleed

L'ultimo guaio di sicurezza informatica si chiama Cloudbleed

Come sempre, a rischio dati sensibili e privati degli utenti, anche se fino ad ora non è ben chiara l'estensione del problema. La falla è comunque già stata tappata, anche se il bug è stato sfruttato almeno fin da settembre

di pubblicata il , alle 11:34 nel canale Sicurezza
 

Si chiama Cloudbleed ed è l'ultimo guaio, relativo alla sicurezza informatica, venuto a galla nei giorni scorsi: il provider di servizi di sicurezza e CDN (Content Delivery Network) Cloudflare ha subito una violazione che ha messo a rischio informazioni potenzialmente sensibili degli utenti di svariati siti web che si affidano, appunto, ai suoi servizi.

E' Tavis Ormandy di Google Project Zero, che ha scoperto e segnalato il problema a Cloudflare, a battezzare il problema Cloudbleed ispirandosi al famoso bug Hearthbleed verificatosi nel 2014. Stando alle informazioni disponibili fino ad ora Cloudbleed interessa circa 3400 siti web. I servizi di Cloudflare sono utilizzati da circa 5,5 milioni di siti in tutto il mondo.

Cosa è accaduto, nel concreto? La causa è imputabile ad un bug che ha portato ad "buffer overflow", permeettendo ad alcune pagine HTML servite dalla rete di Cloudflare di rispondere a richieste con frammenti casuali di informazioni. La maggior parte degli indirizzi web inizia con il prefisso http:// che sta a significare l'uso del protocollo di trasmissione hypertext. Quando si visita un sito web sicuro, come quello di una banca o qualsiasi schermata di immissione di credenziali di account, il prefisso è https:// ad indicare, appunto, l'uso di un canale di comunicazione sicuro. Cloudflare si occupa di trsferire le informazioni immesse nelle pagine https tra l'utente ed il server in maniera sicura. Purtroppo, però, a causa di del bug alcune di queste informazioni sono state imprevedibilmente salvate quando non avrebbero dovuto. L'ulteriore problema è che alcune di queste informazioni sono rimaste nella cache di motori di ricerca come Google, Bing e Yahoo. E' difficile poter dire quale genere di informazione possa essere caduta nelle mani degli hacker, in quanto i dati trafugati possono riguardare un nome utente, una password, una foto, un frammento di video o informazioni riguardanti server o protocolli di sicurezza

Cloudbleed è ora stato neutralizzato: Cloudflare, una volta a conoscenza del problema ed individuatolo nel suo parser HTML, ha eliminato il bug in circa tre quarti d'ora e ha risolto il problema in 7 ore e in questo intervento sul proprio blog ha dettagliato (anche dal punto di vista tecnico) quanto accaduto. La violazione, però, sembra essere stata in corso almeno da settembre, con un picco di attività tra il 13 ed il 18 febbraio. E' già noto che tra i clienti di Cloudflare che sono stati toccati dal problema vi sono Uber, Fitbit e OKCupid, anche se il numero è probabilmente molto più alto. Le società citate hanno già comunicato su Twitter di essere state messe a conoscenza del problema.

E' invece difficile poter affermare con sicurezza quanti utenti possano essere stati toccati dal problema. Cloudflare afferma che nel corso della fase di picco circa 1 richiesta HTTP su 3,3 milioni ha avuto come esito potenziale un leak dalla memoria. Si tratta dello 0,00003% delle richieste.

Cosa si può fare ora? Cioè che è accaduto è accaduto e indietro non si può tornare. Lato utente è possibile, invece, dispensare i soliti consigli pregni di buonsenso: se si fa uso di siti web che sfruttano Cloudflare (qui potete scoprirlo) è bene cambiare password e, come sempre, effettuare una rotazione delle password di tutti i propri account. Se possibile, ove previsto, utilizzare un sistema di verifica dell'identità a due fattori così da rendere sempre più difficile l'accesso alle nostre informazioni riservate.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie27 Febbraio 2017, 13:18 #1
Non ho capito come ed in che modo, ma c'è in ballo una legge per rendere la criptazione dei dati obbligatoria su HD in base a certi dati...

tanto poi ci pensano nel cloud a perderli...
Sandro kensan27 Febbraio 2017, 14:40 #2
Ma se cloudflare ha tutti i nostri dati che trasmettiamo e riceviamo da un sito Internet allora tutti i siti internet che usano cloudflare (e sono la maggior parte) sono sicuri solo se cloudflare non vende i nostri dati oppure se non ha ingiunzioni USA di conservare/filtrare/intercettare i nostri dati.

Vuol dire che la NSA quando ha messo i propri software su cloudflare (come ha messo Yahoo) ha intercettato il 50% dei siti e del traffico mondiale.
Zenida27 Febbraio 2017, 20:17 #3
Ho avuto a che fare con cloudflare sull'host di Altervista... mai più.

Tutti i benefici mirabolanti di velocità (e ora di sicurezza) che vantavano sono stati smentiti in pochissimo tempo.

Il difetto più grave è che per velocizzare i caricamenti fornisce una copia cache come layer supplementare al browser che visita il sito. Questo per dimezzare i tempi di caricamento fornendo un servizio migliore. Peccato che questa cache può essere anche molto vecchia. Infatti, io che sviluppavo su Altervista, ad ogni modifica non vedevo mai i cambiamenti se non dopo moltissimo tempo. Inutile cancellare la cache del browser, è Cloudflare a fornire una copia cache obsoleta.
Inoltre, maschera il codice originale, quindi, quando dovevo scovare un bug, mi riportava la riga di un file che non esisteva realmente sull'host.

Per gli sviluppatori non è il massimo avere a che fare con questi servizi. Sono più le rogne che ti portano, che non i vantaggi
Wikkle27 Febbraio 2017, 21:22 #4
Originariamente inviato da: Zenida
Ho avuto a che fare con cloudflare sull'host di Altervista... mai più.

.............io che sviluppavo su Altervista...........

Per gli sviluppatori non è il massimo avere a che fare con questi servizi.


Anche sviluppare su Altervista è un bel grattacapo..
Agat28 Febbraio 2017, 00:01 #5
Ma solo io m'aspettavo/o un FBI seizing

http://crimeflare.com/
Robotex28 Febbraio 2017, 03:46 #6
Originariamente inviato da: Zenida
Il difetto più grave è che per velocizzare i caricamenti fornisce una copia cache come layer supplementare al browser che visita il sito. Questo per dimezzare i tempi di caricamento fornendo un servizio migliore. Peccato che questa cache può essere anche molto vecchia. Infatti, io che sviluppavo su Altervista, ad ogni modifica non vedevo mai i cambiamenti se non dopo moltissimo tempo. Inutile cancellare la cache del browser, è Cloudflare a fornire una copia cache obsoleta.
Inoltre, maschera il codice originale, quindi, quando dovevo scovare un bug, mi riportava la riga di un file che non esisteva realmente sull'host.

Per gli sviluppatori non è il massimo avere a che fare con questi servizi. Sono più le rogne che ti portano, che non i vantaggi


Non so se hai mai acceduto al pannello di CloudFlare, ma ha un pulsante "Cancella cache" e ha apposta un interrutore "Modalità sviluppo" che scavalca completamente la cache e le ottimizzazioni proprio per le necessità che hai nominato.
fano28 Febbraio 2017, 10:22 #7
Ragazzi tutto molto bello, ma sto parser HTML lo hanno scritto in C? Lo hanno fatto a botte di scanf()? Come si può nel 2017 per cose che devono di estrema sicurezza usare un linguaggio degli anni '50?

Io lo trovo incredibile...
Riccardo8228 Febbraio 2017, 11:49 #8
Hanno usato RAGEL che genera codice C / C++ e ASM.

Inoltre non è colpa di Ragel ma della loro implementazione.


CloudFare va usato in produzione.
Per i test e la per-produzione ci vogliono degli ambienti differenti per permettere a chi sviluppa di poter sistemare eventuali bug.

Quindi non è colpa di CloudFare se viene usato in modo improprio...

A maggior ragione che, come dice Robotex, per ragioni commerciali e di targheting ti permette di disabilitare aclune fuznioni dal pannello di controllo.














polhallen28 Febbraio 2017, 14:04 #9
che beffa ricevere un'email da project zero Google e leggere un problema del genere.
Zenida01 Marzo 2017, 19:54 #10
Originariamente inviato da: Wikkle
Anche sviluppare su Altervista è un bel grattacapo..

Da hobbysta e non da professionista è una scelta forzata se cerchi un host gratuito con funzionalità minime degne di nota. A parte i downtime elevati, il resto non è proprio da buttare.
Originariamente inviato da: Robotex
Non so se hai mai acceduto al pannello di CloudFlare, ma ha un pulsante "Cancella cache" e ha apposta un interrutore "Modalità sviluppo" che scavalca completamente la cache e le ottimizzazioni proprio per le necessità che hai nominato.

Fatto! E anche ripetutamente. Non avviene in tempo reale, c'è comunque da aspettare. Ma questo non risolve il problema del codice mascherato.
Originariamente inviato da: Riccardo82
Hanno usato RAGEL che genera codice C / C++ e ASM.

Inoltre non è colpa di Ragel ma della loro implementazione.


CloudFare va usato in produzione.
Per i test e la per-produzione ci vogliono degli ambienti differenti per permettere a chi sviluppa di poter sistemare eventuali bug.

Quindi non è colpa di CloudFare se viene usato in modo improprio...

A maggior ragione che, come dice Robotex, per ragioni commerciali e di targheting ti permette di disabilitare aclune fuznioni dal pannello di controllo.

In effetti la cosa migliore è lavorare in locale e poi caricare tutto sull'host. Ma configurare il WAMP in maniera identica all'host non porta mai ad un risultato identico al 100%.

Ovviamente, è la cosa migliore da fare. Ma solo se stiamo parlando di un lavoro professionale.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^