反抗期・終わるとスグに・更年期
・・・キリがない・・・
ドメイン名サーバシステムやコンテンツデリバリーネットワークを提供する企業のCloudflare
コードのバグによって、パスワード、個人情報、メッセージ、クッキー、その他諸々の膨大な情報をインターネット中に流出していた
Googleのセキュリティ分析チーム、Project ZeroのメンバーであるTavis Ormandyさん
が脆弱性を報告した直後から
世界でも有数のオンラインセキュリティ企業であるCloudflareは即座に対策
彼らによれば、Ormandy氏の最初のツイートから44分後には漏洩を止めた
・・・さすが・・・というかアタリマエなんだけど
このアタリマエができないトコがアチコチ
問題は、Ormandyさんからバグの報告を受けるまで
Cloudflareのサービスを使っていたウェブサイトは何ヵ月もデータが漏洩していた
同社によると、漏洩が始まったのは2016年の9月から
彼らがコードを修正する前に悪質なハッカーが脆弱性に気付いて悪用?
Cloudflareの顧客には様々な大手オンラインサービスが
Uber、OKCupid、1Password(1Passwordはユーザーのデータは安全だと発表しましたが)FitBitなど
つまり、センシティブな個人情報が想像を絶する量で漏れてしまった可能性が
Cloudbleedのように大きなセキュリティの脆弱性は、被害の全貌が見えてくるまでに時間が?
とりあえず私たちは、パスワードを変えるべき
もちろん全部
そして可能であれば二段階認証を導入
そもそもCloudflareとは?
Cloudflareという名前には馴染みがないかもしれません
私たちが好んで使うオンラインサービスの多くは彼らの技術を使っている
Cloudflareは自分たちをオンラインパフォーマンス・セキュリティ企業と呼んでいます
元々はスパムの発信源を追うアプリだけでした
現在ではあらゆるサービスをウェブサイトに提供
例えばコンテンツデリバリー、ドメイン名サーバシステム、更にDDoS攻撃に対する防衛などのセキュリティサービスも提供
彼らがセキュリティ企業である、ということが今回の騒動をより皮肉に
様々な企業が、お金を払ってCloudflareにデータを守ってもらっている
まさに今回は、その真逆が起きた
Ormandyさん
「私の調査をCloudflareに知らせました。大手デートサイトのプライベートメッセージや、某有名チャットサービスの会話全文、パスワードマネージャーのデータ、アダルトビデオサイトの動画のフレーム、ホテルのブッキングなどのデータが発見されたのです。私が言っているのは、HTTPSリクエスト全文、クライアントIPアドレス、レスポンス全文、クッキー、パスワード、キー、データ、全てということです」
彼によれば、2月中の5日間だけで、3,438のドメインからデータが流出した
Cloudbleedの仕組み
Cloudflareのコードのたった一文字が脆弱性につながった
悪質な行為があったというよりは単純なコーディングのミス
判明した事実から見ると
Cloudbleedは情報が特定のプロセスの最中に漏れるところが少しHeartbleedに似ています
被害の規模に関しても、多くのウェブサイトで使われている一般的なセキュリティサービスが影響を受けるので、Heartbleed並の規模になる可能性が
Cloudflareの公式ブログ
そもそもの事の発端はHTMLパーサーをcf-htmlに変更したこと
HTMLパーサーとは、コードを読み取って開始タグや終了タグなど必要な情報を抽出するアプリケーション
これによってコードの変更が簡単に
Cloudflareがcf-htmlのソースと、以前から使っていたパーサーRagelのソースを自分たちのソフトウェアに対応させるために書き直したことで問題が発生
コードのちょっとしたミス
「>=」であるべきところが「==」だった
からバッファオーバーフローが起こった
つまり、領域に限りがある、一時的なデータの格納場所であるバッファに
ソフトウェアがデータを書き込み続け
メモリを使い切ってしまった後に別の場所にデータを書き込んでしまう
(より詳細な説明はCloudflareのブログにあります)
簡単に言えば、Cloudflareのソフトウェアはデータを正しい場所に書き込んでいたのですが
そこが完全に埋まってしまったので別の場所…
例えば、全然違うウェブサイトにデータを書き込んでしまった
データにはAPIキーやプライベートメッセージなども含まれます
しかもデータはGoogleや他の検索サイトにキャッシュされているので
Cloudflareはハッカーがそれらを見つける前に全て削除しなければ・・・
自分も被害に遭ったのか?
どのサイトが被害に遭ったのかは依然不透明
Cloudflareによればデータ漏えいに繋がったリクエストはごく少数だった
ただ6ヵ月もの間野放しになっていた以上、どれだけの情報が漏洩したのか?
さらに、あらゆるサイトでキャッシュされている
漏洩を止めた後も残ったデータを消すために全てのサイトと協力?
問題はそれだけではなく
Cloudflareのサービスを使っていないサイトでも
Cloudflareユーザーが多く利用している場合
漏洩したデータがサイトに残っているかも・・・
起業家でありセキュリティ専門家でもあるRyan Lackeyさん
ブログ投稿で参考になるアドバイスを
彼の会社、CryptoSealは2014年にCloudflareに買収されました
CloudflareはUber、FitBit、OKCupidなどの大手ウェブサービスに技術を提供しています
なので、自分の使っているどのサービスがCloudflareを使っているのかを調べようとするより
この機会に全てのパスワードを変更
また、今回のアップデート後にはモバイルのアプリを一度ログアウト
再ログイン
それと、もし可能であれば、大切だと思うサービスには二段階認証を使う
ハッカーに対する最善の防護策
もちろん、ネット上では本当にセキュアなものなど存在しないし
二段階認証を行っているものですらCloudbleedは漏洩してしまうかも・・・
Lackeyさん
今回の漏洩で一個人が被害を受ける確率は低い?
フィッシングなどの方がより危険
またCloudflareは、漏洩の起きたサイトの多くは
忘れられたWordPressブログ
しかしLackeyさん
この問題が最も恐ろしいのは、これがあくまで些細なレベルであるということ
「これはCloudflareにとって最も小さなレベルの漏洩です。ということは、それより多少大きなレベルの漏洩でも、インターネット全体の脅威になりかねません」
確かに、たった一文字の間違いでここまでの問題になるなら、一行のコードに問題が出たらどういうことに?
・・・いや同じだと・・・
文字の多少でなくドコのドウユウ間違いか
ドコでドイユウ使い方をしているかで・・・
Cloudflareのようなバックボーンのシステムに関して、私たちが対策出来ることはほぼない
できることは
とにかく自己防衛に努め
定期的にパスワードを変えたり、二段階認証を導入したり
ハッキングを未然に予防することくらい
・・・
どっかの銀行から顧客情報が~とか、ヤフーからとかのレベルじゃないってこと
ドコのダレでもアブナイ
もしかしたら顔文字を集めてたCIAとか人民解放軍、おそロシアのマフィアも・・・
たま~にワタスも簡単な***をイジることがアるけど
どんなに完璧?にやったツモリでも穴がある
そういうモノだと思ってヤるしかない
使ってる内に不具合が分って・・・
Winのアップデートとか、そんなカンジ
今日は~
デンドロビウム アベランス/Dendrobium aberrans
え~家のコがイっちゃったんで・・・
しょうこりもなく
このコ初日には無かった
で、今度は冬はもっと水を切り気味に・・・
と考えております
・・・今度の個体は小さいんで
ミニ温室もアリ?
今日
買ってきたままで土を替えたい多肉
寄せ植えなんかのの多肉の植替え
まだ早いけど
先々イロイロ手をつけなきゃいけないのが目白押し
たぶん・・・大丈夫
2017/3/21
加筆
0 件のコメント:
コメントを投稿