Eine erstaunliche Anzahl von Websites verwendet Reverse-Proxies und DDoS-Mitigationsdienste wie Cloudflare (z. B. Reddit), um sie vor größeren Katastrophen zu schützen und das Licht konstant zu halten. Diese Dienste vermarkten sich häufig selbst als Anbieter von Sicherheit und Leistungssteigerung.

In direktem Widerspruch dazu, am 17. Februar 2017, verursachte ein großer Fehler in der Software von Cloudflare, dass eine große Menge an privaten Daten von Millionen von Websites jederzeit zugänglich war. Einige dieser Daten wurden sogar auf zwischengespeicherten Kopien von Websites angezeigt, die in den Suchergebnissen von Google angezeigt wurden. Diese besondere Veranstaltung, die als Cloudbleed bekannt wurde, bot eine wertvolle Gelegenheit für eine Diskussion über die sichere Nutzung von Technologie.

Was ist das alles?!

Für den Uneingeweihten ist Cloudflare ein Dienst, der als Vermittler zwischen Ihrer Website und dem weiteren Internet fungiert. Wenn Sie eine Website aufrufen, die den Dienst verwendet, stellen Sie eine Verbindung zu Cloudflare her, die sich mit der Site verbindet und die Ausgabe an Sie weiterleitet. Es werden einige der häufiger besuchten Seiten zwischengespeichert, sodass die Website nicht jedes Mal, wenn eine Verbindung hergestellt wird, antworten muss. Dadurch werden die Auswirkungen großer Datenmengen auf den lokalen Server verringert. Dies trägt auch dazu bei, die Auswirkungen von DDoS-Angriffen (Distributed Denial of Service) auf Ihre Website zu reduzieren, da es einen Zwischenhändler gibt, der die Hauptlast dieser Angriffe abwehren kann und als eine Art Ampel dient, die Besucher legitimiert und Bots in ihrer Spur stoppt . Cloudflare und andere Reverse-Proxy-Dienste (wie Incapsula und Akamai) vermarkten sich häufig als Anbieter von Website-Sicherheit.

Was ist Cloudbleed?

Cloudbleed ist ein Ereignis, bei dem ein Fehler in der Cloudflare-Software von einem Mitglied des Project Zero-Teams von Google entdeckt wurde, das private Nachrichten von großen Websites, Online-Passwort-Manager-Daten und vollständige HTTPS-Anfragen von mehreren anderen Servern aufdeckte. Die Antwort von Cloudflare auf Verbindungsanforderungen würde häufig den zugewiesenen Pufferraum überschreiten und Daten von anderen Kunden anzeigen, die zu diesem Zeitpunkt auf Websites zugreifen. Es lässt alles offen und stellt ein katastrophales Sicherheitsrisiko für jeden dar, der Websites nutzt oder besitzt, die auf den Dienst angewiesen sind.

Der Bug wurde gegen Ende Februar behoben, obwohl der Dienst einräumt, dass Datenlecks bereits am 22. September 2016 stattgefunden haben, als der neue HTML-Parser eingeführt wurde.

gewonnene Erkenntnisse

Wenn Sie unsere Geschichten eine Weile gelesen haben, erinnern Sie sich vielleicht an ein ähnliches Ereignis wie Heartbleed im Jahr 2014, in dem Websites, die OpenSSL verwendeten, anfällig für einen Exploit waren, der Fragmente von privaten Daten für sabotierende Parteien offenlegen konnte. Dies zusammen mit dem neueren Cloudbleed-Kerfuffle lehrt uns eine wertvolle Lektion: Nichts ist hundertprozentig zuverlässig, nicht einmal die Dienste mit dem ausdrücklichen Zweck, Sie zu schützen.

Dies ist nicht dazu gedacht, Cloudflare zu vereiteln. Der Fehler könnte bei jedem Dienst aufgetreten sein. Der Punkt hier ist, dass das Internet kein Ort ist, an dem Sie ein garantiertes Sicherheitsniveau erwarten sollten. Sie könnten alles tun, um sich zu schützen und trotzdem von einer Situation ausgeschlossen zu sein, die Sie nicht kontrollieren können.

Was sollte man tun?

Die Wahrheit ist, wie Joseph Steinberg von Inc.Com schreibt: "Das gegenwärtige Risiko ist viel kleiner als der Preis, der bei einer erhöhten" Cybersicherheitsmüdigkeit "bezahlt würde, was zu viel größeren Problemen in der Zukunft führen würde." Was er hier zu sagen beabsichtigt ist dass die Natur des Bugs die Chance birgt, dass dein Passwort so astronomisch tief durchsickert, dass es nur dazu führen wird, dass du es abnimmst. Wenn eine echte Krise eintritt, sind Sie möglicherweise zu sehr von all dem Lärm, der Panik und dem Hype erschöpft, dass Sie einen Aufruf ignorieren könnten, Ihr Passwort in einem entscheidenden Moment zu ändern. Cloudbleed ist nicht dieser Moment. Aber wenn Sie das wirklich möchten, ändern Sie Ihr Passwort.

Abgesehen davon, bleiben Sie wachsam und ignorieren Sie keine E-Mails von den Diensten, die Sie lieben. In dem Moment, in dem eine Krise eintritt, werden sie Ihnen höchstwahrscheinlich einen freundlichen Brief mit allem schicken, was Sie darüber wissen müssen und vielleicht sogar Vorschläge machen, was Sie tun sollten, um sicherzustellen, dass Sie nicht betroffen sind.

Denken Sie, dass Cybersicherheitsmüdigkeit existiert, wie Steinberg vorschlägt? Sollten die Menschen ständig in Alarmbereitschaft sein, auch wenn es keine ausreichende Begründung für Panik gibt? Sagen Sie uns, was Sie in einem Kommentar denken!