skip to main | skip to sidebar
10 commenti

Allarme generale per Cloudbleed, provo a fare il punto

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

C’è parecchio panico in Rete per una falla di sicurezza molto estesa che è stata battezzata Cloudbleed. Provo a riassumere qui le cose essenziali da sapere.


Se avete moltissima fretta


Ê possibile che le vostre password e alcuni vostri dati personali siano stati disseminati pubblicamente per mesi a causa di un errore tecnico della società Cloudflare, usata da molti dei più diffusi servizi di Internet. La falla è stata corretta, ma in Rete ne restano dei residui.

Vi conviene cambiare tutte le password dei servizi online che usate e sui quali non non avete già attivato la verifica in due passaggi (autenticazione a due fattori). Cogliete quest’occasione per attivarla. Se vi sembra una raccomandazione troppo drastica, leggete i dettagli qui sotto. Non dite che non siete stati avvisati.

Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi.

Le password di 1Password non sono state violate, dice AgileBits (che gestisce 1Password).


Se avete meno fretta


L’esperto di sicurezza Tavis Ormandy (del Project Zero di Google) ha scoperto a metà febbraio scorso una grave falla nel software usato dalla società Cloudflare, alla quale si appoggiano per la distribuzione e la protezione dei contenuti molti dei nomi più popolari di Internet, come Uber, OKCupid, 1Password.

Questa falla ha disseminato per mesi, rendendoli visibili a chiunque, “messaggi privati di importanti siti d’incontri, messaggi completi provenienti da un noto servizio di chat, dati di gestori online di password, fotogrammi da siti per adulti, prenotazioni di alberghi. Stiamo parlando di richieste https integrali, indirizzi IP dei client, risposte complete, cookie, password, chiavi, dati, tutto”, ha scritto Ormandy, mostrando esempi come quello che ho incluso all’inizio di questo articolo e che riguarda Uber. Qui sotto ne vedete un altro, riferito a FitBit.


Cloudflare si è subito adoperata per risolvere il problema, che ora non si ripresenta più. La parte difficile è fare pulizia online dei dati disseminati in Rete, che sono reperibili nelle cache di Google e di altri motori di ricerca, anche se è in corso una purga a tappeto. Secondo Motherboard, questa purga non è stata completa, per cui è tuttora possibile trovare dati personali con un’apposita ricerca in Google.

La spiegazione tecnica dettagliata di Cloudflare è qui. La spiegazione semplificata di Gizmodo è questa: “il software di Cloudflare cercava di salvare i dati degli utenti nel posto giusto, che però si riempiva completamente. Così il software finiva per salvare i dati altrove, per esempio in un sito completamente diverso... I dati sono finiti nella cache di Google e di altri siti, per cui Cloudflare deve cercarli tutti prima che li trovino i criminali informatici.”

The Register riassume bene così: “a causa di un errore di programmazione, per vari mesi i sistemi di Cloudflare infilavano pezzi casuali di memoria dei server nelle pagine Web... visitando un sito Web gestito tramite Cloudflare poteva capitare di trovare pezzi del traffico Web di qualcun altro appiccicati in fondo alla pagina del browser... Immaginate di sedervi al ristorante, a quello che in teoria sarebbe un tavolo pulito, ma insieme al menu trovate anche il contenuto del portafogli del cliente precedente.”

L’esatta portata del danno (quali e quanti siti supportati da Cloudflare hanno subìto emorragie di dati riservati) non è ancora nota, scrive Gizmodo citando l’azienda, ma i siti coinvolti sono almeno 150. Se volete sapere se i siti che usate adoperano i servizi di Cloudflare e quindi potrebbero essere a rischio, immettete i loro nomi in Doesitusecloudflare.com. Non risulta, al momento, che criminali informatici abbiano utilizzato i dati diffusi per errore.

Ulteriori dettagli sono (in inglese) su Ars Technica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Paolo, perché bisogna cambiare le password di tutti i siti piuttosto che solo di quelli che usano Cloudflare?
Wow.
Anche mozilla.com è tra quelli che utilizzano Cloudflare.
Significa che le mie password gestite tramite il profilo di Firefox sono compromesse?
esiste un elenco dei siti che lo usano?
[quote]ma i siti coinvolti sono almeno 150[/quote]

L'origine dell'affermazione è il soggetto coinvolto (come se fosse una perizia di parte, per capirci).

Esattamente han detto:
[quote]In our review of these third party caches, we discovered exposed data on approximately 150 of Cloudflare's customers[/quote]
Fonte: http://images.hardocp.com/images/news/148794591635uWelQgk9_1_1_l.png

Al lato pratico, quei "150" sono quelli di cui han trovato traccie in Google/Yahoo/etc cache.
Una frazione rispetto al traffico umano che può aver incontrato quei dati, o crawler "bad bots".
(vedi Bot Traffic Report 2016 di Incapsula, concorrente diretto di CloudFlare, https://www.incapsula.com/blog/bot-traffic-report-2016.html)
Totalmente OT: ti faccio notare che se uno non è già loggato in Google, NON può inviare un commento qui.

In Chrome spara:
[quote]Refused to display 'https://accounts.google.com/....' in a frame because it set 'X-Frame-Options' to 'DENY'.[/quote]
In Firefox idem:
[quote]Load denied by X-Frame-Options: https://accounts.google.com/... does not permit framing.[/quote]
Mi è capitato di incontrare Cloudflare come servizio che protegge dagli attacchi DDOS (distribuited denial of service), cioè quegli attacchi massicci da molti PC che paralizzano un sito, tipici (ma non esclusivi) di Anonymous.
@ Clodo: mi sono loggato in Google usando Firefox, poi ho chiuso la pagina e ho aperto questa: se vedi questo commento, il problema non c'è più.
Aggiungo un'altro casistica.

Un sito web 'noto' pubblica HTML con i tag che fan scattare il bug. Potenzialmente per mesi vengono esposti dati.
Il sito web corregge l'HTML chiudendo la falla per quel che lo riguarda. I vari search-engine aggiornano la cache cancellando ogni traccia che Cloudflare sta raccattando per valutare la gravità del leak. Non si può avere un elenco dei siti proxati da CloudFlare coinvolti, punto.
Non fate l'errore di pensare che gli sviluppatori di siti web, spesso con scadenze impellenti, di fronte a un potenziale bug abbiano tempo/competenza di indagare in merito o voglia/interesse di aprire segnalazioni.

[quote]This leak was triggered when webpages had a particular combination of unbalanced HTML tags, which confused Cloudflare's proxy servers and caused them to spit out data belonging to other people – even if that data was protected by HTTPS[/quote]

Posso essere bastardo qui? Qualsiasi evento che mina l'affidabilità di CloudFlare per me è una buona notizia.
Mi spiace ovviamente per chi si è fidato di questa gente, ma nell'ambiente hacktivisti, CloudFlare non è ben vista.
Vedi ad esempio The Trouble with CloudFlare.
Mente spesso e si comporta spesso in maniera scorretta, per questo non mi fido di quel che CloudFlare dichiara.
[quote]@ Clodo: mi sono loggato in Google usando Firefox, poi ho chiuso la pagina e ho aperto questa: se vedi questo commento, il problema non c'è più.[/quote]
Se eri già loggato quando hai aperto questa, ci credo che non hai visto il problema.
Spiego in dettaglio, perdono per l'OT.

L'url chiamato da questo sito è
http://www.blogger.com/comment-iframe.g?blogID=7421441&postID=3622428561743721497
restituisce un http-response-header "X-Frame-Options:SAMEORIGIN" che provoca l'errore.
L'url restituisce un redirect 302 alla versione https://
https://www.blogger.com/comment-iframe.g?blogID=7421441&postID=3622428561743721497
che NON ha l'http-response-header "X-Frame-Options:SAMEORIGIN".

-- Vedetelo da voi
Aprite Chrome, tasto destro -> Inspect
Incollate http://www.blogger.com/comment-iframe.g?blogID=7421441&postID=3622428561743721497
Nell'inspector andate nel tab "Network".
Ci sono due richieste a "comment-iframe.g", la prima un 302, se la cliccate vedete il "X-Frame-Options:SAMEORIGIN".
La seconda è un 200, senza "X-Frame-Options:SAMEORIGIN".

-- Perchè non capita a tutti
Capita solo a chi non è già loggato, e entra nella versione http://, non https://
Inoltre non capita a chi usa HTTPS-Everywhere o software simili

-- Come risolvere
Il codice nel sito dovrebbe chiamare secca la versione https:// come 'src' dell'iframe.

"Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi."

E per concludere, anche Facebook ha kikkato alcuni utenti (fra cui me) chiedendo un aggiornamento della password. Il tutto, dicono, per un errore di programamzione.
Ma i dati per quanto non si trovassero nella posizione corretta, non dovrebbero essere cifrati con hashing ? In particolar riguardo a 1 Password, che pericolo c'é ? Dove sta veramente il problema?