如何解除恶意软件
一旦信息暴露于互联网,就会永远留在那里。虽然内容分发网络服务提供商Cloudflare已经修复了导致客户数据在网上泄露的代码问题,这个事件远未结束,因为成千上万的网站靠该公司提供安全和内容优化服务。
本次数据泄露变得奇怪且令人沮丧,因为网站管理者并没有真正搞清楚他们的的信息是否被泄露或者应该如何补救。虽然根据在搜索引擎文档发现的数据,Cloudflare知道哪些客户受到了影响,但是并不确定具体是什么信息被泄露以及泄露的对象。
Cloudflare有四百万用户,其中包括政府、电子商务网站和金融服务机构,所以产生的连锁反应是巨大的。问题是没有人知道具体有多大或者是不是很大。
虽然泄露始于9月,但最大的潜在影响是2月12日开始的,Cloudflare的CTO John Graham-Cumming说。目前没有证据显示在代码修复之前,有人发现并开始利用这个安全隐患。
为了最小化损失,IT部门可采取哪些措施
IT管理员很有先见之明设想他们也受到了影响并采取相应行动。
其中一个选择是强行改变所有用户的密码。在网站被盗并不严重的情况下,这样做可能是不可取的,但是如果管理员证书或者其他敏感证书已经暴露,那么中断可能是必要的,Ryan Lackey(Cloudflare前安全工程师)建议。
IT管理员应该主动彻底搜索网站寻找泄露认证令牌及用户证书,David Weinstein(NowSecure 的CTO)提出。如果找到信息,应终止会话,为受影响的账号重新设置密码。
如果Cloudflare后台的应用程序使用cookies,那么就要涉及到开发商,以便了解cookies落入坏人之手的风险。如果你是Cloudflare的客户,应马上进入完全风险评估模式,Lori MacVittie(F5 Networks技术专家)说道。
补发证书更换秘钥不是微不足道的小任务,尤其是对于大型机构而言。但是假设他们并未受到影响就如同鸵鸟式反应,拒绝承认存在的问题。所以,IT团队必须全面了解他们使用的秘钥、在哪里使用以及如何管理。假如他们知道了泄露导致的后果,就可以采取适当的措施。否则,他们就不得不决定,是幻想什么也不会发生,还是咬紧牙关实施昂贵且全面的证书和秘钥补发。
移动应用程序也可能会受到影响,因为很多应用程序使用与后端相同的浏览器内容传送和HTTPS。曾经在搜索引擎缓存中发现了诸如Discord, Fitbit 和Uber之类的应用程序的HTTP报头数据报告。NowSecure列出了200 个使用Cloudflare 服务的iOS应用程序。站点应该使手机应用程序的认证证书失效,并且促使用户重新注册应用程序和设备。
虽然这些听上去只是潜在的警报,但是我们应该知道至少有一个区域仍然安全。Cloudflare的 Graham-Cumming说过属于客户的SSL私人秘钥未被泄露,因为堆处理SSL秘钥与漏洞代码使用是完全分开的。
什么导致了Cloudflare泄露数据
所有的信息是如何被泄露的?谷歌内部的超级黑客团队Project Zero中 的Tavis Ormandy偶然发现了敏感信息被泄露给一些返回给用户的响应和搜索引擎爬虫,所以他将其反馈给Cloudflare的工程师。
因为编程失误影响到三个次要功能(邮件混淆,自动HTTPS重写以及服务器端不包括在内)达数月,Cloudflare的系统把服务器内存随机块泄露到用户能看到的网页和搜索引擎爬虫,Cloudflare的Graham-Cumming在公司的详细事后析误中如此讲到。
结果,一个用户访问一个Cloudflare技术支持的网站有可能获得他人的网站流量,即使那些本应被加密隐藏在页面。包括私人信息、会话cookies、认证令牌、POST数据、加密秘钥和用户证书等信息有可能会被搜索引擎隐藏。这个数据有可能在存在于其他缓存中,比如用户电脑的本地浏览器缓存,或者被其他私人运行的网络搜索服务保存。
Cloudflare与搜索引擎一起从缓存页面净化被泄露的信息,但是谁都无法确定数据泄露的影响会持续多久。
京公网安备 11010502049343号