Proryv銀行支店のディレクターであるIvan Petrovich Hatatapasovには日がありませんでした。 彼らが前日、いくつかの新しい慣行と測定基準の導入に関する泥だらけで有望な論文をセンターから送りました。 朝、トラックが銀行の庭に走り込み、形のないお金の山を直接地面に降ろしました。 電話でイヴァン・ペトロヴィッチに、地域ネットワークの最適化の一環として、資金の一部がこの部門に一時的に保管され、イヴァン・ペトロヴィッチが手数料を受け取ることができると説明しました。 いいえ、領収書は必要ありませんが、バケットは1つだけです。」
一晩中ベルダンカと生地の山で過ごした後、イヴァン・ペトロヴィッチは抗議しましたが、これは世界のケーススタディの最良の例に基づいて組み込まれた新しい進歩的なエッジバンキング技術であると理解するように彼に与えられました。 山は無人で放置されました。雪をまき散らすことに成功し、一般的には通りからそれほど目立ちませんでしたが、常にお金を数える試みはさまざまな量を与えました:トラックの不明瞭な若者が定期的に運転し、目で持って何かを持ってきました。
つまり、私は何について話しているのでしょう。 ネットワーク上に個人データを保存するという文脈での上記の不条理は、定期的に厳しい現実に変わります。 数十億! パスワード! エラー( ニュース )の結果としてCloudflareから盗まれます!クライアントサイトとgoogleに重要なデータが薄層で吹き付けられます。 今日の問題はプライバシーに関するものです。 そして、適切なリスク評価。
Cloudflareで何が起こったのですか?
それはすべてこのツイートから始まりました:
Google Project Zeroチームの研究者であるTavis Ormandi( 以前彼について書いた )は、コンテンツ配信サービス、DDoS攻撃に対する保護などを提供するCloudflareのインフラストラクチャに重大な脆弱性があることを発見しました。 おそらく「ロボットが壊れた」という場合を除いて、簡単な言葉で説明することは困難です。 さまざまなCloudflareサービスは単一の原則に基づいています:サイトと訪問者の間にレイヤーが構築され、データがプロキシを介して送信されます。その結果、負荷の分散、ジャンクDDoSトラフィックの遮断などが可能になります。
問題が発生したのは、すべてのクライアントに本質的に共通するプロキシインフラストラクチャでのことでした。 サーバーからクライアントへの途中でWebページを転送することに加えて、それらを変更することができます。分析のためにコードが挿入され、電子メールアドレスなどが難読化されました。 プロキシ側の変更を制御するプロセスにはバグがあり、コードにゴミが挿入されていました。 Tavis Ormandiが見つけたように、それはまったくゴミではなく、とりわけプライベートデータを含むプロキシサーバーのRAMからのデータの塊でした。 Cookie、認証トークン、その他の非常に貴重な情報。 返されたWebページは、最終的に検索エンジンによってインデックス付けされました。
この脆弱性の調査はほぼ標準的だったと言わざるを得ません。 24時間以内にCloudflare側の重要ではないサービスを無効にすることにより、この脆弱性は閉じられました。 同時に、インデックス化された個人情報を削除するために、検索エンジン(主にGoogleだけでなく、主に)で重大な作業が行われました。 問題の性質に関するレポートは、コード例とともに詳細に説明されています。 詳細については、Cloudflare ブログ投稿およびTavisバグレポートを参照してください。
誰が苦しんだのか、今はどうするのかという質問に答えるのはもっと難しいです。 私の能力のために、このトピックを強調するようにしますが、最初にスマートだが脆弱なテディベアについて説明します。
クマ、カール!
記録されたスマートな子供のおもちゃに漏れる200万件以上の音声メッセージ
ニュース 。 研究者トロイハントのブログ投稿。
そのような会社Cloudpetsがあります。 機能が強化された子供用おもちゃを生産します。 ワイヤレスネットワーク接続を使用すると、クマ(またはバニーなど)に音声メッセージをリモートで配信できます。 クマのユーザー(ああ、すべて)は、点滅するハートの形で新しいメッセージの受信を確認し、デバイス(aaaaaa!)とハグセッションを行うことでそれを再生できます。
AAAAAAAAAAAAAA!
いいえ、しかし何。 勇敢な新しい世界。 すべては問題ありませんが、個人データや録音された音声メッセージを含むユーザーデータベースは、保護が不十分なサーバーから手元に置かれていました。 データストレージには、MongoDB DBMSが使用されました。これは、構成曲線のため、インターネットから許可なくアクセスできます。 保護されていないDBMSは、ますますクラッカーやランサムウェアの被害者になりつつあります。これについては今年の初めに書きました。
脆弱性に関する情報をベンダーに開示する過程で、すべてがうまくいきませんでした。 この問題は、2人の研究者が互いに独立してすぐに発見しました。 メーカーへの彼らのメッセージは無視されました。 どういうわけか、研究者のトロイ・ハントは、彼のブログで問題を報告したとき、ベンダーに反応させることができました。 これに応じて、Cloudpetsは、(a)データは実際に利用可能であったが、情報は特定のユーザーのパスワードを知ることによってのみ取得でき、(b)データベースの保存と管理はサードパーティ組織によって行われ、ベンダーの責任を負わないことができると述べました。
真剣に、それは彼らが言ったことです。 彼らは、最初のメッセージへの応答がないことを説明しました:「それが不明確な人によって送られるとき、我々はそのような重大な情報を受け入れることができません。」
おい! パスワードについて:そのようなサービスには最低限の要件があることは明らかであり、それらの多くを選択するのは非常に簡単です(アカウントを当てにすると80万人以上のユーザーが苦しんでいます)。 問題は個人データの漏洩でさえありませんでした(データベースは長時間開いていて誰でもダウンロードできました)、問題はベンダーの最も適切な反応ではありませんでした。 さて、未来への注意:請負業者が漏れのせいにしたとしても、顧客はまだ損害を受けます。 ああ。
どうする
だから、リスク評価について。 テディベアの場合、エンドユーザーだけが苦しみましたが、残念なことに、ほとんどのユーザーは問題についても知りません。 Cloudflareの潜在的な被害者は中規模および大規模企業です。 ビジネスは、別の脅威のリスクを正しく評価することを含め、自身の専門知識の開発に多額の資金を費やさなければならないことがわかりました 。
インターネットのどこかで何かが起こった場合、これがビジネスのリスクにどのように影響するかを理解する必要があります。 Cloudflareを例にとると、「私たちに関係ない」と「ああ、すべてが失われ、私たち全員が死ぬ」という極の選択肢が等しく悪いことは明らかです。 肩の上のそのような推定は、メディア
そして今何? すべてのユーザーのパスワードをリセットしますか? 認証トークンを取り消しますか? 一般的な結論は、おそらくこれです:突然の動きをする必要はありませんが、リークの可能性のあるパラメーターを知り、データが攻撃に使用できるという事実に備えるために、リークの確率がゼロではないという事実から進める必要があります。 Cloudflareのストーリーは本当のトラブルに関するものではなく、情報セキュリティが新鮮な穴のぎくしゃくしたパッチに制限されなくなったということです。 これは戦術ですが、戦略が必要です。 裏庭のヒープのどこかにデータがダンプされるという事実に基づいて、保護を構築する必要があります。
クマは簡単です。 そのようなおもちゃを買うとき、子供は他の誰かがすでにあなたのメッセージを聞いていることを理解する必要があります。 これは妄想ではなく、これが現実です。 美しくスマートなおもちゃを作るだけでは十分ではありません。ベンダーとして、他の人のデータの安全性について考えたという証拠を少なくとも提供する必要があります。
何が起こっているのか少し素晴らしい、毎週ダイジェストの編集スタッフは短い休暇に行きます。 切り替えないでください、私たちは戻ります。
古物
「ソチャ-753」
居住者は非常に危険なウイルスであり、通常、.COMファイルを開くと感染します。 ファイル(ME $ .OVLおよびNCMAIN.EXEを除く)を起動すると、コマンドラインがファイルCに追加されます:\ M_EDIT \ ME $ .OVL。 システムタイマーが1981を示す場合、乗算します。int21hをフックし、「Socha」、「C:\ m_edit \ me $ .ovl」、「comCOM」の行を含みます。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 83ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。