Durch Cloudbleed, wie die Lücke von Cloudflare mittlerweile bezeichnet wird, wurden Inhaltevon Websites nicht nur veröffentlicht – sie wurden teilweise auch von Suchmaschinen indexiert. Die Sicherheitslücke klaffte ein halbes Jahr lang und wurde von Tavis Omandy entdeckt. Mittlerweile ist die Lücke geschlossen.
Google Forscher entdeckt die Lücke, Cloudflare schließt Cloudbleed umgehend!
Tavis Ormandy arbeitet im Project Zero und ist bekannt für das Finden von Sicherheitslücken. Nun hat er auch die Lücke in der Software von Cloudflare gefunden, welche dafür gesorgt hat das sensible Daten preisgegeben und indexiert werden konnten.
Als Beispiel hat Ormandy ein Datingprofil der Seite OkCupid ausgelesen und geschwärzt zur Verfügung gestellt. Doch auch wenn das gezielte Abfischen von Daten bei der Lücke nicht möglich ist, weder von Accounts noch Websites, so ist sie trotzdem weitreichend. Viele Websites wie z.B. 1Password, medium StackOverFlow oder Uber setzen auf den Service, der vor Überlast und DDoS-Attacken, schützen soll.
Wer nachschauen will, ob eine bestimmte Domain betroffen ist, der kann sich diese Liste (22mb) herunterladen oder die größten in diesem Beitrag auf GitHub nachschlagen!
Cloudbleed klafft seit einem halben Jahr und ist schwierig zu erklären!
Ormandy ist einer von den Guten. Nachdem er die Attacke entdeckt hat, bat er um eine Kontaktaufnahme von Cloudflare.
Could someone from cloudflare security urgently contact me.
— Tavis Ormandy (@taviso) February 18, 2017
Das hat auch geklappt. Es hat aber wohl etwas Zeit gedauert bis sich die Entwickler von Cloudflare dem Problem bewusst geworden sind. Nachdem das jedoch geschehen ist, ging alles ganz schnell. Die Lücke wurde dann innerhalb von Stunden beseitigt.
Die Namensgebung ist nicht ganz zufällig. Wem die Ähnlichkeit zu Heartbleed auffällt, der liegt goldrichtig. Cloudbleed baut auch auf das Überschreiben von Speicher. Der Parser von Cloudflare ist in Ragel geschrieben, welcher wiederum C-Code erzeugt. Eine bekannte Herausforderung beim Programmieren in C ist das Handling den sogenannten Buffer Overflows.
Durch die Lücke wurden sensible Daten, private Nachrichten sowie Chatnachrichten oder Hotelbuchungen freigegeben. Nicht betroffen von der Lücke sind hingegen HTTPS-Zertifikate.
Wer die Sicht von Tavis nachlesen will, der kann das bei Chromium tun. Dort beschreibt er zwar positiv über die Reaktion von Cloudflare, später hingegen kritisiert er z.B. das Bug Bounty Program, welches zwar betrieben wird, höchstens aber mit einem T-Shirt belohnt wird.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Cloudbleed, die Probleme von C und meine Meinung!
Der ganze Vorfall rund um Cloudflare befeuert die Diskussion um die Speicherverwaltung in C. Aber auch die Zentralisierung von Servern ist eine Diskussion wert. Schließlich sorgte ein einzelner Fehler dafür, dass Daten von Millionen Websites veröffentlicht und indexiert worden sind.
Letzteres ist auch im Nachhinein ein großes Problem. Wo letztendlich die Daten gespeichert und indexiert worden sind, welche durch Cloudbleed veröffentlicht wurden, ist nicht zurück zu verfolgen.
Weitere Informationen und Quellen
[1] Cloudbleed: Geheime Inhalte von Millionen Websites durch Cloudflare öffentlich (heise)
[2] Cloudflare verteilt private Daten übers Internet (golem)
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
