Защита пользовательских данных становится все более важной частью развития ИТ-бизнеса — в последнее время мы видели слишком много инцидентов
Что произошло?
23 февраля стало известно об уязвимости популярного сервиса для защиты от DDoS атак и оптимизации работы сайтов CloudFlare. Это один из самых успешных за последнее время стартапов по информационной безопасности, получивший более $182 млн венчурных инвестиций. В последнем раунде, на $110 млн (оценка компании не разглашалась), в компанию вложились Google Capital, Qualcomm, Microsoft, китайский Baidu.
CloudFlare начал работу в 2009 году как cервис для защиты от сетевых угроз. По сути, CloudFlare — это «прослойка» между хостингом сайта и его посетителями, которая прячет сайт от внешнего мира и блокируя вредоносную активность. Это используется для ускорения работы сайта, а также для защиты от DDoS-атак (искусственно созданной злоумышленниками нагрузки на сайт, которая должна исчерпать его ресурсы и помешать работе).
Уязвимость позволяла любому пользователю интернета получить доступ к памяти серверов CloudFlare, в которой находятся случайные данные пользователей защищаемых сайтов: логины, пароли, кредитные карты — все то, что пользователи вводят на сайтах. По эффекту действия данная уязвимость полностью повторяет «нашумевший» недавно баг в библиотеке OpenSSL (используется для шифрования данных на многих сайтах — Forbes), получивший название HeartBleed. Причиной уязвимости CloudFlare стала его некорректная работа с памятью на низком уровне, вследствие которой, в некоторые ответы, поступившие от сервера, попадают случайные данные пользователей.
Об уязвимости сообщили эксперты из команды Google Project Zero, специализирующейся на поиске уязвимостей нулевого дня, то есть неизвестных ранее методах несанкционированного доступа. Уязвимость была обнаружена методом «фаззинга», то есть машинной генерации аномальных последовательностей ввода. Такой метод в настоящее время считается самым эффективным для поиска новых уязвимостей и применяется во всех современных продуктах по безопасности.
Что это означает и что делать сейчас?
Это означает, что все сайты, защищенные CloudFlare в период с 22 сентября 2016 года по 18 февраля 2017 года были скомпрометированы. Все клиентские данные, проходившие обработку CloudFlare в этот период, могли быть доступны злоумышленникам, несмотря на шифрование SSL и другие защитные меры. Если вы владелец такого сайта, то следует немедленно запустить процедуру смены паролей всем пользователям, а если вы также принимаете кредитные карты, то сообщить клиентам о необходимости их блокировки.
Почему в системах безопасности находятся уязвимости?
Это далеко не первый случай обнаружения уязвимостей в продуктах для обеспечения информационной безопасности. Как и любые другие программы, они тоже могут содержать ошибки и уязвимости. Проблема в том, что риски от таких ошибок куда выше — они обладают доступом к более критичным частям системы. Например, антивирусные программы запускаются с повышенными (системными) привилегиями, и поэтому эксплуатация уязвимостей в антивирусах дает атакующему не просто компрометацию одной учётной записи пользователя, но и всего компьютера, вплоть до «железа». Или представьте, например, что вирус поразил защитный продукт, установленный на всех компьютерах аэропорта, таким образом, атакующий получает доступ не просто к одному компьютеру оператора, а сразу ко всем, включая начальника аэропорта.
Антивирусы — это не единственный пример. Сетевые фильтры, например, фаерволы или системы обнаружения вторжений обрабатывают пользовательский трафик, соответственно, риск от их взлома в том, что злоумышленники получат доступ этому трафику. В подобной ситуации оказался CloudFlare — он имел доступ к уже расшифрованному после SSL трафику с личными данными пользователей, и уязвимость в сервисе привела к их утечке.Защитой CloudFlare пользуются как небольшие сайты, так и крупные компании — например, сервис заказа такси Uber, блог-платформа Medium, европейская платежная система TransferWise, приложение для знакомств okcupid и многие другие (всего почти 4,3 млн доменов).
В целом защита пользовательских данных становится все более важной частью развития ИТ-бизнеса в связи с участившимися инцидентами. Например, недавно об утечке данных около 500 млн пользователей (сам инцидент произошёл ещё в 2014 году) сообщила Yahoo, из-за чего Verizon, покупатель бизнеса Yahoo, снизил оценку компании на $350 млн. Летом 2016 года в утечке конфиденциальной информации пользователей признались в Dropbox: были скомпрометированы пароли более 60 млн человек, а само событие широко обсуждалось в прессе. Оценка Dropbox превышает $10 млрд, к концу 2017 года компания, по слухам, собирается на IPO. Скажется ли факт утечки на будущей оценке компании? Или то, что менеджмент Dropbox смог достаточно быстро справиться с ситуацией, предложив пользователям сменить пароли, наоборот, может помочь компании доказать, что она умеет справляться с трудностями? Так или иначе, то, что попадание данных пользователей в открытый доступ не проходит незамеченным (в том числе для инвесторов), — очевидно. Утечки всегда наказываются рублем, а иногда и сотнями миллионов долларов.