Tres cosas que debemos aprender de Cloudbleed

0

La reciente vulnerabilidad encontrada en el código de Cloudflare alerta acerca del daño que un solo bug puede causar.

Por Sofía Caraza

Fuente: lifehacker.com

Este 19 de febrero, Tavis Ormandy, investigador de seguridad de Google, reportó un bug descubierto en el código de Cloudflare Inc., una de las empresas de seguridad en Internet más grandes. Cloudflare se encarga de configurar la codificación SSL y proteger a los sitios web de navegación de servicio (denial-of-service, DoS), optimizar su desempeño, entre otras cosas mediante los servidores confiables de la empresa. Presuntamente, el bug estuvo presente desde septiembre de 2016, y pone en peligro potencial a la seguridad de los sitios a los que presta sus servicios, tales como Uber, Fitbit, OkCupid, ThePirateBay, Medium, 1Password, entre otros.

Este error en el código se debe básicamente a haber escrito ‘>’ en vez de ‘=’. A pesar de ser solo una equivocación entre dos caracteres, esto causa una vulnerabilidad en la seguridad que puede ser explotada por alguien con suficiente conocimiento y habilidades. El bug se denominó Cloudbleed, ya que accidentalmente cargaba datos como passwords, datos de reservaciones, videos, mensajes e información privada de otros usuarios al navegador de quien accediera a alguno de los sitios respaldados por Cloudflare. Es decir, el bug en sí no era dañino, pero propicia el acceso y extracción a información privada que debería de ser restringida e inaccesible para alguien no identificado.

¿Qué medidas se pueden tomar?

El bug ya se arregló: Cloudflare actuó rápidamente y el error quedó solucionado en el pasado 20 de febrero. Cloudflare analizó el daño y asegura que tuvo poco impacto (0.00003%) en el tráfico de información que maneja y que no se ha encontrado información filtrada. Sin embargo, el largo tiempo de exposición que tuvo el bug pudo haber causado daño adicional que todavía no es tangible, pero que puede repercutir en el futuro. Esto significa que se debemos cambiar nuestras contraseñas una vez más.

Estos son los 3 aprendizajes que nos deja Cloudbleed:

Fuente: thenextweb.com

Añadir capas de seguridad a los sitios puede también añadir vulnerabilidades no contempladas.

El bug fue creado cuando Cloudflare quiso añadir otra capa de seguridad a su información. Al juzgar por los hechos, esta implementación evolucionó en una vulnerabilidad en vez de el refuerzo que se quería crear. A veces se llega a un punto de equilibrio en cualquier sistema de seguridad que, si se sobrepasa, puede causar más problemas inesperados que realmente mejorar su funcionamiento. Al añadir más detalles, se convierten en más factores que se deben controlar y por ende, requiere más tiempo y trabajo supervisarlos. Por lo tanto, es necesario evaluar que la aportación de una implementación sea mayor que el trabajo que se deriva de mantenerla.

Fuente: http://aiesec.ca

Cualquier código tiene sus bugs, la diferencia radica en cómo se abordan y solucionan.

Después de notificar a los usuarios acerca del bug, Cloudflare decidió aportar un reporte con la descripción minuciosa y técnica del parser bug denominado Cloudbleed. Esto demuestra que la compañía prefiere brindar el conocimiento, exponiendo el problema y la solución a este bug, que cuidar su imagen. Expusieron detalladamente el problema e informaron quese debía a un programa que no controlaba el uso de la memoria (causado por el error mencionado anteriormente), por lo que escribía en algunos casos en la memoria intermedia (de caché) que no se intencionaba que fuera usada, causando lo que se llama buffer overflow.

Fuente: tedunangst.com

La seguridad no solo depende de quien hace el código, también de quien lo utiliza.

Este tipo de errores pueden suceder en cualquier compañía y nos recuerda que proteger nuestra privacidad es responsabilidad nuestra. Cloudbleed puede haber afectado a los usuarios de 1Password, servicio que permite conservar notas y contraseñas en un mismo lugar en la nube, y cada uno de los sitios incluidos en la infraestructura de Cloudflare. Aunque las empresas deben hacer todo lo posible por guardar adecuadamente los datos que les proporcionamos, existen situaciones en las que damos información extra, especialmente en redes sociales, o tomamos medidas de seguridad muy débiles (usar contraseñas fáciles de deducir o adivinar: cumpleaños, fechas, nombres, números en orden consecutivo, apodos, etc) que facilitan el acceso a terceros sin nuestra autorización.

Por eso, debemos constantemente cambiar las contraseñas de nuestras cuentas, no compartirlas con nadie, y asegurarnos de que son suficientemente fuertes y únicas.

Para más información puedes consultar los siguientes artículos:

The Good and Bad News About Cloudbleed

Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster

 

Todos los comentarios son revisados previo a su publicación. No serán aprobados los comentarios que contengan ataques y ofensas personales; agresiones racistas, sexistas o discriminatorias en general; ni publicidad o spam.