क्लाउडब्लेड: सुरक्षा खतरे जो तूफान से इंटरनेट ले रहा है

क्लाउडब्लेड हर समय सबसे बड़ी सुरक्षा खतरों में से एक है, और यह वर्तमान में इसके प्रमुख पर है। क्लाउडफ्लेयर , सामग्री वितरण प्रदाता, हाल ही में एक बग मिला जिसने इंटरनेट पर रिसाव करने के लिए पासवर्ड से उपयोगकर्ता विवरण तक, व्यक्तिगत जानकारी के बहुत सारे कारणों को जन्म दिया है।

विडंबना यह है कि क्लाउडफ्लारे सबसे बड़ी इंटरनेट सुरक्षा कंपनियों में से एक है और जांच के लिए लाया गया था पिछले साल उनके खिलाफ Google की भेद्यता रिपोर्ट के माध्यम से। लेकिन बुरी खबर यह है कि क्लाउडफ्लारे-समर्थित साइटें शायद Google विश्लेषकों द्वारा खोजे जाने से पहले डेटा लीक कर रही हैं। और, फिटबिट, उबर और ओकेक्यूपिड जैसे ग्राहकों के साथ, क्लाउडफ्लेयर के ग्राहकों के बारे में चिंता करने के लिए बहुत कुछ है। इसलिए, आपको जो पहला कदम उठाना है, वह इंटरनेट पर हर खाते पर अपने सभी पासवर्ड बदलना है और जहां भी संभव हो दो-कारक प्रमाणीकरण सक्षम करना है।

क्लाउडफ्लेयर, जबकि दुनिया में अधिक लोकप्रिय इंटरनेट सेवाओं में से एक अपेक्षाकृत अपेक्षाकृत है अज्ञात नाम ऐसा इसलिए है क्योंकि यह सुनिश्चित करने के लिए दृश्यों के पीछे काम करता है कि वेबसाइटों को वेब फ़ायरवॉल द्वारा संरक्षित किया जाता है। यह एक सीडीएन, डोमेन नेम सर्वर, और डीडीओएस प्रोटेक्टर सेवा कंपनी है जो प्रमुख वेबसाइटों के लिए उत्पादों का पूरा मेनू प्रदान करती है। और, यह स्थिति की बड़ी विडंबना है। एक `सामग्री सुरक्षा` विशेषज्ञ संगठन होने के नाते, क्लाउडफ्लारे इस बड़े मैलवेयर हमले के लिए आखिरी जगह होनी चाहिए थी। आखिरकार, अनगिनत कंपनियां अपने उपयोगकर्ता डेटा को सुरक्षित रखने में मदद के लिए क्लाउडफ्लेयर का भुगतान करती हैं। क्लाउडबलेड ब्लंडर ने इसके विपरीत किया।

क्लाउडब्लेड का विवरण

नाम हार्टबलेड बग से इसकी उत्पत्ति प्राप्त करता है, जो कि नए जैसा ही है। वास्तव में, स्पष्ट रूप से, क्लाउडबलेड बग एक त्रुटि का परिणाम है। क्लाउडफ्लारे के कोड में एक ही चरित्र आपदा का कारण बन रहा है। वर्तमान में यह कोई जानकारी नहीं है कि यह मानव त्रुटि या जानबूझकर कार्रवाई है, लेकिन हमले का दावा करने के लिए कंपनी सार्वजनिक रूप से बाहर आने के बाद यह और अधिक स्पष्ट दिखाई देगी।

अभी इस ब्लॉग पोस्ट को हमारे ` तथ्यों से `। यह उल्लेख करता है कि सीएफ-एचटीएमएल नामक एक नए एचटीएमएल पार्सर का उपयोग करने के कंपनी के फैसले से यह मुद्दा सामने आया है। एक HTML पार्सर एक ऐसा एप्लिकेशन है जो प्रारंभिक टैग जैसे कि प्रारंभ टैग और एंड टैग को खींचने के लिए कोड स्कैन करता है। इससे उस कोड को संशोधित करना आसान हो जाता है।

दोनों सीएफ-एचटीएमएल और पुराने रैगेल पार्सर को हमारे एनजीआईएनएक्स बिल्ड में संकलित एनजीआईएनएक्स मॉड्यूल के रूप में लागू किया गया था। इन एनजीआईएनएक्स फिल्टर मॉड्यूल पार्स बफर (मेमोरी के ब्लॉक) जिसमें HTML प्रतिक्रियाएं हैं, आवश्यकतानुसार संशोधन करें, और बफर को अगले फ़िल्टर में पास करें। यह पता चला कि अंतर्निहित बग जिसने मेमोरी रिसाव को कई वर्षों तक अपने रैगेल-आधारित पार्सर में मौजूद किया था, लेकिन आंतरिक एनजीआईएनएक्स बफर के इस्तेमाल के कारण कोई स्मृति लीक नहीं हुई थी। सीएफ-एचटीएमएल को प्रस्तुत करने से बफरिंग में बदलाव आया जो रिसाव को सक्षम करता है, भले ही सीएफ-एचटीएमएल में कोई समस्या न हो।

आम आदमी के शब्दों में इसका क्या अर्थ है कि क्लाउडफ्लारे का इरादा पूरी तरह से हानिरहित था। उन्होंने बस उपयोगकर्ता डेटा को सबसे कुशल स्थान में संग्रहीत करने की कोशिश की। लेकिन जब इस स्थान की याददाश्त पूरी हो गई, तो उन्होंने इसे अन्य वेबसाइटों पर संग्रहीत किया जहां से यह अनंतता और उससे आगे निकल गया। अब लगभग सभी असंभव कार्य उन सभी वेबसाइटों को इकट्ठा करना और डेटा का दावा करना है।

क्लाउडब्लेड प्रभावित साइटों के खिलाफ कैसे संरक्षित रहें

सुरक्षा विशेषज्ञ रयान लेकी, 2014 में क्लाउडफ्लेयर द्वारा अधिग्रहित क्रिप्टोसेल के मालिक, के पास है जब आप कर सकते हैं अपने आप को बचाने के लिए कुछ सुझाव।

"क्लाउडफ्लारे सबसे बड़ी उपभोक्ता वेब सेवाओं के पीछे है, इसलिए क्लाउडफ्लारे पर कौन सी सेवाएं हैं, यह पहचानने की कोशिश करने के बजाय, संभवतः इसे घुमाने के अवसर के रूप में उपयोग करना सबसे बुद्धिमान है आपकी सभी साइटों पर सभी पासवर्ड। उपयोगकर्ताओं को इस अद्यतन के बाद लॉग आउट और अपने मोबाइल एप्लिकेशन में लॉग इन करना चाहिए। जब आप उस पर हों, तो 2FA या 2SV का उपयोग उन साइटों के साथ करना संभव है जिन पर आप महत्वपूर्ण मानते हैं। "लेकी ने कहा।

पता लगाएं कि क्या आपने क्लाउडब्लेड प्रभावित साइटों का दौरा किया है

ये दो ब्राउज़र एक्सटेंशन आपको क्लाउडफ्लेयर की सुरक्षा समस्या से प्रभावित साइटों पर गए हैं या नहीं: फ़ायरफ़ॉक्स | क्रोम। उन्हें स्थापित करें और यह पता लगाने के लिए स्कैन शुरू करें कि क्या आपने हाल ही में क्लाउडबलेड प्रभावित वेबसाइटों का दौरा किया है या नहीं।

किसी भी मामले में, आपके ऑनलाइन खातों के पासवर्ड बदलने और सुरक्षित रहने का अच्छा विचार हो सकता है।

रिसाव का विस्तार

पूरे झगड़े के बारे में सबसे असामान्य हिस्सा यह है कि यह संभव नहीं है यह तय करने के लिए कि कौन और क्या सब प्रभावित हुआ है। क्लाउडफ्लारे का दावा है कि पूरे डेटाबेस का केवल एक मिनट हिस्सा क्लाउडब्लेड द्वारा अनुरोध पर लीक किया गया है, लेकिन यह ऐसी कंपनी से आ रहा है जो इस बग के बारे में नहीं जानता था जब तक कि Google के किसी ने इसे विशेष रूप से इंगित नहीं किया। उसमें जोड़ें, तथ्य यह है कि उनके बहुत सारे डेटा को अन्य तृतीय-पक्ष साइटों पर कैश किया गया था, और आप कभी नहीं जानते कि सभी डेटा से समझौता किया गया है या नहीं। लेकिन वह सब नहीं है। समस्याएं केवल क्लाउडफ्लेयर के ग्राहकों तक ही सीमित नहीं हैं - जिन कंपनियों के पास क्लाउडफ्लेयर क्लाइंट हैं, उनमें भी उपयोगकर्ताओं को प्रभावित होने की उम्मीद है।