Portada
Hace 7 años | Por ccguy a arstechnica.com
Publicado hace 7 años por ccguy a arstechnica.com
Un bug en Cloudflare expone un montón de datos secretos de clientes [ENG]

Un bug en Cloudflare expone un montón de datos secretos de clientes [ENG]

 arstechnica.com

Un bug en uno de los servicios de cloudflare ha causado que se haya filtrado información delicada. Bajo cierta combinación de servicios activos en cloudflare y contenido de la página este bug metía el contenido de bloques de memoria sin inicializar en los datos envíados. El bug, originalmente encontrado por un ingeniero de seguridad de Google ya ha sido resuelto. El bug también afectaba a páginas detrás de https. El informe habla de chats completos, datos de sitios de citas, fotogramas de sitios porno, etc.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.8k 60

Comentarios

excesivo

Es el momento de hacer como en las series gringas, quitar la batería al móvil y pisotearlo e irse a vivir al monte con las cabras.

V 9
K 88
D
editado

#3 Como en este caso:

V 2
K 28
D

Al final la culpa de los malditos punteros... ¡viva Java!

Si os interesa el tema os recomiendo la respuesta original en el blog de Cloudflare.
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Por lo pronto he cambiado mi clave de digitalocean, laravel y laracasts...

V 5
K 56
u_1cualquiera

#7 y Brazzers

V 1
K 17
verocla

Mas de 4 millones de sitios posblemente afectados,

https://github.com/pirate/sites-using-cloudflare

V 4
K 47
Cervato

#2 telita... a ver que hacen ahora con todos esos datos.

V 0
K 6
D

#15 Tiene guasa que eso lo diga un pobrecito hablador meneador

V 4
K 39
Howard

Menéame se está convirtiendo en una red social de informáticos de izquierdas.

V 5
K 38
mmm_

#8 ¿Alguna vez fue otra cosa?

V 15
K 97
D

#8 Eso es barrapunto.com

V 2
K 27
redscare

#8 La resistencia es inútil, seréis asimilados.

V 3
K 23
ccguy
autor

#8 ¿tú eres de los que piensas que menéame la iniciaron unos licenciados en derecho?

V 2
K 37
Howard

#52 Evidentemente, no. Pienso que aquí las noticias sobre mundos informáticos están sobrerepresentadas, lloro un poco, y se me pasa.

V 0
K 6
ccguy
autor

#55 También puedes subir tú de otros mundos

V 0
K 19
Howard

#56 no hay suficientes maderistas de derechas que me apoyen

V 0
K 7
capitan__nemo

Este tipo de vulnerabilidades serán las que se usen para explotar los datos de los megadatabrokers como acxiom.

Todo esto nos indica que a las corporaciones no les deberiamos entregar datos autenticos que van a terminar siendo hackeados. Los datos básicos para que el servicio funcione (un email, pass) el resto deberian ser falsos por si carne en manos de cualquiera.

Cuando te dicen, no compartiremos tus datos con terceros, es mentira, no pueden garantizar eso y lo saben. Es una ficción, una estafa ponzi.

V 2
K 33
D
editado

#16 "no compartiremos tus datos con terceros" significa que no lo hacen de forma voluntaria y constante... porque hay otros que sí lo hacen, y durante muchos años ha sido la forma de actuar normal de todo el mundo, vender los datos al mejor postor sin avisar siquiera.

V 1
K 18
capitan__nemo

Bueno, pero ¿De los datos expuestos que tramas corruptas o de los poderes se han descubierto?

Tramas como por ejemplo cuando se filtro la base de datos de ashley madison y se vio que un montón de supuestos usuarios reales eran clones, fakeusers de la compañia.

Los hackers de google/alphabet ¿conocerán los secretos internos de las cupulas de google, el organigrama secreto y las tareas realizadas de sus departamentos de "black ops" (como en la peli "antitrust")?

¿Trabajarán como en la película "hipercube", compartimentados sin saber para qué se utilizará realmente lo que hacen en un compartimento que hace una pieza?
¿Hay algun indicador de transparencia interna y externa para las corporaciones? (son como "paises" y tendrán todas sus tramas nacionalistas y hegemonicas de los paises, su servivios de inteligencia, sus cupulas, sus cables secretos, alianzas con otros paises, alianzas secretas)

V 1
K 22
a

#11 en Google, tienen todo el código en un megarepositorio.

O sease, un ingeniero que trabaja en Google Drive, puede ver el código de gmail, google maps... Y pueden enviar parches con mejoras.

V 0
K 7
capitan__nemo
editado

#27 Pero no tiene acceso al repositorio "black" de los proyectos top secret.

Solo tendrá acceso a los repositorios y proyectos para los que tiene permiso.

V 0
K 11
a

#34 Un ingeniero de google tiene acceso a prácticamente todos, las excepciones son aquellas partes críticas de la seguridad.

Dejo aquí un pdf explicando como funciona el puesto de un ingeniero en google:
https://arxiv.org/ftp/arxiv/papers/1702/1702.01715.pdf

V 1
K 18
capitan__nemo
editado

#36 Y ese documento es para hacer creer a los de fuera de google y a los propios ingenieros de google que eso es verdad, y que trabajan en un sitio en lo que eso es verdad.
Aunque eso es verdad en una de las secciones compartimentadas de google.

¿Encajan los datos?
Por ejemplo, imagínate que sabes que google recopila XXXXX terabytes al minuto, los procesa y refina para que queden YYY, esto da unas necesidades nuevas de ZZZ teras al dia, con lo cual tal o cual datacenter estará al tope está fecha y hay x, y, z planes para aumentarlo.

Pero de repente dices ¿Veo que tenemos una sobrecapacidad excedente, demasiado excedente?
¿Y en esos megadatacenters qué están haciendo y por qué no figuran en el inventario a y no tenemos acceso?
¿Qué se hace realmente en aquel departamento?¿Les habran dicho tambien a ellos que no pueden comentar x,y o z fuera del departamento a los otros ingenieros de google?

V 0
K 11
capitan__nemo

#38 #36
Y de todas formas podrian estar todos los departamentos black, google black, en una subestructura societaria paralela.

Se trata de unas empresas diferentes de google/alphabet pero que pertenecen a google/alphabet y sus capos, a través de una estructura de sociedades pantalla y capitales cruzados. En vez de seguir los volúmenes de bytes (flujos de teras generados) habría que seguir los volumenes de dinero,.las estructuras contables y flujos de dinero anomalos, u opacos, encriptados, ofuscados.

V 0
K 11
a

#38 yo hablaba del código. De la arquitectura no he dicho nada.

Google por supuesto tiene sobrecapacidad, no solo porque tiene que responder al peor caso, sino porque ofrecen servicios de cloud.

Yo no sé qué películas os montáis, habláis como si google traficara con órganos o algo parecido.

V 0
K 7
capitan__nemo

#45 ¿la cloud de quien te crees que se usa para traficar con organos?
La cloud de google en la que corren sistemas de la deep web desde los que se trafica con organos.

V 0
K 11
Interrogacion
editado

Por eso yo solo uso 5¼-inch flopy disk. Y los datos que de verdad importan en tarjetas perforadas de titanio.

V 2
K 20
U5u4r10

#4 Eso se degrada con el tiempo. Lo mejor es un cincel y una piedra.

V 3
K 37
zoezoe

Hey !...cifrar el pr0n, si estáis leyendo estas lineas (la mayoría) estáis aceptando un script de cloudflare tinfoil

V 0
K 18
D

Entonces, así brevemente, que es cloudfare?

V 1
K 12
D

#14 Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.

https://www.cloudflare.com

V 0
K 6
Stash
editado

#14 Si tienes una web, esta en un servidor.
Ese servidor tiene una capacidad por ejemplo de 10 usuarios por segundo.
Además por el tipo de web resulta que se conecta gente de Nueva Zelanda y Tomelloso
Y es un tipo de servicio atractivo para hackers que quieren hacerse con tus datos.

Un servidor normal, TU SERVIDOR, tiene el problema de:
- Defensa. Te toca pegarte con mantenerlo actualizado, con medidas de seguridad más o menos complejas, etc.
- Deslocalización. Los de nueva Zelanda van mas lentos por que geográficamente tiene más retraso de conexión
- Usuarios concurrentes: Resulta que tu negocio va viento en popa y ahora en lugar de 10 usuarios al mismo tiempo empiezas a tener 12, con lo que hay 10 más o menos lentos pero hay dos que no consiguen entrar por saturación.

Cloudflare te resuelve eso:
Mantiene una copia de tu web en sus servidores (por los que va a pasar todo el tráfico) y
-Defensa: Departamento grandote de seguridad para dar el mismo servicio a miles de clientes con cientos de riesgos de seguridad, incluido tu. Se valida hasta el navegador, etc.
- Deslocalización: Ellos tienen cientos de servidores distribuidos por todo el planeta, incluido Nueva Zelanda por lo que tus usuarios de Nueva Zelanda se conectan a los servidores de NZ y los de Tomelloso a Madrid, y todos a tope de velocidad
- Usuarios concurrentes: No problemo Tu tienes un servidor, pero ellos cientos con una copia de tu web.


Mas o menos.

El problema es que hacer un agujero a CloudFlare expone a muchos, que es lo que ha pasado.

V 29
K 214
almoss

#21 Gracias por la explicación para legos. Ahora sí que entiendo el problema.

V 1
K 18
a

#21 me imagino que la caché que hablas es para contenido estático. Para contenido dinámico es más complicado.

V 1
K 24
Stash

#28 Vale casi igual.
Una web dinámica no es TODO dinámico.
Hay una gran parte que son todo el CSS, multimedia, imágenes, etc, que va a ser siempre el mismo archivo aunque sea el resultado de componer una página, como hacen muchos CMS (Wordpress, Drupal, etc.). Si subes una foto nueva, se va a la caché suya y a partir de ahí tu servidor local ya no la suministra, grosso modo
Solo eso ya hace que tu web tenga un rendimiento muy superior.
Y tienen sistemas especializados para webs dinámicas (https://support.cloudflare.com/hc/en-us/articles/200172826-Can-dynamic-sites-work-with-Cloudflare-)
Para el resto de solicitudes dinámicas tienen protocolos de compresión que pueden llegar a comprimir el tráfico entre tu servidor y el del CDN hasta en un 700% (https://www.cloudflare.com/website-optimization/railgun/)

Pero aparte se busca también la seguridad y como las peticiones iniciales las procesan ellos, hacen que mucha de la mierda que llega a tu servidor como ataque lo mitiguen ellos de partida, pero no todo.

De todas formas no soy experto en CDN y es un tema que he tocado de forma tangencial. Seguro que hay alguien que puede aportar mas información en ese sentido.
Vaya, justo a tiempo ---> #32 lo explica bien en ese sentido

V 0
K 11
M

#28 Si es contenido dinámico, por definición, no es cachable!

V 0
K 7
redscare
editado

#21 Buena explicación. Pero usar un CDN como cloudflare no te libra de tener que estar al día en seguridad. Si tu web es estática no hay mucho problema, pero si tienes contenido dinámico (permites al usuario hacer búsquedas, por ejemplo) al final el CDN solo sirve el contenido estático y son tus servidores los que procesan la request del usuario y le devuelven los datos apropiados. Y ahí necesitas seguridad porque el usuario esta yendo directo a tus servidores. Cloudflare te ayuda en ese caso, con filtros que detectan peticiones maliciosas. Pero eso, solo ayuda.

V 6
K 60
D

#32 De hecho no, la CDN no cacheará el contenido dinámico pero no se establece una conexión entre el usuario y tus servidores, la CDN te hace de gateway con el potencial que eso tiene.

Además no expones tus IPs reales a nadie ni hay forma de que las sepan, y si alguien las supiera configuras tu entorno perímetral de seguridad física y lógica para que permita solo conexiones desde los nodos intermedios de la CDN, con eso te aseguras que todas las peticiones que llegan a tus servidores lo hacen a través de la CDN donde habrás puesto la medidas de seguridad que permitan que los ataques se queden en su red.

V 3
K 31
daphoene

#48 Buena puntualización, iba a escribir eso mismo. A riesgo de volverme demasiado técnico, en algunos casos sí expones tus ips, si tienes el correo en el propio servidor, pero eso no es culpa de CloudFlare.

V 2
K 24
Jakeukalane

#21 ¿y qué significa que hayan destapado datos? ¿Datos de quien? ¿De los usuarios? ¿De los creadores de las páginas web? ¿Credenciales de usuario de esas páginas?

V 0
K 10
Jakeukalane

#41 #21 ya he podido leer bastantes cosas. Como dicen en reddit. This is huge.

V 0
K 10
Summertime

#21 que bien explicado!!.
Gracias

V 0
K 10
s
editado

#21 Esta bien explicado, pero solo puntualizar una cosa:

- El servidor vas a seguir necesitandolo. Por lo tanto, vas a seguir necesitando generalmente un administrador (si no sabes mantenerlo). Un administrador de sistemas hoy en dia es basico, porque todo se mueve por sistemas. Y la seguridad, es basica, porque sino, nos podemos meter en un buen problema.

Asi que solo añadir a lo tuyo, que, efectivamente tenemos un servidor, que tienes contratado un servicio externo bajo cloudflare, pero lo de optimizarlo, securizarlo y monitorizarlo va a seguir haciendo falta. Es mas, no creo que llegue el dia que no haga falta. CloudFlare NO es un administrador de sistema.

V 1
K 17
D

#21 Muchas gracias por tu tiempo y tu respuesta.

V 0
K 9
D
editado

Y tienen que decirlo un viernes ????? lol

V 1
K 11
Candidatas
7
meneos
tecnología ¿Cuántos coches eléctricos hay en España?
28
meneos
tecnología Cómo los teléfonos móviles están matando a nuestros hijos y qué podemos hacer al respecto
21
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
11
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
18
meneos
tecnología Se suponía que las escuelas simplemente bloquearían la pornografía. En lugar de eso, sabotearon las tareas escolares y censuraron los sitios de prevención del suicidio (EN)
13
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
8
meneos
tecnología TSMC impondrá una prima por producir chips fuera de Taiwán: Una estrategia geopolítica y económica
6
meneos
tecnología La maldición de Monkey Island (The Curse of Monkey Island) (ENG)
6
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
9
meneos
tecnología Sí, has oído bien, se ha filtrado una nueva versión de Windows 7
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
7
meneos
tecnología El 87% de los compradores de un Tesla en E.E.U.U volverían a comprárselo
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
15
meneos
tecnología Paga 14.000 euros por 10 horas de trabajo a un artista que utiliza IA y se emociona al asegurar que "nadie está a su nivel"
8
meneos
tecnología Tiktoktives Cap.2
5
meneos
tecnología Mario conoce a Pareto (ENG)
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
6
meneos
tecnología GPT-4 Turbo llega a los usuarios de ChatGPT Plus. Ahora sus respuestas son más directas y sufren menos verborrea
oliver7
editado

Me parece que he entendido la película... ¿la policía sabía que los de asuntos internos les tendían una trampa?

lol

V 0
K 11
Peachembela

No a las nubes

V 0
K 10
ED209

aclaración: un montón son varios teracampos de fútbol

de nada

V 0
K 10
PussyLover

Pues viendo el listado de dominios, solo empezando por números y la A ya hay varios sitios conocidos...

V 0
K 9
g

La nube es como la energía nuclear. Hay pocos accidentes pero cuando ocurren...

V 0
K 6
A

La nube la nube!

V 0
K 6
D

#12 ¿A qué huelen las nubes?

V 0
K 7
blogtraicao
editado

Cloudflare é a melhor hospedagem do mercado.

V 0
K 5
Arnau_Mukhtar

Pura publicidad para que nos preguntemos qué es cloud flare

V 7
K -5
retsalah

#5 Uhm.. Creo que todos sabemos lo que es Cloud Flare...

V 5
K 35
joffer

#6 hombre todos todos pues no.

V 2
K 17
Cehona

#6 ¿Que es Cloud Flare... ?

V 0
K 11
garnok

#22 ¿que no es cloud flare?

V 0
K 8
Joice

#6 Claro, claro...

V 0
K 7
ccguy
autor

#5 ¿por qué a algunos os gusta presumir de ignorancia y desinterés? Cloudflare es una parte importante de la infrastructura de millones de sitios web.

V 4
K 51
Arnau_Mukhtar

#40 No presumo de ignorancia y menos de desinterés. Hoy he sabido que cloudflare es parte importante de de la infraestructura y he hecho un chiste sobre mi ignorancia. He buscado en internet "qué es cloudflare". De presumir a reírse de uno mismo hay un abismo,

V 0
K 6