기타 지식

보안)클라우드플레어 메모리 누출 사고에 관한 약간 자세한 이야기 #클라우드블리드

cloudbleed.png



클라우드플레어의 파서에서 특정 HTML을 파싱할 때 메모리의 내용 중 일부가 무작위로 보내지는 취약점이 발견되었습니다.(글쓰는 현재 시점에서는 수정되어 있습니다) 파서는 이메일 암호화, Server side exclude, Automatic HTTPS Rewrites 세 기능을 지원하기 위해 사용되었으며 유출되었을 수도 있는 내용에는 HTTP 쿠키, 요청 본문, HTTP POST 본문 등이 있다고 합니다.(하트블리드 사태때와는 달리 HTTPS 인증서 개인키 등은 유출될 수 없는 상황이었다고 합니다)



출처: https://www.xetown.com/alley/511392 XE TOWN YJSoft 님

YJSoft 님 블로그 http://blog.naver.com/yyj9411


--------------------


클라우드플레어 측에서 발표한 내용은 기술적인 디테일에만 치중하고 사건의 심각성을 축소하려는 의도가 보입니다. 취약점을 발견한 구글 엔지니어들에 따르면 몇 년 전 난리가 났던 하트블리드 취약점만큼이나, 아니 그것보다 더 심각한 문제가 될 수도 있다고 하는데요...

 

구글 측의 버그 발견 및 클플과의 긴밀한 협조 과정은 여기에 나옵니다. (영문)

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

 

이번 사건에 대한 해커 뉴스 토론 페이지입니다. (영문)

https://news.ycombinator.com/item?id=13718752

 

하트블리드에 빗대어 "클라우드블리드"라는 이름과 로고까지 벌써 나왔습니다 ㅡ.ㅡ

 

지난 주 금요일경 클플을 사용하는 몇몇 사이트를 구글봇이 긁어오다가 이상한 데이터가 섞여 있는 것을 발견한 것이 사건의 발단입니다. 이상한 데이터를 구글 개발자들이 분석해 보니 전혀 무관한 사이트의 내용은 물론이고 쿠키와 비번 등 민감한 개인정보까지 마구 섞여 있었다고 하네요. 클플을 사용하는 사이트들끼리 데이터가 섞인 것이지요.

 

"The examples we're finding are so bad, I cancelled some weekend plans to go into the office on Sunday to help build some tools to cleanup. I've informed cloudflare what I'm working on. I'm finding private messages from major dating sites, full messages from a well-known chat service, online password manager data, frames from adult video sites, hotel bookings. We're talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything."

 

버그를 처음 발견한 구글 엔지니어 '태비스 오르만디'에 따르면 모 데이팅 사이트 사용자들이 주고받은 쪽지, 유명한 채팅 서비스의 채팅 기록, 각종 비번, 야동 스샷, 호텔 예약 정보 등이 다른 사이트 소스와 마구 섞여서 표시되었다고 합니다 ㄷㄷㄷ

 

버그가 발생한 사이트는 클플 측의 발표에 따르면 161개이지만 해외 개발자 커뮤니티에서 들리는 루머에 따르면 최대 4천여 개가 될 수도 있다고 합니다. 문제는 클플 시스템의 특성상 버그가 발생한 사이트뿐 아니라 그들과 같은 지점(ICN, LAX 등)을 경유하여 접속되는 다른 사이트의 데이터도 마구 섞였을 수 있기 때문에, 클플을 사용하는 전세계 4백만 개 이상의 사이트 중 어느 누가 피해를 보았을지 모른다는 것입니다. (나무위키에 느닷없이 일베 내용이 섞여서 나온다거나, 오유에 댓글을 썼더니 더쿠 비번이 뙇! 나오는 식이었다고 이해하시면 됩니다. 이것은 이해를 돕기 위한 예제일 뿐이고, 실제로 나무위키나 더쿠 등이 피해를 보았는지는 알 수 없습니다.)

 

구글 측의 일방적인 주장일 수도 있지만, 구글이 클플과 딱히 경쟁관계에 있는 것도 아니고 일부러 클플에게 안 좋은 얘기를 퍼뜨릴 이유도 없으니... 털린 쪽에서 어떻게든 고객 유출을 막으려고 빙빙 돌려서 하는 말보다는 구글 엔지니어의 설명에 더 신뢰가 가는 것은 사실입니다.

 

버그 발견 후 공개하기까지 1주일간 클플 직원들과 구글 보안팀은 주말을 반납하고 긴밀한 협력을 통해 개인정보가 노출되었을 위험이 있는 주소들을 구글 캐시에서 제거하는 작업을 했다고 하는데요... 그러나 네이버, 바이두 등 다른 검색엔진들이 긁어간 데이터는 어떻게 되었는지 모릅니다. 클플이 알려준 주소들을 구글 캐시에서 지운 후에도 여전히 우버(Uber), 핏빗(Fitbit) 등 유명 서비스 사용자들의 개인정보가 검색된다는 얘기가 들리는 것으로 보아, 어떤 주소에서 개인정보가 유출되었는지 클플조차도 제대로 파악하지 못하고 있을 가능성이 있습니다.

 

국내에서는 예전만 못한 속도 때문에 안 그래도 클플에 대한 불만이 고조되고 있는데, 이번 보안사고가 클플의 미래에 어떤 영향을 줄지 걱정이 됩니다. 클플을 사용하면 보안이 향상된다는 광고멘트를 더이상 믿을 수 없게 되었고, 무엇보다도 CDN 때문에 전혀 생각지도 못한 보안사고에 노출될 수도 있다는 사실이 밝혀졌으니까요.

 

개인적으로는 이번 사건을 계기로 클플의 공격적인 마케팅에 제동이 걸리고, 인캡슐라나 클라우드브릭 등 경쟁업체들이 힘을 얻어서 CDN 시장에도 경쟁이 좀더 치열해졌으면 좋겠습니다. 그래서 한국 사용자들이 빠르고 편리하게 사용할 수 있는 옵션이 늘어나면 좋겠네요.



출처: https://www.xetown.com/alley/511392#comment_511434 XE TOWN 기진곰 님

기진곰 님 홈페이지 https://www.poesis.org/

기진곰 님 블로그 https://www.kijinsung.com/


----------

결론: 시끄럽고 비번이나 바꿔라 노예들아

맞다, 비밀번호 관리 프로그램은 KeePass 강력추천한다. 번역파일 다운받으면 한국어로도 쓸수 있어.
꽤 유서깊은 프로그램인데 장점은 니 비밀번호를 다른 인터넷상에 저장하지 않아도 된다는거고 메모장보다 편하면서 또 무료야.

5개의 댓글

2017.02.26
[삭제 되었습니다]
0
2017.02.26
@판다렌
공항코드 (X) UN LOCODE (O)
0
2017.02.27
@판다렌
글세 나도 모르겠는데. 그 코드대로 특정한 서버를 지칭하는것 같던데.
0
2017.02.26
근데 난 뭐 털릴게없넹
0
쿠키 : 사용자 컴퓨터에 저장된 정보
본문 : 말그대로 글 본문
HTTP POST : 서버에 입력된 정보

기술적으로 써놓았는데 사실상 모든 정보가 다 유출되었을 수 있었다는 거네
0
무분별한 사용은 차단될 수 있습니다.
번호 제목 글쓴이 추천 수 날짜
5227 [기타 지식] 카우치 사건은 정말 인디 음악을 끝장냈는가? 21 프라이먼 13 18 시간 전
5226 [기타 지식] 알코올 중독에 빠질 수 있는 칵테일, 브랜디 알렉산더편 - 바... 1 지나가는김개붕 4 1 일 전
5225 [기타 지식] 세계에서 제일 잘 팔리는 칵테일 중 하나, 위스키 사워편 - ... 2 지나가는김개붕 3 2 일 전
5224 [기타 지식] 왜 나는 독일을 포기하고 캐나다로 왔는가 26 상온초전도체 10 2 일 전
5223 [기타 지식] 독한 칵테일의 대표, 파우스트편 - 바텐더 개붕이의 술 이야기 5 지나가는김개붕 2 2 일 전
5222 [기타 지식] 칵테일에도 아메리카노가 있다. 편 - 바텐더 개붕이의 술 이야기 6 지나가는김개붕 6 5 일 전
5221 [기타 지식] 미국은 왜 틱톡을 분쇄하려 하는가? 14 K1A1 29 13 일 전
5220 [기타 지식] 아마도, 미국에서 가장 사랑 받는 칵테일 마르가리타편 - 바... 7 지나가는김개붕 9 14 일 전
5219 [기타 지식] 카이저라이히 다큐멘터리 E07. 왕관과 초승달 3 김팽달 0 16 일 전
5218 [기타 지식] 1편보다 나은 2편, 콥스 리바이버#2 편 - 바텐더 개붕이의 술... 1 지나가는김개붕 6 18 일 전
5217 [기타 지식] 애플 잭을 언급했으니 나오는 칵테일, 잭 로즈 편 - 바텐더 ... 1 지나가는김개붕 3 20 일 전
5216 [기타 지식] 얼려서 만드는 술, 애플잭편 - 바텐더 개붕이의 술 이야기 11 지나가는김개붕 6 21 일 전
5215 [기타 지식] 부드러운 입문용 버번, 우드포드 리저브 - 바텐더 개붕이의 ... 13 지나가는김개붕 5 22 일 전
5214 [기타 지식] 카이저라이히 다큐멘터리 E06. 영원한 제국 김팽달 1 25 일 전
5213 [기타 지식] 카이저라이히 다큐멘터리 E03. 불타는 브리튼 2 김팽달 3 28 일 전
5212 [기타 지식] 카이저라이히 다큐멘터리 E02. 유럽의 붉은 새벽 김팽달 1 28 일 전
5211 [기타 지식] 미술은 부자만 할 수 있을까? 에 대한 현실적인 이야기 8 알라신1 10 29 일 전
5210 [기타 지식] 엄벌주의에 반대하는 6가지 이유 78 술콩 38 2024.02.24
5209 [기타 지식] 유명하고 인기도 많지만 잘 안 만드는 칵테일, 피나 콜라다 ... 7 지나가는김개붕 9 2024.02.24
5208 [기타 지식] 뉴올리언스, 그리고 칵테일편 - 바텐더 개붕이의 술 이야기 14 지나가는김개붕 11 2024.02.20