image

Security.NL incident-reponse Cloudflare-kwetsbaarheid

vrijdag 24 februari 2017, 13:28 door Redactie, 54 reacties
Laatst bijgewerkt: 24-02-2017, 14:17

Security.NL maakt gebruik van Cloudflare om de website te optimaliseren en om abuse zo veel mogelijk tegen te gaan. We hebben dan ook direct na het bekend worden van de Cloudflare-kwetsbaarheid ons incident-responseplan gestart.

We hebben geen enkele indicatie dat de gegevens van Security.NL-gebruikers in het geding zijn geweest.

De Cloudflare-kwetsbaarheid trof slechts 0,00003 procent van alle http-verzoeken die via Cloudflare worden afgehandeld. Toch hebben we besloten om pro-actief een aantal verschillende acties uit te voeren. De belangrijkste hiervan is dat je verplicht een nieuw wachtwoord moet instellen voor je Security.NL-account.

Alle Security.NL-gebruikers hebben een e-mail met een wachtwoordreset-link ontvangen. Let op dat je niet hetzelfde wachtwoord opnieuw mag gebruiken. Tevens hebben we direct de reverse proxy functionaliteit van Cloudflare uitgeschakeld en zijn we een migratietraject gestart om in zijn geheel te stoppen met het gebruik van Cloudflare.

Als onderdeel van het incident-responseplan hebben we de volgende acties uitgevoerd:

  • Onderzoek naar impact voor Security.NL uitgevoerd.
  • Onderzoek naar verdachte logins op Security.NL-accounts uitgevoerd, niet gevonden.
  • Cloudflare reverse proxy functionaliteit uitgeschakeld.
  • Alle wachtwoordreset-tokens van alle Security.NL-accounts gereset.
  • Alle bestaande (https-)sessies gereset.
  • Alle wachtwoorden van alle Security.NL-accounts gereset.
  • Wachtwoordreset-link naar alle Security.NL-gebruikers gemaild.
  • Migratieplan gestart om Cloudflare gebruik geheel te stoppen.

Mocht je vragen naar aanleiding van dit artikel hebben, neem dan contact op met redactie@security.nl

Update: De wachtwoordreset-links worden momenteel verstuurd, het kan even duren voordat je hem binnen hebt. In de tussentijd kan je altijd gebruik maken van de "Wachtwoord Vergeten" functionaliteit om een nieuw wachtwoord te kiezen. Je oude wachtwoord is uiteraard wel direct ongeldig gemaakt.

Reacties (54)
24-02-2017, 13:46 door Anoniem
'Migratieplan gestart om Cloudflare gebruik geheel te stoppen. '
En dan? Volledig stoppen met het gebruik van deze dienst, wat gaan jullie dan gebruiken?
24-02-2017, 13:51 door Anoniem
Nou zijn jullie het aan jullie eer verplicht, maar zo hoort een afhandeling van een mogelijke data breach plaats te vinden. Complimenten.
24-02-2017, 13:57 door Anoniem
zijn we een migratietraject gestart om in zijn geheel te stoppen met het gebruik van Cloudflare.

Hulde!
Tenminste als Torbrowser gebruikers dan niet langer zo ontzettend worden gepest met vortdurende volstrekt onnodige blokkades.

Het was in ieder geval niet privacy vriendelijk, Cloudflare luisterde immers bij alles mee op de lijn.
24-02-2017, 14:08 door Anoniem
Wanneer gaan we ons eigenlijk hier in Europa en Nederland eens realiseren, hoe lang de algemene internet infrastructuur al zo lek als een mandje is. Kennelijk zijn niet veel security officers op de hoogte van de inhoud van deze website: http://www.crimeflare.com/

Ze hadden het dus toch al een tijdje kunnen weten, wat er speelt.

Maar na opnieuw een nieuw groot lek-incident schrikken we even wakker, maar gaan daarna weer even naief weer door met hetzelfde onverantwoorde veiligheidsbeleid. Net als recentelijk bij de DBB, niet screenen en achteraf geschrokken vaststellen wat niet had mogen gebeuren, maar ondertussen nooit het boetekleed aantrekken of iets daadwerkelijk veranderen. Wat moet er eigenlijk nog gebeuren om de zaak eens echt goed op de rails te willen krijgen.

Hoeveel data moeten er nog ten dienste van de grote globale spelers uit het Europese en Nederlandse raam verdwijnen eer we echt wakker worden uit onze Rip van Winkle slaap. Wellicht komt er op deze posting geen enkele reactie, dan is alles al verworden tot een achterhoedegevecht en zijn degenen, die er over gaan, niet echt van plan iets doortastends te doen.

In de tussentijd kunt u zich hier vermaken: http://www.doesitusecloudflare.com/

Ik zou zeggen bye bye Cloudflare, GoDaddy en andere grote Amerikaanse bulk providers, tot ziens in betere dagen!
Het is onze infrastructuur en we zitten hier op het oude continent! Jullie hebben bewezen niet onze interessen te dienen.
24-02-2017, 14:11 door FSF-Moses
Goed bezig. Hopelijk volgen andere site ook dit voorbeeld!
24-02-2017, 14:13 door Anoniem
Nee hoor, geen account password reset email ontvangen...
24-02-2017, 14:22 door Acumen
Done, thx voor het nemen van verantwoordelijkheid!
24-02-2017, 14:23 door Bitwiper
Door Redactie: Migratieplan gestart om Cloudflare gebruik geheel te stoppen.
Da's mooi!

PS mijn account doet het ook weer ;-)
24-02-2017, 14:36 door [Account Verwijderd]
[Verwijderd]
24-02-2017, 14:41 door RuudU - Bijgewerkt: 24-02-2017, 14:44
Wie iets bedenkt, dient zich te realiseren dat alk veiligheidsadvies DAADWERKELIJK uitvoerbaar moet zijn voor de vele inlogs waar iedereen mee opgescheept wordt. Ik moet momenteel 123 sterke wachtwoorden beheren. En dat kan NIEMAND uit zijn hoofd. Wie mensen laat inloggen, moet dus het gebruik van hulpmiddelen ondersteunen.

Leg mij nu eens uit waarom ik niet automatisch mag inloggen vanaf mijn stick (bit-locked) maar handmatig ook nog een captcha moet intoetsen. Als dit een juiste methode is moeten 123 sites dat ook doen en wordt internet voor oma van 80 onbruikbaar. Internet is niet voor de intelligente academische bonzen, maar voor de gemiddelde domme Jan met de pet! En onze hoog geleerde academici dien te zorgen dat zij GEBRUIKERSVRIENDELIJK en (dus niet of) VEILIG kunnen werken.
24-02-2017, 14:49 door Anoniem
@redactie.

Dit is heel goed gedaan! Zo moet je ook de veiligheid waarborgen door meteen actie te ondernemen!

Weliswaar off-topic, maar zeker vermeldenswaard: een groep inbrekers bleek het voorzien te hebben op bepaalde sleutelkluizen (die buiten via het pand benaderbaar zijn). Deze groep van criminelen was er achter gekomen dat de sleutelkluis te forceren was waardoor de sleutel van de buitendeur voor het grijpen lag. Meteen toen ik daarvan hoorde heb ik (als beheerder) de sleutel uit de kluis gehaald van het pand. Wat denkt u wat er korte tijd daarop gebeurde? Juist ja, verbreking van de sleutelkluis. Maar de inbrekers vonden geen sleutel in de koker en zo werd een inbraak in het pand voorkomen.

Bij security moet je er echt bot-bovenop zitten!
24-02-2017, 14:51 door Anoniem
"Wachtwoordreset-link naar alle Security.NL-gebruikers gemaild."
Dit vind ik misschien nog een punt van verbetering. Dit soort mails wordt ook als phishng verstuurd met nep-links. het gebruik van links in dit type mails zou eigenlijk afgeschaft moeten worden om dit type phishing de kop in te drukken. verder complimenten voor de openheid en de goede aanpak.
24-02-2017, 14:52 door Mysterio
Bye bye Cloudflare! Kan ik eindelijke deze site fatsoenlijk benaderen met de TOR browser.
24-02-2017, 15:07 door User1239812938
Goede IH actie. maar toch even scary met die geweldige pop-up. Toch maar even checken op XSRF :)
24-02-2017, 15:07 door Anoniem
Door Mysterio: Bye bye Cloudflare! Kan ik eindelijke deze site fatsoenlijk benaderen met de TOR browser.
Dan kon je al door naar het ui-pictogram te gaan (links boven in de hoek v/d browser) en te kiezen voor "nieuwe identiteit".
24-02-2017, 15:16 door Anoniem
Mag ik jullie bij security.nl een compliment geven? Vooral de transparantie over dit incident noem ik echt TOP.
Als je een klant goed kwaad wil maken dan is het wel het verzwijgen over een security-incident waar die klant last van kan hebben. Kijk maar eens naar de fail van Yahoo!
24-02-2017, 15:26 door Anoniem
Ook op de lijst https://github.com/pirate/sites-using-cloudflare: fok, dumpert, geenstijl, nrc, wehkamp ...
24-02-2017, 15:27 door spatieman
kijk, hier word de koe geslacht als die nog vers is xD
24-02-2017, 15:28 door Briolet
Door Anoniem: Dit soort mails wordt ook als phishng verstuurd met nep-links. …

Er zat ook helemaal geen authenticatie in de mail (SPF of DMARC). Het enige wat controleerbaar was in de mail, was dat de link naar 'https://www.security.nl' wees. Op zich moet dat genoeg zijn.

Maar dit wachtwoord heeft wel een heel laag risico bij uitlekken. Men kan daarmee alleen onder mijn account berichten plaatsen of aanpassen. Na één posting valt dat al op.
24-02-2017, 15:38 door Anoniem
Door Anoniem: Ook op de lijst https://github.com/pirate/sites-using-cloudflare: fok, dumpert, geenstijl, nrc, wehkamp ...

Geeft wel een vertekend beeld. Miljoenen mensen maken gebruik van de cloudflare DNS, die staan ook op deze lijst en zijn niet kwetsbaar. Volgens mij alleen als je de SSL proxy gebruikt.
24-02-2017, 15:51 door Anoniem
Gaan we nu inzien waarom het genereren van de juiste SRI-hashes zo belangrijk kan zijn voor de website veiligheid.
Daar ging het in het geval van de code fout bij CloudFlut ook mis. Een dure = inplaats van een + !
En maandenlang onopgemerkt tot Omandy het zag.

luntrus
24-02-2017, 16:00 door Anoniem
Door Briolet:
Door Anoniem: Dit soort mails wordt ook als phishng verstuurd met nep-links. …

Maar dit wachtwoord heeft wel een heel laag risico bij uitlekken. Men kan daarmee alleen onder mijn account berichten plaatsen of aanpassen.

Nee, men kan meer.
Bij de weinige gebruikers die hier niet anoniem zijn en een account op naam hebben en de paar waarvan de echte naam toch hier en daar bekend is.
Bij die gebruikers kon men (al geef ik ze weinig kans) proberen of het gebruikte password ook zou werken bij een ander (social media etc.) account.
Hergebruik van passwords is een fenomeen dat veel blijft voorkomen.

Met een reset van passwords voorkomt security.nl misbruik bij ietwat nalatige gebruikers.
En iedereen weet dat de kraan bij de loodgieter net wat langer lekt en dat er bij de schoonmaker thuis best wel een pluisje stof te vinden is.
Niet bij allemaal maar toch.
24-02-2017, 16:04 door Anoniem
Security dot nl neemt de juiste beslissingen en onverwijld. Hulde, driewerf hulde!

En gelijk begint het downgraden van de omvang van dit probleem door anderen. Echt menselijke eigenschap. Eerst het eigen straatje schoonvegen en de zaak zo veel mogelijk bagatelliseren. Waarom heeft je security officer het dan niet zelf gezien?
Waarom heeft ie niet gezorgd dat je er veilig voor was door er maatregelen tegen te nemen? Regeren is toch vooruitzien.

Toegeven nu met z'n allen: we hebben een enorm probleem met de veiligheid in het algemeen van de infrastructuur in de cloud. Dat kan tevens een probleem zijn voor onze concurrentie positie in de wereld en de veiligheid van onze eindgebruikers.

En niet weer snel de grote spelers opnieuw in bescherming nemen. Waartegen eigenlijk? Laat ze maar eens goed op hun r**t gaan voor het gevoerde veiligheidsbeleid, de onkunde en het gaan voor de vlugge graai dollar. Helaas, pindakaas,boys!
24-02-2017, 16:07 door Anoniem
Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.
24-02-2017, 16:13 door [Account Verwijderd] - Bijgewerkt: 24-02-2017, 16:13
Hulde voor http://security.nl!

Prima incident opvolging. ;-)

Fijn weekend!
24-02-2017, 16:37 door john west
Redactie prima werk.

Eindelijk het paswoord veranderd, was nog van 01-02-2012

Paswoorden veranderen schieten er meestal bij in.

Privacy is nummer 1
24-02-2017, 16:54 door Anoniem
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Misschien in je spam-folder? Je kan ook zelf je wachtwoord resetten met behulp van "Wachtwoord Vergeten" op het inlogscherm.
24-02-2017, 17:00 door Briolet
Door Anoniem: Nee, men kan meer…
…Bij die gebruikers kon men (al geef ik ze weinig kans) proberen of het gebruikte password ook zou werken bij een ander (social media etc.) account.
Hergebruik van passwords is een fenomeen dat veel blijft voorkomen.…

Denk even door, dan zie je dat je redenering niet klopt. Als men al het wachtwoord hergebruikte op sociale media, dan helpt het niet om het wachtwoord hier aan te passen. Het risico zit dan juist op die andere locaties.
Maar bij gebruikers van deze site verwacht ik toch unieke wachtwoorden.
24-02-2017, 17:04 door Anoniem
Door Anoniem:
zijn we een migratietraject gestart om in zijn geheel te stoppen met het gebruik van Cloudflare.

Hulde!
Tenminste als Torbrowser gebruikers dan niet langer zo ontzettend worden gepest met vortdurende volstrekt onnodige blokkades.

Het was in ieder geval niet privacy vriendelijk,
helaas heeft TOR ook een heel hoop nadelen, en dat vergeet iedereen even.
Als ik persoonlijk lijk op mijn eigen gehoste websites... Sinds ik TOR gewoon hard blockeer in de firewalls, heb ik bijna geen ellende meer op mijn webservers. Dat geeft je toch te denken... Misschien is er een redenen waarom TOR verkeer extra maatregelen nodig heeft...... En misschien ook niet. Ik kan alleen maar kijken naar mijn eigen situatie. Cloudflare, kijkt naar een heeeeeeeeeeeeeele grote populatie, en hieruit trekken ze een bepaalde conclusie. Misschien met een redenen?

Cloudflare luisterde immers bij alles mee op de lijn.
Heb je hier ook een bron van, dat ze dit ook werkelijk doen.


Door Anoniem: Wanneer gaan we ons eigenlijk hier in Europa en Nederland eens realiseren, hoe lang de algemene internet infrastructuur al zo lek als een mandje is.
Waarom zelf alles bouwen, en het wiel eigenlijk iedere keer opnieuw uitvinden. Cloudflare is gewoon een dient die voor veel bedrijfen onmogelijk is om zelf te bouwen en te onderhouden.
En om zo'n dienst zelf te bouwen, is eigenlijk een groot risico, immers je moet ook gekwalificeerd personeel hiervoor hebben. Want zonder dat, heb je eigenlijk exact het zelfde, maar dan in house.

Kennelijk zijn niet veel security officers op de hoogte van de inhoud van deze website: http://www.crimeflare.com/

Ze hadden het dus toch al een tijdje kunnen weten, wat er speelt.
Onzin. Dit is gewoon een eigenschap van een reverseproxy voor https. Site is gewoon gemaakt door iemand die wilt schoppen en nergens zijn zin krijgt, en toch vind dat hij gelijkt heeft.

Ik zou zeggen bye bye Cloudflare, GoDaddy en andere grote Amerikaanse bulk providers, tot ziens in betere dagen!
Het is onze infrastructuur en we zitten hier op het oude continent! Jullie hebben bewezen niet onze interessen te dienen.
Ik zeg liever hallo..... Of je moet een aantal alternatieven kunnen aandragen, die ze zelfde dienst kunnen leveren?
het huidige issue, heeft hier ook helemaal niets mee te maken, waar een bedrijf zit.

Ik zou juist eerder zeggen, menig bedrijf moet lof krijgen voor zo'n snelle reactie. Zie daar maar eens ergens anders ook te krijgen.
24-02-2017, 17:35 door bowietje
Door Anoniem: "Wachtwoordreset-link naar alle Security.NL-gebruikers gemaild."
Dit vind ik misschien nog een punt van verbetering. Dit soort mails wordt ook als phishng verstuurd met nep-links. het gebruik van links in dit type mails zou eigenlijk afgeschaft moeten worden om dit type phishing de kop in te drukken. verder complimenten voor de openheid en de goede aanpak.

Ik ben het volledig met U eens, want hoeveel mensen letten er niet op naar welke website ze doorgestuurd worden en men zou een ander manier moeten vinden om deze actie uit te voeren, welke zonder meer noodzakelijk en gerechtvaardigd was.
Als je even niet oplet wordt je naar en kwaadwillende website doorgestuurd en ik heb ook 2 maal gecheckt voor ik op de link in mail geklikt heb.
24-02-2017, 17:41 door bowietje
Door Anoniem:
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Misschien in je spam-folder? Je kan ook zelf je wachtwoord resetten met behulp van "Wachtwoord Vergeten" op het inlogscherm.

Dat vind ik nog al grof om deze mensen uit te maken voor prutsers, ze doen hun werk goed en als je een vent bent, dan reageer je niet anoniem.
Het kan ook aan de instellingen van je firewall liggen of andere instellingen van je Pc of je doet zelf iets verkeerd want bij andere mensen (waaronder mezelf) werkt het wel, dus zoek eerst de fout bij jezelf voordat je zo'n grove reactie hier plaatst !
24-02-2017, 18:09 door Jodelie - Bijgewerkt: 24-02-2017, 18:12
De mail leek inderdaad op phishing.

Verder geen probleem want het werkt.

Ik had al niks met de klauwt en ik weet nu dat het ook zo blijft.
24-02-2017, 18:42 door Anoniem
@ anoniem van 17:04

Waarom mogen we geen kritiek hebben op Amerikaanse diensten. Waarom mogen we geen vragen stellen bij hun transparant zijn op veiligheidsbeleid. Een code fout een paar maanden open laten staan = i.p.v. + is toch tenminste slordig.

Lekker onderuitz akken en zeggen, ik ben van mijn verantwoordelijkheid af. Ik laat het lekker wel over aan bulkhosters en vertrouw ze op de blauwe ogen is niet beweren, dat je het wiel opnieuw uit moet vinden.

Wel betekent het deze jongens steeds duvels goed in de gaten moet houden en direct moet afrekenen op de verantwoorde (on)veiligheid. Als daar incompetentie of onveiligheid heerst heb je je infrastructuur al tot vogelvoer gemaakt.

Je kan niet wegschuilen achter de idee dat men in Amerika via bulk outsourcing al je problemen oplost en niet tegelijkertijd daar big time van profiteert of met de veiligheid een loopje neemt. Vertrouw alleen dat wat je zelf hebt geconstateerd.

Ik zeg niet dat we het beter zouden doen dan CloudFlare, wel dat we ons niet helemaal afhankelijk moeten maken van hun services en wat ze beloven en wel op een schaal van 5.5 miljoen websites wereldwijd. En hoeverre dat ze delen met big business en surveillance daar. Europa en Nederland zijn toch geen filantropische instellingen voor de Oost-Amerikaanse elite?

Verbeter de wereld en begin bij jezelf. SRI hashes goed gegenereerd, geen inline javascript gebruikt, alles gepatched en geupdate? Header security opo orde, Geen excessieve info proliferatie op servers en naamservers? Getest op XSS sinks en siources? Input en output validatie op orde. Clickjacking? Begin daar eens mee en dan heb je ook recht van spreken in de cloud of zijn die problemen ineens en stuk minder urgent.
24-02-2017, 18:58 door Anoniem
Door bowietje:
Door Anoniem:
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Misschien in je spam-folder? Je kan ook zelf je wachtwoord resetten met behulp van "Wachtwoord Vergeten" op het inlogscherm.

als je een vent bent, dan reageer je niet anoniem.

Lol!
24-02-2017, 19:03 door [Account Verwijderd]
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Natuurlijk weer een 'Anoniem' die hier zijn vuil kwijt moet omdat zijn eigen email-account verstopt zit met bagger.

Security.nl heeft dit allemaal keurig en voortvarend opgelost!
Volgende stap in het verbeteringsproces: Een verplicht account?
Dan zijn we als geregistreerde bezoekers in ieder geval van de 'plaatsvervangende ergernis' over weerzinwekkende - reactie's zoals waarop ik hier reageer - verlost
24-02-2017, 19:19 door Anoniem
Door Aha:
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Natuurlijk weer een 'Anoniem' die hier zijn vuil kwijt moet omdat zijn eigen email-account verstopt zit met bagger.

Security.nl heeft dit allemaal keurig en voortvarend opgelost!
Volgende stap in het verbeteringsproces: Een verplicht account?
Dan zijn we als geregistreerde bezoekers in ieder geval van de 'plaatsvervangende ergernis' over weerzinwekkende - reactie's zoals waarop ik hier reageer - verlost

1) - Je bent zelf anoniem, het onderscheid dat je dat nu maakt slaat nergens op, kom maar op met je naam en achternaam.

2) Anonieme reacties, dus reacties van niet-accounthouders worden gemodereerd en nogal fors, zij het weinig inzichtelijk, ook. De reactie is doorgelaten door moderatie en daarom geen reden om door te zeuren over anonieme bijdragen.
Werden de bijdragen van reageerders met een account maar eens consequent gemodereerd.
25-02-2017, 00:32 door BadAss.Sx
Top gedaan Security.nl!!
25-02-2017, 07:31 door Anoniem
Een voorbeeld hoe het wel moet.
25-02-2017, 10:13 door SecGuru_OTX
Klasse, complimenten! Zo moet het, zeker nu achteraf blijkt dat er idd ook impact op security.nl blijkt. (Volgens cloudbleedcheck.com)
25-02-2017, 10:39 door Anoniem
Door SecGuru_OTX: zeker nu achteraf blijkt dat er idd ook impact op security.nl blijkt. (Volgens cloudbleedcheck.com)

Heb je ook een bron dat er nu impact op security.nl is geweest?

Op die zelfde site vind ik namelijk het volgende terug:

DISCLAIMER:

This list contains all domains that use Cloudflare DNS, not just the Cloudflare proxy (the affected service that leaked data). It's a broad sweeping list that includes everything. Just because a domain is on the list does not mean the site is compromised, and sites may be compromised that do not appear on this list.

Ofwel het KAN, maar kan ook niet. De site geeft eigenlijk alleen maar aan dat je gebruikt maakt van Cloudflare meer niet. En dat is geen nieuws.....

Wel een nette actie van security, icm de password reset.
25-02-2017, 10:42 door Anoniem
Door SecGuru_OTX: Klasse, complimenten! Zo moet het, zeker nu achteraf blijkt dat er idd ook impact op security.nl blijkt. (Volgens cloudbleedcheck.com)

Mooi van security.nl inderdaad! De tool die je linkt is wel wat dubieus, zo te zien checked hij alleen *of* de site cf gebruikt, niet of er data gelekt is (was maar een klein deel). Ook zie ik sites die alleen DNS gebruiken van cf en niet de SSL proxy (ook niet affected). Korreltje zout dus.
25-02-2017, 10:54 door Anoniem
25-02-2017, 11:00 door [Account Verwijderd]
Door Anoniem:
Door Aha:
Door Anoniem: Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Natuurlijk weer een 'Anoniem' die hier zijn vuil kwijt moet omdat zijn eigen email-account verstopt zit met bagger.

Security.nl heeft dit allemaal keurig en voortvarend opgelost!
Volgende stap in het verbeteringsproces: Een verplicht account?
Dan zijn we als geregistreerde bezoekers in ieder geval van de 'plaatsvervangende ergernis' over weerzinwekkende - reactie's zoals waarop ik hier reageer - verlost

1) - Je bent zelf anoniem, het onderscheid dat je dat nu maakt slaat nergens op, kom maar op met je naam en achternaam.

What's in a Name? Mm?
'niet geregistreerde bezoeker' misschien het alternatief voor de muggenzifterij?

Dus: Non argument.

2) Anonieme reacties, dus reacties van niet-accounthouders worden gemodereerd en nogal fors, zij het weinig inzichtelijk, ook.

Terecht!

Want het is de beerput van de trol.

En over de zero inzichtelijkheid die Security.nl vrijgeeft ten aanzien van moderatie is hier al zo vaak gezeurd.......(!)...
èn daarop gesuggereerd dat je dat kunt voorkomen door (zucht) een account aan te maken dat ik dit niet uittentreure ga herhalen. (zinloos)

Dus: zeurpraat.

De reactie is doorgelaten door moderatie en daarom geen reden om door te zeuren over anonieme bijdragen.
Werden de bijdragen van reageerders met een account maar eens consequent gemodereerd.

Ah, spreekt hier de 'would be moderator' van Security.nl?
25-02-2017, 11:08 door Anoniem
Nou, leuker kunnen we het niet maken.
Nu kom ik er achter dat de organisatie CloudFlare een van zijn private keys is gelekt bij een machine-to-machine encryptie.

Jeetje, als dat op straat ligt, ja, dan kun je wel inpakken zeg.
25-02-2017, 11:31 door Melvyn
Waar men aan voorbij gaat is dat een caching service de end-to-end encryptie te niet doet. Op een manier die niet inzichtelijk is voor de eindgebruiker. In plaats van die achterlijke cookiewet, misschien moeten we hier een wet voor maken, dat sites die gebruik maken van zo'n service dit kenbaar moeten maken en toestemming vragen alvorens de service in te schakelen.
25-02-2017, 12:46 door Wim ten Brink - Bijgewerkt: 25-02-2017, 12:48
Best wel balen. Maar helaas hebben veel andere sites hetzelfde probleem. bij TechDirt doen ze dit nu ook.
Zie ook https://www.techdirt.com/articles/20170224/16145636783/just-to-be-safe-were-resetting-all-techdirt-passwords-response-to-cloudbleed.shtml
Ik ben benieuwd hoeveel andere bedrijven nu wachtwoorden gaan resetten...
---
CloudFlare heeft er ook een artikel aan gewijd: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
25-02-2017, 15:17 door Anoniem
Lieve mensen hier,

Met dit als aanleiding, maar toch? Waarom horen we geen Bruse Schneider of Brian Krebs over dit CloudFlare drama?

Wat is toch de reden (achtergrond) dat er op het moment zoveel mis lijkt te gaan op het Anglo-Amerikaanse deel van het Internet. Waar het het sterkst zou moeten zijn met oog op de backbone en beheer, is het tegenwoordig het meest bedreigd.

Allerlei onveiligheid, gigantische data breaches, onveilige netwerken op grote Amerikaanse universiteiten. Nu weer gebruikersdata op straat op een vliegveld en het houdt maar niet op. En als het daar begint te regenen, zitten wij ook binnen de korstte keren in de drup.

Wat is de onderliggende oorzaak? Zijn de grote globalel spelers ontevreden met de frustratie van hun plannetjes in en met de States? Is alles wat er gebeurt dus een vorm van geplande sabotage of is er sprake van gebrek aan capaciteit om de infrastructuur veilig te houden, incompetentie dus en gebrek aan goed opgeleide krachten. "Dumbed down failed state!"

Wie vertelt het hier en helpt on allen uit de droom door een insider's blik op de stand van zaken?

Een nieuwsgierige luntrus....
25-02-2017, 17:03 door Anoniem
Door Anoniem: Lieve mensen hier,

Met dit als aanleiding, maar toch? Waarom horen we geen Bruse Schneider of Brian Krebs over dit CloudFlare drama?

Wat is toch de reden (achtergrond) dat er op het moment zoveel mis lijkt te gaan op het Anglo-Amerikaanse deel van het Internet. Waar het het sterkst zou moeten zijn met oog op de backbone en beheer, is het tegenwoordig het meest bedreigd.

Allerlei onveiligheid, gigantische data breaches, onveilige netwerken op grote Amerikaanse universiteiten. Nu weer gebruikersdata op straat op een vliegveld en het houdt maar niet op. En als het daar begint te regenen, zitten wij ook binnen de korstte keren in de drup.

Wat is de onderliggende oorzaak? Zijn de grote globalel spelers ontevreden met de frustratie van hun plannetjes in en met de States? Is alles wat er gebeurt dus een vorm van geplande sabotage of is er sprake van gebrek aan capaciteit om de infrastructuur veilig te houden, incompetentie dus en gebrek aan goed opgeleide krachten. "Dumbed down failed state!"

Wie vertelt het hier en helpt on allen uit de droom door een insider's blik op de stand van zaken?

Een nieuwsgierige luntrus....
Ik zou zeggen: vraag het zelf eens aan Bruce en Brian?
25-02-2017, 22:13 door Anoniem
Door RuudU: Wie iets bedenkt, dient zich te realiseren dat alk veiligheidsadvies DAADWERKELIJK uitvoerbaar moet zijn voor de vele inlogs waar iedereen mee opgescheept wordt. Ik moet momenteel 123 sterke wachtwoorden beheren.

Ik denk dat er niemand is die zegt dat je je "moet" registreren op allerhande websites...
26-02-2017, 17:01 door Anoniem
@ de eindgebruikers,

Het is natuurlijk goed een overzicht te hebben van alle accounts waar je je ooit op hebt ingeschreven
en dan daarvan bij die die je wil behouden de accountgegevens te vernieuwen (account en/of wachtwoord veranderen).

Regelmatig is er sprake van een lek hier en daar of wordt er een forum gehackt.
De nieuwste l33t hackers hebben de titel onderzoeker of analist en moeten iets ontdekken dus.

Zo werden bijvoorbeeld in 2014 alle accountgegevens van het MBAM forum buitgemaakt.
Men had het zo slecht op orde daar, dat men een half jaar lang voor gebruikers met een crack versie
het gebruik van de software legaal moesten maken, omdat men ze niet kon checken tegen de juiste legitieme versies
van de software. Ja hier en daar heerst incompetente chaos. We weten het, maar realiseren het ons niet altijd!

Check dus eens hier: https://unroll.me/ of hier: https://haveibeenpwned.com/

Niet doen als u over-paranoïde bent en juist dan vreest spam te ontvangen of in een of andere database te verdwijnen,
Dan blijft u daar weg en leunt u niet op '3rd party' scanning resultaten, maar op de eigen beveiligingsmaatregelen.

Je gegevens zijn waarschijnlijk al via legio veilige en onveilige trackers verspreid of verkocht. Hallo!
Bij het openen van een pagina bij de telegraaf bij voorbeeld springen er al direct meer als zestig op je (browser) nekkie.

In het geval van Cloudbleed heb ik of liep ik enigszins gevaar bij 31 data verzamelaars, te weten:
AdF.ly Amazon bitly Google
Disqus DoubleClick eStat Facebook
Foursquare InfoLinks Krux Digital LinkedIn
Marin Software MaxMind Microsoft adCenter Po.st
Project Wonderful Reddit Semasio Simpli.fi
Skimbit Ltd TraceMyIP Tumblr Twitter
Tynt Typepad Stats UserVoice VigLink
Improve Digital Platform161 MixPanel

De meeste ervan worden direct geblokt door mij via uMatrix en een goede adblocker en firehol.

Maar als we weten dat een Russische adblocker service als Adguard ook getroffen werd door de CloudFlare datableed,
dan zit uwes daar mooi mee. Het zit wellicht inmiddels bij iemand elders in de cache. (c3rb3r.opennet etc?).

Conclusie vertrouw dus never nooit iets "in de blind" op het Internet en check ook eens zelf.

Wat werd er bijvoorbeeld o.a. getest voor de stand van zaken rond SSL?

Qualys SSL labs score?
- High Tech Bridge HTTPS score?
- High Tech Bridge web security score?
- HTTPS implemented?
- DNSSEC implemented?
- HTTP Strict Transport Security Policy implemented?
- Weak cyphers support?
- CSP implemented?
- Unknown jQuery security updates?
- HTTPOnly Security not being set for cookie?
- live-Twitter Javascript code?
- Google Analytics active?
- Live Google advertising?
- Live Google Javascript Code?
- Type HTTP redirect?
- Wildcard Certificate or veel domainnamen in certificaat?
- Extended Validation Certificate?
- Certificate Transparency Certificate?
- Perfect Forward Security supported?
- HSTS Preloading vulnerability?
- X-Frame Options implemented
- X-Powered by Header?
- Autocomplete set at password field (nu overleefd)?
- Same Site Protection not set for cookie?
- Publication of Technical Info?
- Client-Initiated-Secure-Renegotiation supported?
- Subresource Integrety (SRI) implemented?
- TLS 1.0 supported?
- Vulnerable to BEAST attack?
- Vulnerable to DROWn attack?
- OCSP Alert Sample configured?
- Public-Key-pinning implemented? (zie link, schijnt dood te zijn)
- X-XSS-Protection implemented?
- X-Content-Type-Options implemented?

Scan voorbeeld, de vereiste info credits gaan in dit geval naar security researcher, Sijmen Ruwhof.

Hoe hou je het veilig? Doe het vooral voor een beetje verbetering van de onveilige infrastructuur.

"Oh, baby, baby, it's a wild world". zongen we in de jaren 60 en er is niets veranderd wat dat betreft.
Vooruit, security.nl, en gaan met die banaan!

luntrus
26-02-2017, 21:50 door Anoniem
Even voor mijn beeld: certificaten kunnen niet zijn uitgelekt? (zie geen nieuw certificaat op de site)
27-02-2017, 14:01 door SimonS
Door Anoniem: "Wachtwoordreset-link naar alle Security.NL-gebruikers gemaild."
Dit vind ik misschien nog een punt van verbetering. Dit soort mails wordt ook als phishng verstuurd met nep-links. het gebruik van links in dit type mails zou eigenlijk afgeschaft moeten worden om dit type phishing de kop in te drukken. verder complimenten voor de openheid en de goede aanpak.
Ik heb ook even goed gekeken naar het mailtje en voor de zekerheid de website handmatig benaderd. Ik kon inderdaad niet meer inloggen en heb toen de mail en de link vertrouwd.
27-02-2017, 16:52 door Anoniem
Er waren wat mij betreft genoeg andere redenen om dat cloudflare te dumpen!

Ben trouwens wel benieuwd naar hoe jullie abuse er uit ziet, en wat jullie hier tegen doen.
13-03-2017, 01:38 door Anoniem
cloudflare is ook af te raden..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.