Каждый день узнаешь что-то новое. Например, то, что у такой организации, как Совет национальной безопасности и обороны Украины имеется национальный координационный центр кибербезопасности, и в нем даже есть какие-то специалисты, которые знают про существование Cloudflare и dark web.
А дальше пойдет старое, точнее, новое только для этих специалистов — оказывается, в дарквебе есть список из 3 миллионов сайтов, защищенных Cloudflare, где указаны реальные IP адреса этих сайтов, что делает их в принципе уязвимыми для DDOS-атак. И теперь специалисты ведут работу по оповещению владельцев сайтов — по крайней мере, тех, которые относятся к государственным ресурсам и объектам критической инфраструктуры.
Отдельно можно оценить заголовок «Выявлена утечка данных из сервиса Cloudflare», который, в отличие от большей части текста заметки, является полной ерундой и неправдой.
Дело в том, что Cloudflare работает очень просто — вы указываете его сервера имен для своего домена, после чего он начинает выдавать какой-то из своих IP адресов как публичный IP-адрес вашего сайта, а вы ему указываете, на какой реальный IP отправлять посетителей после их проверки системой защиты. Разумеется, всё это работает тогда, когда никто, кроме Cloudflare, не знает этого реального адреса — иначе он просто пойдёт напрямик и фильтры Cloudlfare его не увидят. Именно поэтому практически обязательным шагом при переходе под защиту антиDDOS-сервиса (не только Cloudlfare), что, как правило, случается в ходе уже имеющейся атаки — это сменить реальный IP адрес.
Но многие этого не делают — поскольку Cloudflare еще и CDN, удобный сервис и в принципе многие и не планируют защищаться от атак, которых никогда на их сайты не производилось. Поэтому, когда такой домен указывал на один IP, а потом сменился на принадлежащий сети Cloudflare, с большой вероятностью предыдущий IP остался реальным и по нему домен доступен напрямую.
Поэтому Cloudflare рекомендует хотя бы ограничить доступ к серверу с реальным IP, чтобы он оставался доступен исключительно из сети Cloudflare. Правда, с масштабной атакой файрволл среднего сервера все равно может не справиться, но шансы выше.
Но комизм ситуации не в том, что никакой утечки не было и базу собирали именно такой историей изменений в DNS, а в том, что этой базе лет 5 или 6 и с ней прекрасно знакомы старые пользователи Cloudflare. Даже не надо ходить в дарквеб — кто-то даже поднимал быстрый поиск по этой базе и я им пользовался для проверки, что у моих проектов там если и есть IP, то он давно не является реальным.
В очередной раз печально, что у воющей страны такие «специалисты» по кибербезопасности. И смутный оптимизм, что, видимо, у «той стороны» ненамного лучше.
https://www.rnbo.gov.ua/ua/Diialnist/4651.html
