👏🏻 👨🏽‍🎨 👊🏻 CloudFlare - Internetkrebs 😼 ↙️ 😖

Haftungsausschluss: Ich selbst benutze CloudFlare sehr oft und ich denke, dass sie einen großartigen Job machen, bei der Entwicklung des Internets helfen, coole Produkte kostenlos anbieten und insgesamt großartige Leute. Der Artikel beschreibt die Probleme der Globalisierung und neuer Bedrohungen, wenn das dezentrale Internet zentralisiert wird.

Als CloudFlare zum ersten Mal erschien, war es eine echte Revolution im Webhosting: Mit zwei Klicks konnten Sie ohne Wechsel zu einem anderen Server ein professionelles CDN mit Ihrer Website verbinden, was viel Verkehr sparte, das Laden statischer Dateien beschleunigte und auch vor DDoS schützte. Früher konnten sich nur Unternehmen dies für viel Geld leisten, jetzt ist es für alle verfügbar, auch kostenlos!

Seitdem ist CloudFlare exponentiell gewachsen und überträgt heute ein Drittel des Internets über seine Infrastruktur. Aus diesem Grund traten Probleme auf, die vorher nicht existierten. In einem Beitrag werden wir untersuchen, wie CloudFlare das normale Funktionieren des Internets gefährdet, normale Menschen daran hindert, Websites zu verwenden, Zugriff auf verschlüsselten Datenverkehr hat und was dagegen zu tun ist.

Wie man ein Drittel des Internets kaputt macht

2. Juli 2019 infolge des CloudFlare- Fehlers völlig pleite . Infolgedessen waren alle Dienste, die ihr Netzwerk irgendwie nutzen, nicht verfügbar. Zu den bekanntesten: Discord, Reddit, Twitch. Dies betrifft nicht nur Websites, sondern auch Spiele, mobile Anwendungen, Terminals usw. Gleichzeitig traten bei Diensten, die CloudFlare nicht direkt verwenden, Probleme auf, da APIs von Drittanbietern nicht mehr verfügbar waren.

In den meisten Fällen leiten Clients zur Verwendung von CloudFlare ihre Domänen an ihre DNS-Server weiter. Zum Zeitpunkt des Unfalls waren auch das Control Panel und die API nicht mehr verfügbar, sodass Kunden ihre Domains nicht umleiten konnten, um das CloudFlare-Netzwerk zu umgehen, und somit gefangen waren. Es war unmöglich, Proxys schnell zu deaktivieren und zu ihrer Infrastruktur zurückzukehren. Der einzige Ausweg bestand darin, die Domäne an ihre eigenen DNS-Server zu delegieren. Ein solches Update konnte jedoch mehr als einen Tag dauern. Die meisten Clients waren dafür nicht bereit und verfügten in diesem Fall nicht über Ersatz-Master-DNS-Server.

Trotz der geringen Ausfallzeit von nur wenigen Stunden wirkte sich dies erheblich auf die gesamte Branche aus. Aufgrund nicht funktionierender Zahlungsdienste erlitten Unternehmen direkte Verluste. Dieser Vorfall enthüllte ein offensichtliches Problem, das zuvor nur theoretisch diskutiert wurde: Wenn das Internet so stark von einem Dienstanbieter abhängig ist, kann irgendwann alles kaputt gehen.

Wenn ein Unternehmen einen so großen Teil des Internets kontrolliert, gefährdet dies die Stabilität des Netzwerks sowohl von technischer als auch von wirtschaftlicher Seite.

Das Konzept des Internets selbst beinhaltet Dezentralisierung und Widerstand gegen solche Fehler. Selbst wenn ein Teil des Netzwerks getrennt wird, wird das Routing-System automatisch neu erstellt. Wenn ein Unternehmen jedoch einen so großen Teil des Datenverkehrs verwaltet, wird das Netzwerk anfällig für Fehler, Sabotage, Hacks sowie unehrliche Gewinnaktionen. Diese Idee ist wichtig, um die verbleibenden Probleme zu verstehen, die wir später diskutieren werden.

Du siehst misstrauisch aus

Wenn die proprietären Algorithmen zur Erkennung von böswilligem CloudFlare-Verkehr Sie als unwürdigen Internetbenutzer betrachten, wird das Surfen im Internet zu einer Qual: Auf jeder fünften Site sehen Sie die Anforderungen, um ein demütigendes Captcha zu bestehen.

^{CloudFlare CAPTCHA kann Sie im gesamten Internet verfolgen.}

Der Autor dieser Leitungen geht von der IP-Adresse des Büros, hinter der Hunderte anderer Mitarbeiter sitzen, ins Internet. Anscheinend entschied CloudFlare, dass wir alle wie Bots aussehen, und begann, allen ein sehr böses Captcha zu zeigen. Manchmal ist es absurd, wenn sich einige mobile Anwendungen nicht anmelden können. Um normal im Internet zu surfen, müssen Sie daher ein VPN verbinden.

Es stellt sich heraus, dass CloudFlare Sie jederzeit persönlich von einem großen Teil des Internets trennen kann, wenn es Ihnen nicht gefällt, oder aufgrund einer fehlerhaften Erkennung die übliche Nutzung von Diensten in Qualen verwandelt.

Wir können durch HTTPS sehen

Um Inhalte ordnungsgemäß zwischenzuspeichern und zu filtern, müssen CloudFlare-Server entschlüsselten HTTP-Verkehr sehen können. Zu diesem Zweck arbeiten sie immer im MiTM-Modus (Man-in-the-Middle) und ersetzen den End-Site-Besucher durch ihr SSL-Zertifikat.

Bilder in den HTTPS-Setup-Anweisungen können irreführend sein, da im Vollmodus die Verschlüsselung während des gesamten Verkehrsflusses verwendet wird. Tatsächlich entschlüsselt der CloudFlare-Server den Datenverkehr vom Server und verschlüsselt ihn erneut mit seinem Zertifikat für den Site-Besucher.

^{In jeder Betriebsart entschlüsselt CloudFlare den SSL-Verkehr.}

Auch wenn Sie über ein gültiges SSL-Zertifikat verfügen, hat CloudFlare weiterhin Zugriff auf alle übertragenen Daten. Dies diskreditiert die gesamte Idee von SSL, bei der die Verschlüsselung vom Client zum Zielserver ohne Entschlüsselung erfolgt.

Im Falle eines Fehlers oder Hacks von CloudFlare-Servern steht Angreifern der gesamte vertrauliche Datenverkehr zur Verfügung. Es genügt, sich an eine Sicherheitslücke zu erinnern , die dazu führte , dass CloudFlare-Server zufällige Speicherinhalte direkt in Seiteninhalte ausspuckten. Dies kann Cookies, Konten, Kreditkartennummern usw. umfassen.

Sie müssen auch berücksichtigen, dass die speziellen Dienste des Landes, in dessen Zuständigkeitsbereich Cloudflare Inc möglicherweise Zugriff auf entschlüsselten Datenverkehr anfordert, auch wenn sich der ursprüngliche Server in einem anderen Zuständigkeitsbereich befindet. Dies macht die Grundidee von SSL zur Fiktion.

Nicht nur Infrastruktur, sondern auch Zensur

Zunächst gab Cloudflare an, dass es nur Infrastruktur für Kunden bereitstellen würde und nicht vorhatte, Inhaltsressourcen zu zensieren, und versprach, sich nur auf legitime Anforderungen von Regierungsbehörden zu beschränken. So war es auch mit der Website der berühmten LulzSec-Gruppe, die Hacks und DDoS-Angriffe koordinierte. Bei dieser Gelegenheit veröffentlichte Cloudflare eine Erklärung .

Nach einer Weile beschließt Cloudflare jedoch, den Dienst an der 8chan-Website aufgrund seiner moralischen Wahrnehmung zu verweigern. Darüber hinaus gab es keine Gerichtsentscheidungen oder andere formelle Gründe dafür - sie haben es einfach entschieden. Dies führte zu einer öffentlichen Diskussion darüber, ob der Anbieter selbst entscheiden kann, welcher Dienst in seiner Infrastruktur bedient werden soll und welcher nicht. Reflexionsartikel zu diesem Thema in der New York Times:Warum das Verbot von 8chan für Cloudflare so schwierig war: "Niemand sollte diese Macht haben" .

Fazit

Trotz der Tatsache, dass Cloudflare ein unglaublich nützlicher Dienst ist und dazu beiträgt, die Bereitstellung von Inhalten sowie die Entwicklung des Internets erheblich zu beschleunigen, gefährden sein gefährliches Wachstum und das bevorstehende Monopol die Stabilität des gesamten Internets. Versuchen wir, all das in einfachen Thesen zusammenzufassen:

Sie können nicht alle Eier in einem Korb aufbewahren. Es ist einfach unsicher, der Preis eines Fehlers ist in diesem Fall zu hoch. Wenn ein Unternehmen alle Geheimnisse der Welt hat, kann es immer gehackt werden, einen Fehler machen oder einfach unehrlich handeln, um Wettbewerber vom Markt zu verdrängen.
— . , , , .
SSL . , Cloudflare, — CloudFlare. .

Dieser Beitrag fordert nicht dazu auf, Cloudflare aufzugeben, sondern beschreibt nur, was in Zukunft ein derart schnelles Wachstum und den Einfluss dieses Unternehmens bedroht. Überlegen Sie, ob Sie Cloudflare wirklich für Ihre Aufgaben verwenden müssen, und ziehen Sie Plan B im Notfall in Betracht, wenn dies ohne Cloudflare nicht möglich ist.

Für diejenigen, die nach zuverlässigen Servern suchen, haben wir die Aktion gestartet: ISPmanager für drei Monate kostenlos. Und plus den traditionellen 10% Rabatt für Habré-Leser: