😢 ◾️ 👩‍💻 CloudFlare - Cáncer de Internet 🤹🏼 🌋 🐾

Descargo de responsabilidad: yo mismo uso mucho CloudFlare y creo que hacen un gran trabajo, ayudan a desarrollar Internet, ofrecen productos geniales de forma gratuita y, en general, excelentes personas. El artículo describe los problemas de la globalización y las nuevas amenazas cuando Internet descentralizado se centraliza.

Cuando apareció CloudFlare por primera vez, fue una verdadera revolución en el alojamiento web: con dos clics, sin pasar a otro servidor, podía conectar un CDN profesional a su sitio web, lo que ahorró mucho tráfico, aceleró la carga de archivos estáticos y también lo protegió contra DDoS. Anteriormente, solo las empresas podían pagar esto por mucho dinero, pero ahora está disponible para todos, ¡también gratis!

Desde entonces, CloudFlare ha crecido exponencialmente y hoy representa un tercio de Internet a través de su infraestructura. Debido a esto, surgieron problemas que no existían antes. En una publicación, veremos cómo CloudFlare amenaza el funcionamiento normal de Internet, evita que la gente común use sitios, tenga acceso al tráfico encriptado y qué hacer al respecto.

Cómo romper un tercio de Internet

El 2 de julio de 2019 como resultado del error CloudFlare se rompió por completo . Como resultado, todos los servicios que de alguna manera usan su red no estaban disponibles. Entre los más famosos: Discord, Reddit, Twitch. Esto ha afectado no solo a sitios web, sino también a juegos, aplicaciones móviles, terminales, etc. Al mismo tiempo, incluso aquellos servicios que no usan CloudFlare directamente experimentaron problemas debido a API de terceros que no estuvieron disponibles.

En la mayoría de los casos, para usar CloudFlare, los clientes dirigen sus dominios a sus servidores DNS. En el momento del accidente, el panel de control y la API tampoco estaban disponibles, debido a que los clientes no podían redirigir sus dominios para evitar la red CloudFlare, quedando atrapados: era imposible deshabilitar rápidamente los proxies y volver a su infraestructura. La única salida era delegar el dominio en sus propios servidores DNS, pero dicha actualización podría llevar más de un día, y la mayoría de los clientes no estaban listos para esto y no tenían servidores DNS maestros de repuesto en este caso.

A pesar de que el tiempo de inactividad fue pequeño, solo unas pocas horas, esto afectó significativamente a toda la industria. Debido a los servicios de pago que no funcionan, las empresas sufrieron pérdidas directas. Este incidente reveló un problema obvio que se discutió anteriormente solo en teoría: si Internet depende tanto de un proveedor de servicios, en algún momento todo puede romperse.

Si una compañía controla una parte tan grande de Internet, amenaza la estabilidad de la red tanto desde el punto de vista técnico como económico.

El concepto de Internet en sí implica descentralización y resistencia a tales errores. Incluso si una parte de la red está desconectada, el sistema de enrutamiento se reconstruye automáticamente. Pero cuando una empresa administra una parte tan grande del tráfico, la red se vuelve vulnerable a sus errores, sabotaje, piratería, así como a acciones deshonestas para obtener ganancias. Esta idea es importante para comprender los problemas restantes, que discutiremos más adelante.

Te ves sospechoso

Si los algoritmos patentados para detectar tráfico malicioso de CloudFlare lo consideran un usuario de Internet indigno, la navegación web se convertirá en un tormento: en cada quinto sitio verá los requisitos para pasar un captcha humillante.

^{CloudFlare CAPTCHA puede perseguirlo a través de Internet.}

El autor de estas líneas va a Internet desde la dirección IP de la oficina, detrás de la cual están sentados cientos de otros empleados. Aparentemente, CloudFlare decidió que todos parecíamos bots, y comenzamos a mostrarles a todos un captcha muy malvado. A veces llega al punto de lo absurdo cuando algunas aplicaciones móviles no pueden iniciar sesión. Como resultado, para navegar por Internet normalmente, debe conectar una VPN.

Resulta que CloudFlare puede desconectarte personalmente de una gran parte de Internet en cualquier momento si no te agrada, o debido a una detección errónea, convierte el uso habitual de los servicios en una tortura.

Podemos ver a través de HTTPS

Para almacenar y filtrar correctamente el contenido, los servidores CloudFlare deben poder ver el tráfico HTTP descifrado. Para hacer esto, siempre trabajan en modo MiTM (Man-in-the-middle), sustituyendo su certificado SSL por el visitante final del sitio.

Las imágenes en las instrucciones de configuración de HTTPS pueden ser engañosas, como si en modo Completo, el cifrado se utilizara en todo el flujo de tráfico. De hecho, el servidor CloudFlare descifra el tráfico del servidor y lo vuelve a cifrar con su certificado para el visitante del sitio.

^{En cualquier modo de operación, CloudFlare descifra el tráfico SSL.}

Incluso si tiene un certificado SSL válido de su lado, CloudFlare seguirá teniendo acceso a todos los datos transmitidos. Esto desacredita toda la idea de SSL, que implica el cifrado del cliente al servidor de destino sin descifrado en el camino.

En caso de error o piratería de los servidores de CloudFlare, todo el tráfico confidencial estará disponible para los atacantes. Baste recordar una vulnerabilidad de pérdida de memoria que provocó que los servidores de CloudFlare escupieran contenidos de memoria aleatorios directamente en el contenido de la página. Esto podría incluir cookies, cuentas, números de tarjetas de crédito, etc.

También debe tener en cuenta que los servicios especiales del país en cuya jurisdicción opera Cloudflare Inc pueden solicitar acceso al tráfico descifrado, incluso si el servidor original se encuentra en una jurisdicción diferente. Esto convierte la idea básica de SSL en ficción.

No solo infraestructura, sino censura

Inicialmente, Cloudflare declaró que solo proporcionaría infraestructura para los clientes y no planeaba censurar los recursos de contenido, y prometió limitarse solo a los requisitos legítimos de las agencias gubernamentales. Así sucedió con el sitio del famoso grupo LulzSec, que coordinó hacks y ataques DDoS. En esta ocasión, Cloudflare lanzó un comunicado .

Sin embargo, después de un tiempo, Cloudflare decide rechazar el servicio del sitio web de 8chan en función de sus percepciones morales. Además, no hubo decisiones judiciales u otras razones formales para esto, simplemente lo decidieron. Esto provocó una discusión pública sobre si el proveedor puede decidir por sí mismo qué servicio merece ser servido en su infraestructura y cuál no. Artículo de reflexión sobre este tema en el New York Times:Por qué prohibir 8chan fue tan difícil para Cloudflare: "Nadie debería tener ese poder" .

Conclusión

A pesar de que Cloudflare es un servicio increíblemente útil y ayuda a acelerar significativamente la entrega de contenido, así como al desarrollo de Internet, su crecimiento peligroso y el próximo monopolio amenazan la estabilidad de todo Internet. Tratemos de resumir todo lo anterior en tesis simples:

No puede almacenar todos los huevos en una canasta. Es simplemente inseguro, el precio de un error en este caso es demasiado alto. Si una compañía tiene todos los secretos del mundo, siempre puede ser pirateada, cometer un error o simplemente actuar deshonestamente para expulsar a los competidores del mercado.
— . , , , .
SSL . , Cloudflare, — CloudFlare. .

Esta publicación no insta a abandonar Cloudflare, sino que solo describe lo que en el futuro amenaza con el rápido crecimiento e influencia de esta empresa. Piense si realmente necesita usar Cloudflare para sus tareas, y si es imposible sin él, considere el Plan B en caso de una mudanza de emergencia.

Para aquellos que buscan servidores confiables, lanzamos la acción: ISPmanager durante tres meses de forma gratuita. Y además del tradicional 10% de descuento para los lectores de Habré: