Get best of the week

CloudFlare - Kanker Internet



Penafian: Saya sendiri sering menggunakan CloudFlare dan saya pikir mereka melakukan pekerjaan dengan baik, membantu mengembangkan Internet, memberikan produk-produk keren secara gratis, dan secara keseluruhan orang-orang hebat. Artikel ini menjelaskan masalah globalisasi dan ancaman baru ketika Internet yang terdesentralisasi menjadi tersentralisasi.

Ketika CloudFlare pertama kali muncul, itu adalah revolusi nyata dalam web hosting: dalam dua klik, tanpa pindah ke server lain, Anda dapat menghubungkan CDN profesional ke situs web Anda, yang menghemat banyak lalu lintas, mempercepat pemuatan file statis dan juga melindungi terhadap DDoS. Sebelumnya, hanya perusahaan yang mampu membayar ini dengan banyak uang, tetapi sekarang telah tersedia untuk semua orang, juga gratis!

Sejak itu, CloudFlare telah tumbuh secara eksponensial dan hari ini proksi sepertiga dari Internet melalui infrastrukturnya. Karena itu, timbul masalah yang tidak ada sebelumnya. Dalam sebuah posting, kita akan melihat bagaimana CloudFlare mengancam fungsi normal Internet, mencegah orang biasa menggunakan situs, memiliki akses ke lalu lintas terenkripsi, dan apa yang harus dilakukan tentang hal itu.

Cara memecahkan sepertiga dari Internet



2 Juli 2019 sebagai akibat dari kesalahan CloudFlare benar-benar rusak . Akibatnya, semua layanan yang entah bagaimana menggunakan jaringan mereka tidak tersedia. Di antara yang paling terkenal: Perselisihan, Reddit, Kedutan. Ini tidak hanya memengaruhi situs web, tetapi juga game, aplikasi seluler, terminal, dll. Pada saat yang sama, bahkan layanan yang tidak secara langsung menggunakan CloudFlare mengalami masalah karena API pihak ketiga yang menjadi tidak tersedia.

Dalam kebanyakan kasus, untuk menggunakan CloudFlare, klien mengarahkan domain mereka ke server DNS mereka. Pada saat kecelakaan, panel kontrol dan API juga menjadi tidak tersedia, karena itu pelanggan tidak dapat mengalihkan domain mereka untuk memotong jaringan CloudFlare, sehingga terperangkap: tidak mungkin untuk dengan cepat menonaktifkan proxy dan kembali ke infrastruktur mereka. Satu-satunya jalan keluar adalah mendelegasikan domain ke server DNS mereka sendiri, tetapi pembaruan seperti itu bisa memakan waktu lebih dari sehari, dan sebagian besar klien tidak siap untuk ini dan tidak memiliki server DNS master cadangan dalam kasus ini.

Terlepas dari kenyataan bahwa downtime kecil, hanya beberapa jam, ini secara signifikan mempengaruhi seluruh industri. Karena layanan pembayaran tidak bekerja, perusahaan mengalami kerugian langsung. Kejadian ini mengungkapkan masalah yang jelas yang sebelumnya hanya dibahas dalam teori: jika Internet sangat tergantung pada satu penyedia layanan, pada titik tertentu semuanya mungkin rusak.

Jika satu perusahaan mengendalikan sebagian besar Internet, itu mengancam stabilitas jaringan baik dari sisi teknis maupun ekonomi.


Konsep Internet itu sendiri melibatkan desentralisasi dan resistensi terhadap kesalahan tersebut. Bahkan jika bagian dari jaringan terputus, sistem routing secara otomatis dibangun kembali. Tetapi ketika satu perusahaan mengelola sebagian besar lalu lintas, jaringan menjadi rentan terhadap kesalahan, sabotase, peretasan, serta tindakan tidak jujur โ€‹โ€‹untuk mendapatkan keuntungan. Gagasan ini penting untuk memahami masalah yang tersisa, yang akan kita bahas nanti.

Kamu terlihat mencurigakan


Jika algoritme kepemilikan untuk mendeteksi lalu lintas CloudFlare berbahaya menganggap Anda pengguna Internet yang tidak layak, penelusuran web akan berubah menjadi siksaan: di setiap situs kelima Anda akan melihat persyaratan untuk melewati captcha yang memalukan.


CloudFlare CAPTCHA dapat menghantui Anda di seluruh Internet.

Penulis baris ini pergi ke Internet dari alamat IP kantor, di belakangnya ada ratusan karyawan lain yang duduk. Rupanya CloudFlare memutuskan bahwa kita semua terlihat seperti bot, dan mulai menunjukkan kepada semua orang captcha yang sangat jahat. Kadang-kadang sampai pada titik absurditas ketika beberapa aplikasi seluler tidak dapat masuk. Akibatnya, untuk menjelajahi Internet secara normal, Anda harus menghubungkan VPN.

Ternyata CloudFlare dapat memutuskan Anda secara pribadi dari sebagian besar Internet kapan saja jika itu tidak menyenangkan Anda, atau, karena deteksi yang salah, ubah penggunaan layanan yang biasa menjadi siksaan.

Kita bisa melihat melalui HTTPS


Untuk menyimpan dan memfilter konten dengan benar, server CloudFlare harus dapat melihat lalu lintas HTTP yang didekripsi. Untuk melakukan ini, mereka selalu bekerja dalam mode MiTM (Man-in-the-middle), menggantikan sertifikat SSL mereka untuk pengunjung situs akhir.

Gambar dalam instruksi pengaturan HTTPS bisa menyesatkan, seolah-olah dalam mode Penuh, enkripsi digunakan sepanjang aliran lalu lintas. Bahkan, server CloudFlare mendekripsi lalu lintas dari server dan mengenkripsi lagi dengan sertifikatnya untuk pengunjung situs.


Dalam mode operasi apa pun, CloudFlare mendekripsi lalu lintas SSL.

Bahkan jika Anda memiliki sertifikat SSL yang valid di sisi Anda, CloudFlare masih akan memiliki akses ke semua data yang dikirimkan. Ini mendiskreditkan seluruh gagasan SSL, yang melibatkan enkripsi dari klien ke server tujuan tanpa dekripsi di sepanjang jalan.

Jika terjadi kesalahan atau peretasan server CloudFlare, semua lalu lintas rahasia akan tersedia bagi penyerang. Cukuplah untuk mengingat kerentanan kebocoran memori yang menyebabkan server CloudFlare memuntahkan konten memori acak langsung ke konten halaman. Ini dapat mencakup cookie, akun, nomor kartu kredit, dll.

Anda juga perlu mengingat bahwa layanan khusus negara di mana yurisdiksinya beroperasi Cloudflare dapat meminta akses ke lalu lintas yang didekripsi, bahkan jika server asli berada dalam yurisdiksi yang berbeda. Ini mengubah ide dasar SSL menjadi fiksi.

Bukan hanya infrastruktur, tetapi sensor


Awalnya, Cloudflare menyatakan bahwa itu hanya akan menyediakan infrastruktur untuk pelanggan dan tidak berencana untuk menyensor sumber daya konten, berjanji akan dibatasi hanya untuk persyaratan yang sah dari lembaga pemerintah. Begitu pula dengan situs grup LulzSec yang terkenal, yang mengoordinasikan serangan hack dan DDoS. Pada kesempatan ini, Cloudflare merilis pernyataan .

Namun, setelah beberapa saat, Cloudflare memutuskan untuk menolak layanan ke situs web 8chan berdasarkan persepsi moral. Selain itu, tidak ada keputusan pengadilan atau alasan formal lainnya untuk hal ini - mereka hanya memutuskan demikian. Hal ini menyebabkan diskusi publik tentang apakah penyedia dapat memutuskan untuk dirinya sendiri layanan mana yang layak untuk dilayani pada infrastrukturnya dan mana yang tidak. Artikel refleksi tentang topik ini di New York Times:Mengapa Melarang 8chan Sangat Sulit untuk Cloudflare: 'Tidak Ada Yang Seharusnya Memiliki Kekuatan Itu' .

Kesimpulan


Terlepas dari kenyataan bahwa Cloudflare adalah layanan yang sangat berguna dan membantu mempercepat pengiriman konten secara signifikan, serta mengembangkan Internet, pertumbuhannya yang berbahaya dan monopoli yang akan datang mengancam stabilitas seluruh Internet. Mari kita coba merangkum semua hal di atas dalam tesis sederhana:

  • Anda tidak dapat menyimpan semua telur dalam satu keranjang. Ini sama sekali tidak aman, harga kesalahan dalam hal ini terlalu tinggi. Jika satu perusahaan memiliki semua rahasia dunia, ia dapat selalu diretas, membuat kesalahan, atau bertindak tidak jujur โ€‹โ€‹untuk menekan pesaing keluar dari pasar.
  • โ€” . , , , .
  • SSL . , Cloudflare, โ€” CloudFlare. .

Posting ini tidak mendesak untuk meninggalkan Cloudflare, tetapi hanya menggambarkan apa yang di masa depan mengancam pertumbuhan dan pengaruh yang begitu cepat dari perusahaan ini. Pikirkan apakah Anda benar-benar perlu menggunakan Cloudflare untuk tugas-tugas Anda, dan jika tidak mungkin tanpanya, pertimbangkan Plan B jika terjadi langkah darurat.

Bagi mereka yang mencari server yang dapat diandalkan, kami meluncurkan tindakan: ISPmanager selama tiga bulan gratis. Dan ditambah diskon 10% tradisional untuk pembaca Habrรฉ:

More articles:


All Articles