Get best of the week

CloudFlare - Câncer na Internet



Isenção de responsabilidade: Eu próprio uso muito o CloudFlare e acho que eles fazem um ótimo trabalho, ajudam a desenvolver a Internet, fornecem produtos legais de graça e, em geral, ótimos profissionais. O artigo descreve os problemas da globalização e novas ameaças quando a Internet descentralizada se torna centralizada.

Quando o CloudFlare apareceu pela primeira vez, foi uma verdadeira revolução na hospedagem na web: em dois cliques, sem mudar para outro servidor, você pode conectar uma CDN profissional ao seu site, o que economiza muito tráfego, acelera o carregamento de arquivos estáticos e também protege contra DDoS. Anteriormente, apenas as empresas podiam pagar isso por muito dinheiro, mas agora ficou disponível para todos, também de graça!

Desde então, o CloudFlare cresceu exponencialmente e hoje procura um terço da Internet por meio de sua infraestrutura. Por esse motivo, surgiram problemas que não existiam antes. Em um post, veremos como o CloudFlare ameaça o funcionamento normal da Internet, impede que pessoas comuns usem sites, tenha acesso ao tráfego criptografado e o que fazer a respeito.

Como quebrar um terço da Internet



2 de julho de 2019 como resultado do erro do CloudFlare completamente quebrado . Como resultado, todos os serviços que de alguma forma usam sua rede estavam indisponíveis. Entre os mais famosos: Discord, Reddit, Twitch. Isso afetou não apenas sites, mas também jogos, aplicativos móveis, terminais etc. Ao mesmo tempo, mesmo os serviços que não usam diretamente o CloudFlare tiveram problemas devido a APIs de terceiros que se tornaram indisponíveis.

Na maioria dos casos, para usar o CloudFlare, os clientes direcionam seus domínios para seus servidores DNS. No momento do acidente, o painel de controle e a API também ficaram indisponíveis, devido aos quais os clientes não podiam redirecionar seus domínios para contornar a rede CloudFlare, ficando presos: era impossível desativar rapidamente os proxies e retornar à sua infraestrutura. A única saída era delegar o domínio em seus próprios servidores DNS, mas essa atualização poderia levar mais de um dia, e a maioria dos clientes não estava pronta para isso e não tinha servidores DNS principais sobressalentes nesse caso.

Apesar do tempo de inatividade ter sido pequeno, apenas algumas horas, isso afetou significativamente todo o setor. Devido a serviços de pagamento que não funcionam, as empresas sofreram perdas diretas. Esse incidente revelou um problema óbvio que foi discutido anteriormente apenas na teoria: se a Internet depende muito de um provedor de serviços, em algum momento tudo pode quebrar.

Se uma empresa controla uma parte tão grande da Internet, ela ameaça a estabilidade da rede, tanto do lado técnico quanto econômico.


O próprio conceito de Internet envolve descentralização e resistência a esses erros. Mesmo que uma parte da rede seja desconectada, o sistema de roteamento é reconstruído automaticamente. Mas quando uma empresa gerencia uma parte tão grande do tráfego, a rede se torna vulnerável a seus erros, sabotagens, hacks, bem como ações desonestas para obter lucro. Essa ideia é importante para entender os problemas restantes, que discutiremos mais adiante.

Você parece suspeito


Se os algoritmos proprietários para detectar tráfego malicioso do CloudFlare o considerarem um usuário indigno da Internet, a navegação na Web se tornará um tormento: em cada quinto site, você verá os requisitos para passar um captcha humilhante.


O CloudFlare CAPTCHA pode assombrá-lo por toda a Internet.O

autor dessas linhas acessa a Internet a partir do endereço IP do escritório, atrás do qual centenas de outros funcionários estão sentados. Aparentemente, o CloudFlare decidiu que todos parecíamos robôs e começou a mostrar a todos um captcha muito malvado. Às vezes chega ao ponto do absurdo quando alguns aplicativos móveis não conseguem fazer login. Como resultado, para navegar normalmente na Internet, você precisa conectar uma VPN.

Acontece que o CloudFlare pode desconectá-lo pessoalmente de uma grande parte da Internet a qualquer momento, se isso não lhe agradar ou, devido à detecção incorreta, transformar o uso usual dos serviços em tormento.

Podemos ver através de HTTPS


Para armazenar em cache e filtrar o conteúdo adequadamente, os servidores CloudFlare devem poder ver o tráfego HTTP descriptografado. Para fazer isso, eles sempre trabalham no modo MiTM (Man-in-the-middle), substituindo o certificado SSL pelo visitante final do site.

As imagens nas instruções de configuração do HTTPS podem ser enganosas, como se no modo Total, a criptografia é usada em todo o fluxo de tráfego. De fato, o servidor CloudFlare descriptografa o tráfego do servidor e o criptografa novamente com seu certificado para o visitante do site.


Em qualquer modo de operação, o CloudFlare descriptografa o tráfego SSL.

Mesmo que você tenha um certificado SSL válido do seu lado, o CloudFlare ainda terá acesso a todos os dados transmitidos. Isso desacredita toda a idéia do SSL, que envolve criptografia do cliente para o servidor de destino sem descriptografia ao longo do caminho.

Em caso de erro ou invasão dos servidores CloudFlare, todo o tráfego confidencial estará disponível para os invasores. Basta lembrar uma vulnerabilidade de vazamento de memória que fez com que os servidores CloudFlare expusessem o conteúdo aleatório da memória diretamente no conteúdo da página. Isso pode incluir cookies, contas, números de cartão de crédito etc.

Você também precisa ter em mente que os serviços especiais do país em cuja jurisdição a Cloudflare Inc podem solicitar acesso ao tráfego descriptografado, mesmo se o servidor original estiver em uma jurisdição diferente. Isso transforma a idéia básica do SSL em ficção.

Não apenas infraestrutura, mas censura


Inicialmente, o Cloudflare afirmou que forneceria apenas infraestrutura para os clientes e não planejava censurar recursos de conteúdo, prometendo limitar-se apenas a requisitos legítimos de agências governamentais. O mesmo aconteceu com o site do famoso grupo LulzSec, que coordenava hacks e ataques DDoS. Nesta ocasião, a Cloudflare divulgou um comunicado .

No entanto, depois de um tempo, o Cloudflare decide recusar o serviço ao site 8chan com base em seu entendimento moral. Além disso, não houve decisões judiciais ou outras razões formais para isso - eles apenas decidiram. Isso causou uma discussão pública sobre se o provedor pode decidir por si mesmo qual serviço é digno de ser servido em sua infraestrutura e qual não é. Artigo de reflexão sobre esse assunto no New York Times:Por que proibir o 8chan foi tão difícil para o Cloudflare: 'Ninguém deveria ter esse poder' .

Conclusão


Apesar do Cloudflare ser um serviço incrivelmente útil e ajudar a acelerar significativamente a entrega de conteúdo, além de desenvolver a Internet, seu perigoso crescimento e o monopólio futuro ameaçam a estabilidade de toda a Internet. Vamos tentar resumir todos os itens acima em teses simples:

  • Você não pode armazenar todos os ovos em uma cesta. É simplesmente inseguro, o preço de um erro neste caso é muito alto. Se uma empresa tem todos os segredos do mundo, ela sempre pode ser invadida, cometer um erro ou simplesmente agir de forma desonesta para afastar os concorrentes do mercado.
  • — . , , , .
  • SSL . , Cloudflare, — CloudFlare. .

Esta publicação não deseja abandonar o Cloudflare, mas apenas descreve o que no futuro ameaça um crescimento e influência tão rápidos dessa empresa. Pense se você realmente precisa usar o Cloudflare para suas tarefas e, se for impossível, considere o Plano B em caso de uma mudança de emergência.

Para quem procura servidores confiáveis, lançamos a ação: ISPmanager por três meses gratuitamente. E mais o tradicional desconto de 10% para os leitores da Habré:

More articles:


All Articles