Uyarı: Ben şahsen CloudFlare'yi çok kullanıyorum ve bence harika bir iş çıkarıyorlar, İnternet'in gelişmesine yardımcı oluyorlar, ücretsiz harika ürünler veriyorlar ve genel olarak harika adamlar. Makale, merkezi olmayan internet merkezileştiğinde küreselleşmenin sorunlarını ve yeni tehditleri anlatıyor.
CloudFlare ilk ortaya çıktığında, web barındırmada gerçek bir devrim oldu: iki tıklamayla, başka bir sunucuya geçmeden, sitenize çok fazla trafik tasarrufu sağlayan, statik dosyaların indirilmesini hızlandıran ve aynı zamanda korunan profesyonel bir CDN bağlayabilirsiniz. DDoS'a karşı. Önceden, yalnızca şirketler bunu büyük bir parayla karşılayabiliyordu, ancak şimdi herkes için ücretsiz olarak da sunuldu!
O zamandan beri, CloudFlare çok büyüdü ve bugün altyapısı aracılığıyla İnternet'in üçte birini temsil ediyor. Bu nedenle, daha önce var olmayan sorunlar ortaya çıktı. Bu yazıda, CloudFlare'un İnternet'in normal işleyişini nasıl tehdit ettiğini, sıradan insanların siteleri kullanmasını engellediğini, şifreli trafiğe erişimi olduğunu ve bu konuda ne yapılması gerektiğini analiz edeceğiz.
2 Temmuz 2019'da bir hata sonucu CloudFlare tamamen bozuldu . Sonuç olarak, ağlarını şu veya bu şekilde kullanan tüm hizmetler kullanılamıyordu. En ünlüleri arasında: Discord, Reddit, Twitch. Bu sadece web sitelerini değil aynı zamanda oyunları, mobil uygulamaları, terminalleri vb. Etkiledi. Aynı zamanda, doğrudan CloudFlare kullanmayan hizmetler bile, kullanılamaz hale gelen üçüncü taraf API'ler nedeniyle operasyonel sorunlar yaşamıştır.
Çoğu durumda, CloudFlare kullanmak için, istemciler etki alanlarını kendi DNS sunucularına yönlendirir. Kaza anında, kontrol paneli ve API de kullanılamaz hale geldi, bu nedenle müşteriler CloudFlare ağını atlayarak etki alanlarını yeniden yönlendiremediler, böylece kendilerini bir tuzakta buldular: proxy'yi hızlı bir şekilde devre dışı bırakmak ve altyapılarına geri dönmek imkansızdı. Tek çözüm, etki alanını kendi DNS sunucularına devretmekti, ancak böyle bir güncelleme bir günden fazla sürebilirdi ve çoğu müşteri buna hazır değildi ve böyle bir durum için yedek ana DNS sunucuları yoktu.
Arıza süresinin sadece birkaç saat küçük olmasına rağmen, tüm endüstri üzerinde önemli bir etkisi oldu. Çalışmayan ödeme hizmetleri nedeniyle şirketler doğrudan zarar gördü. Bu olay, o zamana kadar yalnızca teoride tartışılan bariz bir sorunu ortaya çıkardı: İnternet bir hizmet sağlayıcıya bu kadar bağımlıysa, bir noktada her şey bozulabilir.
| Bir şirket İnternet'in büyük bir kısmını kontrol ediyorsa, bu hem teknik hem de ekonomik olarak ağın istikrarını tehdit eder.
İnternet kavramı, ademi merkeziyetçilik ve bu tür hatalara karşı dayanıklılık varsayar. Ağın bir kısmının bağlantısı kesilse bile, yönlendirme sistemi otomatik olarak yeniden oluşturulur. Ancak bir şirket trafiğin bu kadar büyük bir bölümünü yönettiğinde, ağ, kar elde etmek için yaptığı hatalara, sabotajlara, saldırılara ve dolandırıcılık eylemlerine karşı savunmasız hale gelir. Bu fikir, daha sonra tartışacağımız konuların geri kalanını anlamak için önemlidir.
CloudFlare'nin kötü niyetli trafiği tespit etmeye yönelik tescilli algoritmaları, değersiz bir İnternet kullanıcısı olduğunuzu düşünürse, web'de gezinmek işkenceye dönüşecektir: her beş sitede bir aşağılayıcı bir captcha'yı geçmek için talepler göreceksiniz.
CloudFlare CAPTCHA sizi İnternetin her yerinde kovalayabilir
Bu satırların yazarı, yüzlerce başka çalışan tarafından takip edilen bir ofis IP adresinden çevrimiçi olur. Görünüşe göre CloudFlare, hepimizin botlara benzediğini düşündü ve herkese çok kötü bir captcha göstermeye başladı. Bazen bazı mobil uygulamaların giriş yapamaması saçma bir noktaya gelir. Sonuç olarak, İnternette normal şekilde gezinmek için bir VPN bağlamanız gerekir.
Görünüşe göre CloudFlare, sizden hoşlanmıyorsa veya hatalı tespit nedeniyle, hizmetlerin normal kullanımını işkenceye dönüştürüyorsa, herhangi bir zamanda İnternet'in çoğundan kişisel olarak sizi kişisel olarak kesebilir.
İçeriği düzgün bir şekilde önbelleğe almak ve filtrelemek için CloudFlare sunucuları, şifresi çözülmüş HTTP trafiğini görebilmelidir. Bunu yapmak için, her zaman MiTM (Ortadaki Adam) modunda çalışırlar ve SSL sertifikalarını sitenin son ziyaretçisine değiştirirler.
HTTPS kurulum talimatlarındaki resimler, sanki Tam modda, şifreleme trafik yolu boyunca kullanılıyormuş gibi yanıltıcı olabilir. Aslında CloudFlare sunucusu, sunucudan gelen trafiğin şifresini çözer ve site ziyaretçisi için verdiği sertifikayla yeniden şifreler.
Herhangi bir çalışma modunda, CloudFlare SSL trafiğinin şifresini çözer.
geçerli bir SSL sertifikanız olsa bile, CloudFlare iletilen tüm verilere yine de erişebilir. Bu, istemciden hedef sunucuya şifresini çözmeden şifrelemeyi içeren SSL fikrinin tamamını geçersiz kılar.
CloudFlare sunucularının bir hatası veya hacklenmesi durumunda, tüm gizli trafik saldırganlara açık olacaktır. CloudFlare sunucularının rastgele bellek içeriğini doğrudan sayfa içeriğine göndermesine neden olan bir bellek sızıntısı güvenlik açığını hatırlamak yeterlidir. Bu veriler çerezleri, hesapları, kredi kartı numaralarını vb. İçerebilir.
Ayrıca, Cloudflare Inc'in faaliyet gösterdiği yargı alanındaki ülkenin özel hizmetlerinin, orijinal sunucu farklı bir yargı alanında olsa bile şifresi çözülmüş trafiğe erişim talep edebileceğini de unutmamalısınız. Bu, SSL'nin ana fikrini bir kurguya dönüştürür.
Başlangıçta Cloudflare, yalnızca müşteriler için altyapı sağlayacağını ve kaynakları içeriğe göre sansürlemeyi planlamadığını belirterek, yalnızca devlet kurumlarından gelen yasal gerekliliklerle sınırlandırılacağına söz verdi. Hack'leri ve DDoS saldırılarını koordine eden ünlü LulzSec grubunun sitesinde durum böyleydi. Bu vesileyle, Cloudflare bir açıklama yaptı .
Ancak bir süre sonra Cloudflare, ahlaki inançlarına dayanarak 8chan sitesine hizmet vermeyi reddetmeye karar verir. Aynı zamanda, bunun için herhangi bir mahkeme kararı veya başka resmi nedenler yoktu - sadece karar verdiler. Bu, sağlayıcının hangi hizmetin kendi altyapısında sunulmaya değer olduğuna ve hangisinin olmadığına kendisi için karar verip veremeyeceğine dair kamuya açık bir tartışmayı ateşledi. New York Times'daki yansıtıcı makale:8chan'ı Yasaklamak Cloudflare İçin Neden Bu Kadar Zordu: 'Kimse Bu Güce Sahip Olmamalı' .
Cloudflare'nin inanılmaz derecede faydalı bir hizmet olmasına ve içeriğin dağıtımını önemli ölçüde hızlandırmaya yardımcı olmasına ve İnternet'i geliştirmesine rağmen, tehlikeli büyümesi ve yaklaşan tekeli tüm İnternet'in istikrarını tehdit ediyor. Yukarıdakilerin hepsini basit tezlerle özetlemeye çalışalım:
Tüm yumurtaları tek bir sepette saklayamazsınız. Bu basitçe güvenli değildir, bu durumda bir hatanın maliyeti çok yüksektir. Bir şirket dünyanın tüm sırlarına sahipse, her zaman saldırıya uğrayabilir, hata yapabilir veya rakiplerini piyasadan çıkarmak için dürüst olmayan davranışlarda bulunabilir.
Ticari bir şirket her zaman tek bir şeyle ilgilenir - para kazanmak. İnternet düğümlerinin temel unsurları bir şirket tarafından ele geçirilirse, hizmetlerin fiyatlarını tekelleştirebilecek, rakiplerini yok edebilecek ve kendi kurallarını dikte edebilecek ve tomurcuklanan rakipleri ezebilecek.
SSL artık verileri üçüncü şahıslardan korumaz. Cloudflare ağı üzerinden iletilen tüm şifrelenmiş verileriniz, bu üçüncü taraf CloudFlare tarafından kullanılabilir. Bu, milyonlarca kullanıcının hassas verilerine sınırsız erişim sağlar.
Bu gönderi Cloudflare'den vazgeçmeyi gerektirmiyor, ancak yalnızca bu kadar hızlı büyümenin ve bu şirketin etkisinin gelecekte nasıl tehdit ettiğini açıklıyor. Cloudflare kullanımının görevleriniz için gerçekten gerekli olup olmadığını düşünün ve onsuz yapamıyorsanız, acil bir hareket durumunda bir B planı sağlayın.
Şimdiden herkese hayırlı hafta sonları arzu ediyorum, sağlıcakla kalın arkadaşlar.
CloudFlare ilk ortaya çıktığında, web barındırmada gerçek bir devrim oldu: iki tıklamayla, başka bir sunucuya geçmeden, sitenize çok fazla trafik tasarrufu sağlayan, statik dosyaların indirilmesini hızlandıran ve aynı zamanda korunan profesyonel bir CDN bağlayabilirsiniz. DDoS'a karşı. Önceden, yalnızca şirketler bunu büyük bir parayla karşılayabiliyordu, ancak şimdi herkes için ücretsiz olarak da sunuldu!
O zamandan beri, CloudFlare çok büyüdü ve bugün altyapısı aracılığıyla İnternet'in üçte birini temsil ediyor. Bu nedenle, daha önce var olmayan sorunlar ortaya çıktı. Bu yazıda, CloudFlare'un İnternet'in normal işleyişini nasıl tehdit ettiğini, sıradan insanların siteleri kullanmasını engellediğini, şifreli trafiğe erişimi olduğunu ve bu konuda ne yapılması gerektiğini analiz edeceğiz.
İnternetin üçte biri nasıl kırılır
2 Temmuz 2019'da bir hata sonucu CloudFlare tamamen bozuldu . Sonuç olarak, ağlarını şu veya bu şekilde kullanan tüm hizmetler kullanılamıyordu. En ünlüleri arasında: Discord, Reddit, Twitch. Bu sadece web sitelerini değil aynı zamanda oyunları, mobil uygulamaları, terminalleri vb. Etkiledi. Aynı zamanda, doğrudan CloudFlare kullanmayan hizmetler bile, kullanılamaz hale gelen üçüncü taraf API'ler nedeniyle operasyonel sorunlar yaşamıştır.
Çoğu durumda, CloudFlare kullanmak için, istemciler etki alanlarını kendi DNS sunucularına yönlendirir. Kaza anında, kontrol paneli ve API de kullanılamaz hale geldi, bu nedenle müşteriler CloudFlare ağını atlayarak etki alanlarını yeniden yönlendiremediler, böylece kendilerini bir tuzakta buldular: proxy'yi hızlı bir şekilde devre dışı bırakmak ve altyapılarına geri dönmek imkansızdı. Tek çözüm, etki alanını kendi DNS sunucularına devretmekti, ancak böyle bir güncelleme bir günden fazla sürebilirdi ve çoğu müşteri buna hazır değildi ve böyle bir durum için yedek ana DNS sunucuları yoktu.
Arıza süresinin sadece birkaç saat küçük olmasına rağmen, tüm endüstri üzerinde önemli bir etkisi oldu. Çalışmayan ödeme hizmetleri nedeniyle şirketler doğrudan zarar gördü. Bu olay, o zamana kadar yalnızca teoride tartışılan bariz bir sorunu ortaya çıkardı: İnternet bir hizmet sağlayıcıya bu kadar bağımlıysa, bir noktada her şey bozulabilir.
| Bir şirket İnternet'in büyük bir kısmını kontrol ediyorsa, bu hem teknik hem de ekonomik olarak ağın istikrarını tehdit eder.
İnternet kavramı, ademi merkeziyetçilik ve bu tür hatalara karşı dayanıklılık varsayar. Ağın bir kısmının bağlantısı kesilse bile, yönlendirme sistemi otomatik olarak yeniden oluşturulur. Ancak bir şirket trafiğin bu kadar büyük bir bölümünü yönettiğinde, ağ, kar elde etmek için yaptığı hatalara, sabotajlara, saldırılara ve dolandırıcılık eylemlerine karşı savunmasız hale gelir. Bu fikir, daha sonra tartışacağımız konuların geri kalanını anlamak için önemlidir.
Şüpheli görünüyorsun arkadaş =) ( robot testi )
CloudFlare'nin kötü niyetli trafiği tespit etmeye yönelik tescilli algoritmaları, değersiz bir İnternet kullanıcısı olduğunuzu düşünürse, web'de gezinmek işkenceye dönüşecektir: her beş sitede bir aşağılayıcı bir captcha'yı geçmek için talepler göreceksiniz.
CloudFlare CAPTCHA sizi İnternetin her yerinde kovalayabilir
Bu satırların yazarı, yüzlerce başka çalışan tarafından takip edilen bir ofis IP adresinden çevrimiçi olur. Görünüşe göre CloudFlare, hepimizin botlara benzediğini düşündü ve herkese çok kötü bir captcha göstermeye başladı. Bazen bazı mobil uygulamaların giriş yapamaması saçma bir noktaya gelir. Sonuç olarak, İnternette normal şekilde gezinmek için bir VPN bağlamanız gerekir.
Görünüşe göre CloudFlare, sizden hoşlanmıyorsa veya hatalı tespit nedeniyle, hizmetlerin normal kullanımını işkenceye dönüştürüyorsa, herhangi bir zamanda İnternet'in çoğundan kişisel olarak sizi kişisel olarak kesebilir.
HTTPS üzerinden görebiliriz
İçeriği düzgün bir şekilde önbelleğe almak ve filtrelemek için CloudFlare sunucuları, şifresi çözülmüş HTTP trafiğini görebilmelidir. Bunu yapmak için, her zaman MiTM (Ortadaki Adam) modunda çalışırlar ve SSL sertifikalarını sitenin son ziyaretçisine değiştirirler.
HTTPS kurulum talimatlarındaki resimler, sanki Tam modda, şifreleme trafik yolu boyunca kullanılıyormuş gibi yanıltıcı olabilir. Aslında CloudFlare sunucusu, sunucudan gelen trafiğin şifresini çözer ve site ziyaretçisi için verdiği sertifikayla yeniden şifreler.
Herhangi bir çalışma modunda, CloudFlare SSL trafiğinin şifresini çözer.
geçerli bir SSL sertifikanız olsa bile, CloudFlare iletilen tüm verilere yine de erişebilir. Bu, istemciden hedef sunucuya şifresini çözmeden şifrelemeyi içeren SSL fikrinin tamamını geçersiz kılar.
CloudFlare sunucularının bir hatası veya hacklenmesi durumunda, tüm gizli trafik saldırganlara açık olacaktır. CloudFlare sunucularının rastgele bellek içeriğini doğrudan sayfa içeriğine göndermesine neden olan bir bellek sızıntısı güvenlik açığını hatırlamak yeterlidir. Bu veriler çerezleri, hesapları, kredi kartı numaralarını vb. İçerebilir.
Ayrıca, Cloudflare Inc'in faaliyet gösterdiği yargı alanındaki ülkenin özel hizmetlerinin, orijinal sunucu farklı bir yargı alanında olsa bile şifresi çözülmüş trafiğe erişim talep edebileceğini de unutmamalısınız. Bu, SSL'nin ana fikrini bir kurguya dönüştürür.
Sadece altyapı değil, aynı zamanda sansür
Başlangıçta Cloudflare, yalnızca müşteriler için altyapı sağlayacağını ve kaynakları içeriğe göre sansürlemeyi planlamadığını belirterek, yalnızca devlet kurumlarından gelen yasal gerekliliklerle sınırlandırılacağına söz verdi. Hack'leri ve DDoS saldırılarını koordine eden ünlü LulzSec grubunun sitesinde durum böyleydi. Bu vesileyle, Cloudflare bir açıklama yaptı .
Ancak bir süre sonra Cloudflare, ahlaki inançlarına dayanarak 8chan sitesine hizmet vermeyi reddetmeye karar verir. Aynı zamanda, bunun için herhangi bir mahkeme kararı veya başka resmi nedenler yoktu - sadece karar verdiler. Bu, sağlayıcının hangi hizmetin kendi altyapısında sunulmaya değer olduğuna ve hangisinin olmadığına kendisi için karar verip veremeyeceğine dair kamuya açık bir tartışmayı ateşledi. New York Times'daki yansıtıcı makale:8chan'ı Yasaklamak Cloudflare İçin Neden Bu Kadar Zordu: 'Kimse Bu Güce Sahip Olmamalı' .
Biliyorum herkes bu anı bekliyor, Sonuçu :kahkaha
Cloudflare'nin inanılmaz derecede faydalı bir hizmet olmasına ve içeriğin dağıtımını önemli ölçüde hızlandırmaya yardımcı olmasına ve İnternet'i geliştirmesine rağmen, tehlikeli büyümesi ve yaklaşan tekeli tüm İnternet'in istikrarını tehdit ediyor. Yukarıdakilerin hepsini basit tezlerle özetlemeye çalışalım:
Tüm yumurtaları tek bir sepette saklayamazsınız. Bu basitçe güvenli değildir, bu durumda bir hatanın maliyeti çok yüksektir. Bir şirket dünyanın tüm sırlarına sahipse, her zaman saldırıya uğrayabilir, hata yapabilir veya rakiplerini piyasadan çıkarmak için dürüst olmayan davranışlarda bulunabilir.
Ticari bir şirket her zaman tek bir şeyle ilgilenir - para kazanmak. İnternet düğümlerinin temel unsurları bir şirket tarafından ele geçirilirse, hizmetlerin fiyatlarını tekelleştirebilecek, rakiplerini yok edebilecek ve kendi kurallarını dikte edebilecek ve tomurcuklanan rakipleri ezebilecek.
SSL artık verileri üçüncü şahıslardan korumaz. Cloudflare ağı üzerinden iletilen tüm şifrelenmiş verileriniz, bu üçüncü taraf CloudFlare tarafından kullanılabilir. Bu, milyonlarca kullanıcının hassas verilerine sınırsız erişim sağlar.
Bu gönderi Cloudflare'den vazgeçmeyi gerektirmiyor, ancak yalnızca bu kadar hızlı büyümenin ve bu şirketin etkisinin gelecekte nasıl tehdit ettiğini açıklıyor. Cloudflare kullanımının görevleriniz için gerçekten gerekli olup olmadığını düşünün ve onsuz yapamıyorsanız, acil bir hareket durumunda bir B planı sağlayın.
Şimdiden herkese hayırlı hafta sonları arzu ediyorum, sağlıcakla kalın arkadaşlar.
)
