Risico Cloudflare (+Trump)

Toevoeging 21 maart 2025 {
Cloudflare bekijkt uw wachtwoorden (en 2FA codes), en zou daarmee desgewenst als u kunnen inloggen op uw accounts. Ze geven dat impliciet zelf toe: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/. Bron: https://benjojo.co.uk/u/benjojo/h/cR4dJWj3KZltPv3rqX.
}

Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:

browser <-1-> Cloudflare <-2-> https://pvv.nl

‍ Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).

CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".

DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.

Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).

Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}

Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.

Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).

Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.

MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).

De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).

AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).

Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.

DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).

Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).

@jwijnings : community-based klinkt leuk, maar ik vrees dat dit niet werkt in de praktijk: criminelen zullen er *alles* aan doen om hun sites positief te laten scoren.

PGP is niet voor niets totaal niet schaalbaar gebleken, en criminelen hebben public keys op naam van anderen op publieke keyservers geplaatst - waar de mensen met die namen *niets* tegen kunnen doen.

En een browser-plugin is véél te vrijwillig, dat wordt niks.

Linksom of rechtsom ontkom je er m.i. niet aan om één of meer derde partijen (certificaatuitgevers) te vertrouwen, die (meer of minder betrouwbaar) de identiteit van verantwoordelijken voor websites vaststellen (maar dit moet je beslist niet aan big tech zelf overlaten, zoals nu gebeurt).

De "community" (betrouwbare daaruit, en/of objectieve auditors) zouden vervolgens herhaaldelijk moeten vaststellen hoe betrouwbaar elke *CERTIFICAAT-UITGEVER* is.

• Van elke website waarvan de verantwoordelijke ANONIEM is, moeten browsers dit klip en klaar aangeven (en bij doorklikken op de risico's wijzen.

• Van elke website waarvan de verantwoordelijke NIET anoniem is, moeten browsers het volgende klip en klaar aangeven:

1) wie de verantwoordelijke is

2) hoe betrouwbaar de identiteit van de verantwoordelijke is vastgesteld

3) hoe betrouwbaar de certificaatverstrekker door "de community" voor het laatst werd beoordeeld, wanneer en door wie.

En dit alles met eenvoudig vindbare uitgebreide en duidelijke toeliching waar de internetter rekening mee moet houden, inclusief dat een https websitecertificaat *NIETS* zegt over de betrouwbaarheid van die site en diens eigenaar, maar wel dat je weet HOE BETROUWBAAR je weet WIE DE VERANTWOORDELIJKE is.

Alle info over de verantwoordelijke hoeft niet bij elk bezoek in je gezicht te worden gedrukt, maar in elk geval bij het eerste bezoek van een domeinnaam, en bij elke certificaatswijziging. Geo-info over het actuele IP-adres (vestigingsland) kan ook zinvol zijn.

Om dit effectief uit de grond te stampen, moet de EU elke browsermaker verplichten om dit te faciliteren. Zonder dwang wordt het niks.

P.S. ik weet nu ook een phishing domeinnaam met "google" er in, die zich afgelopen jaar achter Cloudflare verstopte - en was voorzien van een door GOOGLE uitgegeven certificaat.

Het kan big tech echt geen ruk schelen.

De meeste mensen zien het niet, maar met een beetje zoeken ontdek je al snel dat we, bij het internetten, aan het koorddansen zijn - zonder evenwichtsstok en zonder valbescherming.

Via een domeinnaam in https://blog.sekoia.io/targeted-supply-chain-attack-against-chrome-browser-extensions/ vond ik weer een hele reeks IP-adressen in de US en FR met bergen nepsites, met o.a. waadaardige Chrome extensies zoals hieronder te zien is (uit https://www.virustotal.com/gui/domain/chatgptextension.site/relations):