Security Professionals - ipfw add deny all from eindgebruikers to any

Webfilter Geo Policies: Rusland (?)

16-02-2016, 20:14 door Anoniem, 1 reacties
Er is iets opmerkelijks aan de hand dat ik graag aan jullie (experts) voorleg.
Veel bedrijven gebruiken de services van Cloudflare om zich te beschermen tegen van alles en nog wat dat de beschikbaarheid en veiligheid van hun website zou kunnen benadelen.

Voor de meeste gebruikers en bezoekers zal dat een ongemerkte pré zijn, voor anderen, bijvoorbeeld gebruikers van anonimiserende services als VPN en bijvoorbeeld Tor netwerk kan dat betekenen dat zij geen toegang mogen hebben tot betreffende websites zonder eerst een digitale drempel over te moeten klimmen.
Een bekend verhaal met bekende klachten, lees vooral door want het onderwerp betreft wat anders dan een punt maken van Cloudflare blokkades, integendeel!

Digitale Douane
Met name ook op deze website wordt je geconfronteerd met deze content..-'service' van Cloudflare.
Gebruikers van Torbrowser zullen hebben gemerkt dat de kans dat je een captcha moet invoeren inmiddels met gemak ergens tussen de 25 en 45 (?) procent ligt waarbij je regelmatig wel drie keer of meer de verbinding moet vernieuwen om er weer op te mogen.
Op verreweg de meeste websites binnen het Nl domein is dat blokkeren uit security overwegingen overigens helemaal niet zo! Op verreweg de meeste grote sites (ook internationaal) kom je blokkades helemaal niet tegen of zijn zij relatief zeldzaam.
Kennelijk zijn alle grote kranten van Nederland volstrekt geen target en hebben nooit last van negatieve digitale aandacht (wat een geluk!).

Maar goed, dat blokkeren is een keuze die elke beheerder van een website maakt.
De reden waarom sommigen wel de keus maken om filters strak tot strakker in te stellen blijft vaak onbekend maar ligt vermoedelijk ergens in de hoek van vermoede of beweerde overlast van ... (op zich al een groot verschil).
Echte redenen weten we niet, we kunnen er slechts naar gissen.

Overlast : stel dat het waar is
Stel dat er vanaf het Tornetwerk inderdaad overlast veroorzaakt wordt door individuen of groeperingen die middels anonimiserend verkeer een website proberen te hacken. Alles wat ten goede gebruikt wordt zal ook wel misbruikt worden. Het doel heiligt de winst-middelen.
Zou er dan op basis van het nieuws dat wij hier terugkerend voorgeschoteld krijgen over attacks en hacks iets kunnen worden gezegd over statistiek?
Meer specifiek een geo-specifieke statistiek in relatie tot digitale attacks en misbruik?

Zou er op basis van statistiek en eigen ervaringen (van jullie netwerk expert beheerders) iets kunnen worden gezegd over uit welke landen bijvoorbeeld een top 10 of top 20 van attacks plaatsvindt?
Heel simpel gezegd, vanaf welk directe ip adressen met landen dat zo is?

Geo-specifieke misbruik statistiek
Met die stille 'geo-vraag' in het achterhoofd onderga ik als bezoeker van security.nl al maanden gelaten de vele blokkade meldingen van Cloudflare op security.nl.
Op enig moment had ik de indruk dat met name bepaalde landen ten oosten van ons, niet ten westen of noorden met uitzondering van Zweden, die twijfelachtige eer ten beurt viel.
Te denken valt dan bijvoorbeeld aan voormalige landen uit het Oostblok die als je het nieuws mag geloven ook nog wel eens wat minder alert reageren op activiteiten die we liever missen op het internet.
Dat is de indruk die je wel globaal kan krijgen door de jaren heen.

'Helaas'
Inmiddels heb ik de indruk dat dat niet zo gesteld kan worden.
Cloudflare op security.nl blokkeert vele Tor-exitnodes verdeeld over vele landen op het Europese continent met een op het oog vrij gelijke balans.
Op zich is dat ergens een mooie gedachte, criminaliteit of misbruik houdt zich niet aan grenzen en is helaas overal.
West-Europeanen zijn net zo goed en fout als Oost-Europeanen en overige aardbol bewoners

Moedig weerstand geboden!
Op enig moment viel het me op dat er eigenlijk zonder uitzondering 1 land in Europa geheel buiten Cloudflare blokkades valt.
Een land dat moedig weerstand biedt in de Europese internet-poel van verderf.
De grote verassende uitzondering op die regel in positieve zin is een land dat ik nooit geblokkeerd zag door Cloudflare : Rusland!
Ongelimiteerd vele malen web-goud behaald!

Geo-ip-test
Om die aanname eens te controleren en te testen heb ik voor de gelegenheid een Torbrowser aangepast zodanig dat het alleen exitnodes uit Rusland selecteerde.
In zijn algemeenheid geen goed advies om op dergelijke wijze maar wat te sleutelen vanuit de gedachte waarmee Torbrowser ontwikkeld is, anonimiteit ondermeer door uitblijven van onderlinge diversiteit.
Met uitzondering voor dit doel wel van belang.

Vergeefs blokkade gezocht!
Al testend op security.nl met het bovenfrequent vaak vernieuwen van verbindingen (daar gaat de statistiek van bezoekers sorry security.nl) in de hoop tegen de bekende Cloudflare blokkade aan te lopen lukte dat maar niet.

Waar ik bij een reguliere Torbrowser versie gemiddeld ongeveer binnen drie keer vernieuwen geheid tegen één of meerdere Cloudflare blokkades aanloop was dat met de exclusieve Rusland-exitnode browserversie versie niet mogelijk!
Geen Cloudflare blokkades op verkeer uit Rusland.

Een paar grote andere sites geprobeerd nog (Telegraaf, AD, Washingtonpost, ...) en ook die geven geen blokkades, maar dat doen ze normaliter ook al niet (met uitzondering van NRC die om wat voor reden dan ook haar (spannende?) plaatjescontent achter Cloudflare verstopt ?! Wonderlijke beslissing.)

Webverkeer uit Rusland is dan dus 'gecertificeerd veilig' bevonden door Cloudflare (?)
Kunnen we dan constateren dat in tegenstelling tot alle andere landen criminelen en hackers helemaal geen gebruik van internet verbindingen vanuit en via Rusland maken! (?)
Een resultaat waar zij gerust trots op mag zijn, helemaal geen misbruik van het internet!
Als je tenminste geheel op de analyses (en diensten) van het Amerikaanse Cloudflare mag vertrouwen.

Hoe neutraal?
En hier komen we bij de essentie van het verhaal en mijn constateringen.
Ik kan het eerlijk gezegd vanuit de algemene statistiek van een zekere gelijke spreiding van criminaliteit en misbruik maar moeilijk geloven of thuisbrengen dat één land het lukt daar geheel buiten te blijven.
Hoe kan het dat een nota bene Amerikaans bedrijf dat het web mee helpt filteren op een manier waar je U tegen zegt, werkelijk met bergen van lijsten overal en nergens filtert maar het verkeer uit 1 land geheel niet filtert?

Is dat niet heel misschien een klein beetje opmerkelijk?

Vragen aan de lezende experts
Wat zou nou een verklaring kunnen zijn voor de indruk dat CLoudflare standaard verbindingen met Rusland wel doorlaat?

a) Mijn (kleine) onderzoekje deugt niet en de professionele experta hebben hele andere ervaringen met blokkades van Tor-exitnodes uit Rusland door Cloudflare..

b) Rusland heeft het eigen lokale net inclusief Tor dusdanig onder controle dat er geen sprake is van suspecte activiteiten en er dus ook geen reden is tot blokkades

c) ... ?
d) ....?
e) ...?


Alu hoedjes modus ..(?). .
f) 'Zomaar een mogelijke wilde veronderstelling' : omdat Cloudflare middels eigen certificaten een MitM pleegt op veel verbindingen van haar klanten en dus feitelijk inzicht kan hebben in wat er voorbij komt, is het misschien juist wel heel interessant (als Amerikaans bedrijf) om al het verkeer van en naar Rusland te monitoren.
Dan zou alles worden doorgelaten maar op een andere manier geanalyseerd en eventueel gekanalyseerd en geneutraliseerd?

Dus, wie heeft er vanuit zijn netwerk expertise, ervaring met Cloudflare techniek hier een aannemelijk antwoord op?
Bijvoorbeeld omdat je inzicht hebt in als suspect aangemerkt netwerk verkeer en goed zicht hebt uit welke landen dat het meeste komt.
Komt bij jullie Rusland ook veel positiever dan alle andere landen uit de bus?

Als dat zo is is dat best nieuwswaardig.
Roept u (graag onderbouwd) maar als er een aannemelijk mooi broodje van gebakken kan worden.

Gegroet,
(Deze maal vanaf een snelle onbelemmerde verbinding. Dat overigens niet per sé als een advies om na te volgen moet worden opgevat omdat Torbrowser als gezegd met een ander idee in het achterhoofd ontworpen is!; veilig en vooral ook positief gebruik!)


Misschien dat bovenstaande nieuwe inzichten helpen de slapeloze nachten van die ene cyberdirecteur wat helpen verminderen.
https://www.security.nl/posting/461306/Cyberdreiging+geeft+CIA-directeur+slapeloze+nachten
Viel het allemaal toch nog een beetje mee. Laten we het hopen voor hem!
Reacties (1)
20-02-2016, 22:08 door Anoniem
Inderdaad een interessante vaststelling. De cloudflare website (https://support.cloudflare.com/hc/en-us/articles/203366080-Why-do-I-see-a-captcha-or-challenge-page-Attention-Required-trying-to-visit-a-site-protected-by-CloudFlare-as-a-site-visitor-) geeft zelf de volgende uitleg voor dit soort gevallen:
1. Er word vanuit het gebruikte ip malicious activiteit waargenomen.
2. De eigenaar van de site blockt het land van het IP.
3. De acties die je doet op de site triggeren een firewall.

Met de aanname dat security.nl niet alle landen behalve Rusland blockt en dat je niet bezig was security.nl te hacken ;-) blijft alleen optie 1 over.

Blijkbaar word er op TOR-nodes in Rusland aanmerkelijk minder malicious activiteit waargenomen, maar waarom? Ik denk dat dat de kernvraag is.

Een uitleg zou kunnen zijn, dat de individuen die malicious zaken doen via TOR vooral uit Rusland komen, en op deze manier willen voorkomen dat hun overheid dit in de gaten kan houden, hoewel je naast de exit nodes natuurlijk nog 2 hops hebt.

Of misschien dat de nodes uit Rusland een kortere levensduur hebben waardoor ze nog niet op de 'blacklist' van cloudflare zijn terechtgekomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.