Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Cloudflare Excuus : it's 'You & everyone we know'!
31-03-2016, 17:09 door Anoniem, 15 reacties
Via een Tweakers nieuwsbericht (https://tweakers.net/nieuws/109841/Cloudflare-zo-goed-als-al-het-verkeer-naar-klanten-via-tor-is-kwaadaardig.html) * geattendeerd op een zeer zorgvuldig opgesteld blog-marketing-excuus bericht van Cloudflare's CEO; afgeschermd voor alle Torgebruikers met de welbekende gehate Captha.
Te lezen voor Torgebruikers via een poging Captcha's in te vullen, door tussenkomst van een willekeurige gratis proxy service, of.. there you go .. via een exitnode uit een domein gelegen in (jawel!) de Russische Federatie ;) !
In dit excuus blog "The Trouble with Tor" (https://blog.Cloudflare.com/the-trouble-with-tor/) wordt selectief uitgebreid ingegaan op 'de problematiek' van het blokkeren van Torbrowser gebruikers door Cloudflare.
Nou, ja, eigenlijk het blokkeren van Torbrowser gebruikers door klanten van Cloudflare!
Lezing van dit artikel vergt een extra analytische houding.
Een houding die kennis vraagt van de problematiek, waarbij de lezer essentiële feitenkennis onthouden wordt en het moet doen met algemene selectieve feiten aangedragen door Cloudflare zelf, maar vooral ook van de lezer zou moeten vragen waarom Cloudflare met een dergelijk blog komt.
Waarom komt een commercieel bedrijf met een uitgebreid blog over het blokkeren van Torbrowser gebruikers?
Omdat het wellicht toch effect heeft op het imago van het bedrijf?
Immers, wanneer het imago eronder gaat leiden doet dat natuurlijk uiteindelijk pijn in de wallet.
Anyway, het blog is interessant om te lezen vanuit analytisch perspectief, kritische lezing van het stuk laat vooral het beeld achter dat de schuld ligt bij anderen, bij de (onvoldoende onderlegde) gebruiker van Cloudflare diensten die de filters voor Torgebruikers (T1) gemakshalve op hoog blokkeren zetten, de variabele google Captcha's die voor Torbrowser gebruikers extra lastig gemaakt zijn en in voorkomende gevallen zo ontzettend onleesbaar dat het oplossen ervan een onmogelijke opgave is en het eigen gepresenteerde feiten materiaal dat zou wijzen op het feit dat maar liefst 94% (!!!) van het verkeer afkomstig is van het Tornetwerk kwaadaardig is.
Het is om te beginnen al een goede reden om stil te staan bij deze analyse waarvan wel het antwoord wordt gegeven maar de onderbouwing ervan ontbreekt en makkelijk vergeten wordt bij dit zeer zorgvuldig opgestelde (pro) Cloudflare 'artikel'.
Bijvoorbeeld
Hoe kan je dit controleren?
Via het opgegeven project op http://www.projecthoneypot.org/ ?
Na wat pogingen om daar via Torbrowser op te komen wegens zogenaamde blokkades wegens 'Project Honey Pot has detected excessive site scraping from your IP' mag ik er eindelijk op via een Roemeense exitnode die over het algemeen juist door Cloudflare worden geblokkeerd (?)
Ik tref daar statistieken aan die een heel ander beeld geven
https://www.projecthoneypot.org/statistics.php
Interessant, blokkades op security.nl leren namelijk dat er heel veel meer exitnodes worden geblokkeerd, eigenlijk uit vrijwel elk land op het Europese continent met uitzondering van Rusland.
Het opmerkelijke daarbij is dat ervaring leert dat je als Torbrowser gebruiker in Europa eigenlijk helemaal nooit een Chinese exitnode zal gebruiken. Als een soort hobby erbij hou ik dat in de gaten en een Chinese exitnode heb ik nog nooit voorbij zien komen.
Op zich ook niet zo raar want het aanbod van Chinese exitnodes is zeer laag en zeker binnen Europa.
Kijk maar mee voor de referenties op http://blutmagie.de/ (even geduld met laden).
Een filter op Chinese nodes levert 0 (!) nodes op (van de totaal 2488)
* ..
Kleine kans dus dat je die treft :p
(maar wat een 'misbruik' vanaf die niet bestaande Cn exitnodes!)
Spanje dan : Een filter op Chinese nodes levert 2 (!) nodes op (van de totaal 2488)
* ES nodesp234124 - 149.12.219.126 [149.12.219.126]
* ES Cargol- 238.41.222.87.dynamic.jazztel.es [87.222.41.238]
Kleine kans dus dat je die 'spaanse misbruikers' treft.
Daarna komen landen als de VS, die zul je inderdaad af en toe gebruiken als Torbrowser gebruiker, Roemenië en met name Duitsland ook.
Maar er wordt heel veel meer geblokkeerd door Cloudflare (leert ervaring op security.nl) zonder dat dat altijd exclusief geldt voor alle nodes uit dat land! Van een landblokkade (mogelijk individuele websitehoudersetting) is er dus weer geen sprake.
Even doorstomen naar de top 25 dan om te kijken of we tot die 94 % misbruik zouden kunnen komen.
(wat een gedoe al die percentages optellen, maar vooruit, voor het inzicht en het goede doel, al is duidelijk dat met de 32 % van China eraf nooit en te nimmer de 94 % van Cloudflare gehaald kan gaan worden!)
https://www.projecthoneypot.org/harvester_top_countries.php
Als we de percentages optellen van nummer 3 t/m 25 komen we uit op een percentage van 46,9 !
Hoewel ik dat ook een onderzoekenswaardig hoog percentage vind haalt het dat niet bij de 94% van Cloudflare.
Vanaf veel Europese nodes die geblokkeerd worden is dus wel een zogenaamd misbruik te zien maar betreft bijzonder lage percentages van ruim onder de 5% !
En dan hebben we het nog niet eens over het feit of deze wijze van websites benaderen op een ander manier technisch valt te detecteren en te ondervangen.
En die lijken er wel te zijn!
Simpel zelfs!
Want gaan we even naar de statistics afdeling om de useragent detectie te kiezen
https://www.projecthoneypot.org/harvester_useragents.php
Dan zien we het volgende (Ik neem de top 25 uit een top honderd)
De ingevoerde Torbrowser gebruiker weet dat om anonimiteitsredenen Torproject ervoor heeft gekozen om alle soorten distributies van Torbrowser 1 (!) soort useragent mee te geven!
Voor de huidige versie van Torbrowser is dat
Halen we daar even de versie informatie vanaf dan blijft bijvoorbeeld over
Mozilla dus en geen IE of Java (!), geen Opera, etc.
Trekken we deze laatste selectie van de Useragentstring door de top honderd lijst van Project Honey Pot dan krijgen we (slechts) tien hits!
Beginnend op plaats 63 (!), let ook even op de percentages erachter.
Een historisch gelijk overzicht van 0,4 % betreffende mozilla windows nt 6.1 useragents.
Waarbij ook nog eens opvalt dat (bij het doornemen van de top 100) er nog iets merkwaardigs aan de hand is.
De laatst gedetecteerde kloppende Useragentstring is versie nummer 26 !
Torbrowser zit nu op versie 38 !
Dat kan dan betekenen dat er na versie 26 helemaal geen suspect verkeer met de juiste Useragentstring heeft plaatsgevonden,
of dat project honey suspicious dates bepaald niet up to date is met haar data.
en dat Cloudflare zich baseert op oude data.
In ieder geval noemt en verwijst Cloudflare in algemene zin wel naar data maar als je die data gaat bekijken is er weinig reden om de stelling van 94% kwaadaardig verkeer te onderbouwen, op basis van de Useragentstrings die gebruikt zijn komen we tot een mogelijk zeer gedateerde set data die slechts 0,4 % betreft!
Project Honey Pot attendeert zelfs nog op de mogelijkheid om op Useragentstrings te detecteren!
Wat doet Cloudflare met Detectie van de echte Torbrowser en andere browsers?
Maar geheel gequoted
Uit dit stukje kan je het volgende afleiden.
Cloudflare trackt jou op basis van je unieke browserfingerprint voor security redenen maar slaat jouw verkeer dus ook op want anders kunnen ze jouw bezoek aan dezelfde website vanaf een andere locatie immers ook niet whitelisten!
Dat betekent dus dat jouw privacy in het geding is omdat je op basis van je unieke browser fingerprint webwijd wordt getracked door Cloudflare (wanneer websites, en dat zijn er veel in Nederland, Europa en de VS, gebruikmaken van de trackingdiensten, kuch, MitM-security diensten van Cloudflare).
Cloudflare kent dus een (groot) deel van jouw browsing gedrag en van een Amerikaans bedrijf weet je dat jouw data als het erop aankomt netjes mogen worden afgegeven. al moet er een 227 jaar oude wet aan te pas komen om de rest van de wet te passeren.
Torbrowser kent echter goede privacymaatregelen wat ook door Cloudflare erkend wordt.
Het opmerkelijke daarbij is het volgende contrast.
Waar zij kennelijk vergeten direct op de standaard useragentstring van Torbrowser te matchen en zo eenvoudig 99,6 % van het Tornetwerk verkeer met een verkeerde useragent te filteren, beweren zij wel dat ze zouden kunnen filteren op basis van unieke fingerprints van Torbrowsergebruikers.
"So, while we could probably do things using super cookies or other techniques to try to get around Tor's anonymity protections".
Waarom zo hoog van de toren blazen en suggereren?
( Ik geloof er niets van tenzij gebruikers aparte addons gaan installeren en zeer unieke aanpassingen onder de about:config zouden aanbrengen, maar dan nog.)
Waarom is de privacy van standaard gebruikers niet van belang en worden zij gevolgd op basis van hun unieke fingerprint en zou het ineens een probleem zijn om diezelfde techniek op Torbrowser gebruikers los te laten?
Als je niets onoorbaars doet met die data, wat is dan het probleem?
Dat je misschien toch meer doet met die data dan je zegt te doen?
Dat je misschien die data breder deelt dan je zegt te doen?
Implementeer eerst maar eens een fatsoenlijk filter op basis van onjuiste useragentstrings en kijk dan eens wat er nog van de zogenaamde overlast overblijft, in plaats van te pochen met dat je gebruikers kan deanonimiseren. Een dergelijke uitspraak helpt overigens ook iet echt om je reputatie en vertrouwen in je producten te verbeteren.
Cloudflare bevindt zich dus met (een stil) gemak op het niveau van Adobe tracking : dank voor de tip (voor wie zich dat nog niet realiseerde).
De rest van het stuk blijft de lezer het moeten doen met niet onderbouwde constateringen over misbruik.
Dat is begrijpelijk maar toch jammer omdat het de werkelijke security discussie daarmee onmogelijk maakt.
Immers als je niet precies definieert wat de attacks dan zijn en welke kenmerken zij hebben kan je ook niet praten over oplossingen.
Je leest bijvoorbeeld wel over scrapers via het relatief langzame tornetwerk.
Ik weet niet hoeveel pagina's jij per 5 seconden leest maar als dat er 5 zijn voor een periode langer dan 30 seconden dan heb je vast heel veel koffie gedronken of ben je wellicht een bot.
Hoeveel pagina's op een website bezoek je sowieso bij een bezoek, 10, 20, 30? Maar vast geen 100 of 1000.
Is daar geen filter voor te bedenken?
Diepe stilte.
Behalve dan waar het het aandeel van google betreft en die van haar eigen klanten : Het is niet de schuld van Cloudflare, klanten willen en doen het zelf!
Blijft het design van de faciliteerder volledig buiten beeld en draagt zij geen verantwoordelijkheid?
Een klant kiest uit de mogelijkheden die het aangeboden krijgt.
Stop ik een peuter een geladen revolver in de handjes dan bestaat de kans dat het pistool afgaat, mijn verantwoordelijkheid niet. Het was de peuter die de trekker overhaalde.
Overtrokken voorbeeld natuurlijk maar als we het trekken naar hun eigen statistiek van groeiend spamming gebruik.
Wat zijn we blij met statistiek en grafiekjes, je kan er werkelijk alles mee!
Wanneer ben ik een spammer als ik met Torbrowser security.nl bezoek?
Kennelijk nogal vaak, direct al, een eerste bezoek levert meer dan 50% kans op een blokkade op.
Wat deed ik dan?
url invoeren en een enkele enter.
Wat doe ik vervolgens (en vermoedelijk velen met mij) bij een Captcha blokkade?
Ik vul niets in omdat je moet gaan lopen klooien met diverse javascripts toestaan en met Google testjes regelmatig tot meerdere malen toe.
De eenvoudigste (en principiële sodemieterop) oplossing is dan om direct je Torcircuit te vernieuwen in de hoop dat je dan met een nieuwe exitnode wel de site op mag.
Dat mag vaak niet, nog een keer vernieuwen, nog een keer vernieuwen, nog een keer vernieuwen, tot je er een keer op mag.
Langzaam of snel vernieuwen, grote kans en steeds vaker dat het een tijdje duurt.
Zou het kunnen dat Cloudflare het zelf uitgelokte gedrag als spamming in de statistiek verwerkt?
Dat Cloudflare iedereen die het principieel en praktisch vertikt om mee te doen aan de tijdrovende captcha flauwekul betitelt als spammers?
Heel aannemelijk als je de stelling hanteert dat 94% van de torbrowser gebruikers als spammers worden betiteld.
Iedereen die geen Captcha invult is een spammer, een misbruiker, en erger.. (?)
Als Cloudflare zelf stelt werkt het met "Imperfect solutions"
Zoekt het daarvoor de schuld bij zichzelf?
Zoek het de schuld bij haar eigen producten ?
Welnee, het ligt bij de gebruikers en bij Torproject ook nog.
Torproject helpt volgens Cloudflare niet mee om de (onbeholpen) commerciële diensten van een commercieel bedrijf soepeler te laten verlopen.
Tor project krijgt dan ook als afsluiter van het betoog er technisch van langs, omdat de (encryptie) techniek van Torproject te zwak is kan de oplossingen die Cloudflare voor zich ziet niet werken.
Namelijk, Cloudflare klanten zouden in staat moeten zijn om automatisch een kopie website onder het .Onion domein te kunnen draaien om de Torbrowser gebruikers daar dan kennelijk standaard naar toe te leiden.
Op zich misschien wel helemaal geen gek idee omdat daarbij het positieve aanbod van sites onder het .Onion domein aanmerkelijk zou worden verhoogd, ware het niet dat Cloudflare in dit hele blog zich continue verschuilt achter uiteindelijk niet geloofwaardige excuses en vooral zowel de schuld van het probleem zoekt bij haar eigen klanten, bij Google, bij Torproject en ook de oplossing neerlegt bij anderen.
Dat is een best begrijpelijk perspectief en de manier waarop dat in deze blogvorm gegoten is is best een 'complimentje' waard, aan de CEO en de hele marketingafdeling die daar woord voor woord voor heeft zitten wegen.
Wat men helaas wellicht over het hoofd heeft gezien is dat achter deze(schijn)heiligheid ook iets zwarts onder het tapijt vandaan is gekomen : Cloudflare trackt internetgebruikers op basis van hun browserfingerprint en beschikt dus kennelijk over een historisch profiel om gebruikers te kunnen categoriseren in goed, kwaad en suspect.
Laten we zeggen dat het moeilijk is om data slechts alleen voor je te houden, zeker als je een Amerikaans bedrijf bent, en vraag je af welke drieletter organisaties graag over dergelijke profielen zouden willen beschikken.
Overdrijf ik met een dergelijke suggestie?
Nee, waarschijnlijk niet
Lees het zelf maar
http://arstechnica.com/tech-policy/2016/03/us-says-it-would-use-court-system-again-to-defeat-encryption/
Zeg maar dag met je handjes tegen je data en spaar maar vast voor een nieuwe computer om met een schoon device-fingerprint-profiel te kunnen beginnen.
Mede mogelijk gemaakt door Cloudflare.
Afsluitend, lees vooral het blog zelf.
En vertik het Captcha's in te voeren, vernieuw in plaats daarvan onder Torbutton eenvoudig en direct je Torcircuit en exitnode.
Goed voor de statistiek!
Bloggende TorbrowserGroet
(via 'Cloudflares big oncensored higway love' the Republics of Russia)
_______________________
Lastminuteflare-noot *
Kijk, what do you know, inmiddels ook een artikel op security.nl .
Interessant gekaderde titel "CloudFlare gaat leven Tor-gebruikers eenvoudiger maken".
Securityscanning / login scanning : vergeten te behandelen in bovenstaande tekst, met name security onderzoekers en de diverse overheidsdiensten (terughackdiensten) zelf scannen en zoeken naar kwetsbaarheden.
Niet aangetoond is, niet aan te tonen is hoe dit verkeer zich verhoudt tot de kwade geesten waarbij wel alle 'mis'bruik aan criminelen wordt toegeschreven.
Spamming : wat betreft het geautomatiseerd verkeer mag je je bedenken dat dit verkeer dan nooit het snelste geautomatiseerde verkeer zal betreffen.
De meeste websites een eigen captcha of een account vereisen voor het plaatsen van berichten.
Advertenties geautomatiseerd plaatsen : ??
Scraping : er moeten toch andere effectieve detectiemethoden zijn om te zien of er sprake is van scraping en niet elke onschuldige lezer als zodanig te willen blokkeren en te straffen.
Torbrowser aanpassen aan Cloudflare diensten door de browser automatisch te laten weten wie wij zijn: gebeurt al middels een goed herkenbare useragentstring die Cloudflare kennelijk niet weet te filteren.
Nee dan de oplossing extern zoeken, een speciale oplossing voor elke andere cdn-leverancier, voor Google, in het kader van de Great Firewall, voor elke overheidsdienst met eigen specifieke about:config verzoekjes.
Ga eerst nog maar eens staan voor de eigen verantwoordelijkheid zonder zich achter anderen te verschuilen, iets wat men nog niet doet.
Te lezen voor Torgebruikers via een poging Captcha's in te vullen, door tussenkomst van een willekeurige gratis proxy service, of.. there you go .. via een exitnode uit een domein gelegen in (jawel!) de Russische Federatie ;) !
In dit excuus blog "The Trouble with Tor" (https://blog.Cloudflare.com/the-trouble-with-tor/) wordt selectief uitgebreid ingegaan op 'de problematiek' van het blokkeren van Torbrowser gebruikers door Cloudflare.
Nou, ja, eigenlijk het blokkeren van Torbrowser gebruikers door klanten van Cloudflare!
Lezing van dit artikel vergt een extra analytische houding.
Een houding die kennis vraagt van de problematiek, waarbij de lezer essentiële feitenkennis onthouden wordt en het moet doen met algemene selectieve feiten aangedragen door Cloudflare zelf, maar vooral ook van de lezer zou moeten vragen waarom Cloudflare met een dergelijk blog komt.
Waarom komt een commercieel bedrijf met een uitgebreid blog over het blokkeren van Torbrowser gebruikers?
Omdat het wellicht toch effect heeft op het imago van het bedrijf?
Immers, wanneer het imago eronder gaat leiden doet dat natuurlijk uiteindelijk pijn in de wallet.
Anyway, het blog is interessant om te lezen vanuit analytisch perspectief, kritische lezing van het stuk laat vooral het beeld achter dat de schuld ligt bij anderen, bij de (onvoldoende onderlegde) gebruiker van Cloudflare diensten die de filters voor Torgebruikers (T1) gemakshalve op hoog blokkeren zetten, de variabele google Captcha's die voor Torbrowser gebruikers extra lastig gemaakt zijn en in voorkomende gevallen zo ontzettend onleesbaar dat het oplossen ervan een onmogelijke opgave is en het eigen gepresenteerde feiten materiaal dat zou wijzen op het feit dat maar liefst 94% (!!!) van het verkeer afkomstig is van het Tornetwerk kwaadaardig is.
Het is om te beginnen al een goede reden om stil te staan bij deze analyse waarvan wel het antwoord wordt gegeven maar de onderbouwing ervan ontbreekt en makkelijk vergeten wordt bij dit zeer zorgvuldig opgestelde (pro) Cloudflare 'artikel'.
Bijvoorbeeld
Based on data across the Cloudflare network, 94% of requests that we see across the Tor network are per se malicious. That doesn?t mean they are visiting controversial content, but instead that they are automated requests designed to harm our customers. A large percentage of the comment spam, vulnerability scanning, ad click fraud, content scraping, and login scanning comes via the Tor network. To give you some sense, based on data from Project Honey Pot (http://www.projecthoneypot.org/) , 18% of global email spam, or approximately 6.5 trillion unwanted messages per year, begin with an automated bot harvesting email addresses via the Tor network.
Hoe kan je dit controleren?
Via het opgegeven project op http://www.projecthoneypot.org/ ?
Na wat pogingen om daar via Torbrowser op te komen wegens zogenaamde blokkades wegens 'Project Honey Pot has detected excessive site scraping from your IP' mag ik er eindelijk op via een Roemeense exitnode die over het algemeen juist door Cloudflare worden geblokkeerd (?)
Ik tref daar statistieken aan die een heel ander beeld geven
https://www.projecthoneypot.org/statistics.php
Top-5 Countries For Harvesting (see top-25)
#1 [China] China (32.2%)
#2 [Spain] Spain (12.3%)
#3 [United States] United States (8.7%)
#4 [Romania] Romania (4.4%)
#5 [Germany] Germany (3.2%)
#1 [China] China (32.2%)
#2 [Spain] Spain (12.3%)
#3 [United States] United States (8.7%)
#4 [Romania] Romania (4.4%)
#5 [Germany] Germany (3.2%)
Interessant, blokkades op security.nl leren namelijk dat er heel veel meer exitnodes worden geblokkeerd, eigenlijk uit vrijwel elk land op het Europese continent met uitzondering van Rusland.
Het opmerkelijke daarbij is dat ervaring leert dat je als Torbrowser gebruiker in Europa eigenlijk helemaal nooit een Chinese exitnode zal gebruiken. Als een soort hobby erbij hou ik dat in de gaten en een Chinese exitnode heb ik nog nooit voorbij zien komen.
Op zich ook niet zo raar want het aanbod van Chinese exitnodes is zeer laag en zeker binnen Europa.
Kijk maar mee voor de referenties op http://blutmagie.de/ (even geduld met laden).
Een filter op Chinese nodes levert 0 (!) nodes op (van de totaal 2488)
* ..
Kleine kans dus dat je die treft :p
(maar wat een 'misbruik' vanaf die niet bestaande Cn exitnodes!)
Spanje dan : Een filter op Chinese nodes levert 2 (!) nodes op (van de totaal 2488)
* ES nodesp234124 - 149.12.219.126 [149.12.219.126]
* ES Cargol- 238.41.222.87.dynamic.jazztel.es [87.222.41.238]
Kleine kans dus dat je die 'spaanse misbruikers' treft.
Daarna komen landen als de VS, die zul je inderdaad af en toe gebruiken als Torbrowser gebruiker, Roemenië en met name Duitsland ook.
Maar er wordt heel veel meer geblokkeerd door Cloudflare (leert ervaring op security.nl) zonder dat dat altijd exclusief geldt voor alle nodes uit dat land! Van een landblokkade (mogelijk individuele websitehoudersetting) is er dus weer geen sprake.
Even doorstomen naar de top 25 dan om te kijken of we tot die 94 % misbruik zouden kunnen komen.
(wat een gedoe al die percentages optellen, maar vooruit, voor het inzicht en het goede doel, al is duidelijk dat met de 32 % van China eraf nooit en te nimmer de 94 % van Cloudflare gehaald kan gaan worden!)
https://www.projecthoneypot.org/harvester_top_countries.php
Top-25 Countries
Where Harvesters Are Located
#1 [China] China (32.2%)
#2 [Spain] Spain (12.3%)
#3 [United States] United States (8.7%)
#4 [Romania] Romania (4.4%)
#5 [Germany] Germany (3.2%)
#6 [Italy] Italy (3.2%)
#7 [Great Britain] Great Britain (3.1%)
#8 [Cote d] Cote d (2.6%)
#9 [Netherlands] Netherlands (2.5%)
#10 [Senegal] Senegal (2.2%)
#11 [France] France (1.8%)
#12 [Malaysia] Malaysia (1.8%)
#13 [Canada] Canada (1.6%)
#14 [Brazil] Brazil (1.5%)
#15 [Nigeria] Nigeria (1.4%)
#16 [India] India (1.2%)
#17 [Japan] Japan (1.1%)
#18 [Thailand] Thailand (1.1%)
#19 [Ghana] Ghana (0.9%)
#20 [Taiwan] Taiwan (0.8%)
#21 [Belgium] Belgium (0.8%)
#22 [Turkey] Turkey (0.8%)
#23 [Russia] Russia (0.8%)
#24 [Mexico] Mexico (0.7%)
#25 [Morocco] Morocco (0.7%)
Where Harvesters Are Located
#1 [China] China (32.2%)
#2 [Spain] Spain (12.3%)
#3 [United States] United States (8.7%)
#4 [Romania] Romania (4.4%)
#5 [Germany] Germany (3.2%)
#6 [Italy] Italy (3.2%)
#7 [Great Britain] Great Britain (3.1%)
#8 [Cote d] Cote d (2.6%)
#9 [Netherlands] Netherlands (2.5%)
#10 [Senegal] Senegal (2.2%)
#11 [France] France (1.8%)
#12 [Malaysia] Malaysia (1.8%)
#13 [Canada] Canada (1.6%)
#14 [Brazil] Brazil (1.5%)
#15 [Nigeria] Nigeria (1.4%)
#16 [India] India (1.2%)
#17 [Japan] Japan (1.1%)
#18 [Thailand] Thailand (1.1%)
#19 [Ghana] Ghana (0.9%)
#20 [Taiwan] Taiwan (0.8%)
#21 [Belgium] Belgium (0.8%)
#22 [Turkey] Turkey (0.8%)
#23 [Russia] Russia (0.8%)
#24 [Mexico] Mexico (0.7%)
#25 [Morocco] Morocco (0.7%)
Als we de percentages optellen van nummer 3 t/m 25 komen we uit op een percentage van 46,9 !
Hoewel ik dat ook een onderzoekenswaardig hoog percentage vind haalt het dat niet bij de 94% van Cloudflare.
Vanaf veel Europese nodes die geblokkeerd worden is dus wel een zogenaamd misbruik te zien maar betreft bijzonder lage percentages van ruim onder de 5% !
En dan hebben we het nog niet eens over het feit of deze wijze van websites benaderen op een ander manier technisch valt te detecteren en te ondervangen.
En die lijken er wel te zijn!
Simpel zelfs!
Want gaan we even naar de statistics afdeling om de useragent detectie te kiezen
https://www.projecthoneypot.org/harvester_useragents.php
Dan zien we het volgende (Ik neem de top 25 uit een top honderd)
Top 25 % . abuse useragents
1. - Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727) --->> 7.8% .
2. - Java/1.4.1_04 6.2% .
3. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) --->> 5.7% .
4. - Mozilla/5.0 (Windows; U; Windows NT 6.1; en-us; rv:1.9.2.3) Gecko/20100401 YFF35 Firefox/3.6.3 --->> 5.0% .
5. - Java/1.6.0_04 --->> 4.3% .
6. - Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent --->> 3.5% .
7. - Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) --->> 3.3% .
8. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) --->> 3.0% .
9. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) --->> 2.7% .
10. - Mozilla/4.0 (compatible ; MSIE 6.0; Windows NT 5.1) --->> 2.5% .
11. none/blank --->> 2.0% .
12. - Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) --->> 1.8% .
13. - Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) --->> 1.5% .
14. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322) --->> 1.5% .
15. - Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) --->> 1.3% .
16. - MJ12bot/v1.0.8 (http://majestic12.co.uk/bot.php?+) --->> 1.2% .
17. - Java/1.6.0_20 --->> 1.2% .
18. - Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt) --->> 1.2% .
19. - Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US) 1.1% .
20. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) --->> 1.1% .
21. - Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) XX --->> 0.9% .
22. - Java/1.6.0_22 --->> 0.9% .
23. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ) --->> 0.9% .
24. - Java/1.6.0_24 --->> 0.9% .
25. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) --->> 0.9% .
1. - Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727) --->> 7.8% .
2. - Java/1.4.1_04 6.2% .
3. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) --->> 5.7% .
4. - Mozilla/5.0 (Windows; U; Windows NT 6.1; en-us; rv:1.9.2.3) Gecko/20100401 YFF35 Firefox/3.6.3 --->> 5.0% .
5. - Java/1.6.0_04 --->> 4.3% .
6. - Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent --->> 3.5% .
7. - Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) --->> 3.3% .
8. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) --->> 3.0% .
9. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) --->> 2.7% .
10. - Mozilla/4.0 (compatible ; MSIE 6.0; Windows NT 5.1) --->> 2.5% .
11. none/blank --->> 2.0% .
12. - Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) --->> 1.8% .
13. - Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) --->> 1.5% .
14. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322) --->> 1.5% .
15. - Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) --->> 1.3% .
16. - MJ12bot/v1.0.8 (http://majestic12.co.uk/bot.php?+) --->> 1.2% .
17. - Java/1.6.0_20 --->> 1.2% .
18. - Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt) --->> 1.2% .
19. - Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US) 1.1% .
20. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) --->> 1.1% .
21. - Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) XX --->> 0.9% .
22. - Java/1.6.0_22 --->> 0.9% .
23. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ) --->> 0.9% .
24. - Java/1.6.0_24 --->> 0.9% .
25. - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) --->> 0.9% .
De ingevoerde Torbrowser gebruiker weet dat om anonimiteitsredenen Torproject ervoor heeft gekozen om alle soorten distributies van Torbrowser 1 (!) soort useragent mee te geven!
Voor de huidige versie van Torbrowser is dat
Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0
Halen we daar even de versie informatie vanaf dan blijft bijvoorbeeld over
Mozilla/5.0 (Windows NT 6.1; rv:
Mozilla dus en geen IE of Java (!), geen Opera, etc.
Trekken we deze laatste selectie van de Useragentstring door de top honderd lijst van Project Honey Pot dan krijgen we (slechts) tien hits!
Beginnend op plaats 63 (!), let ook even op de percentages erachter.
63. - Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0 --->> 0.4%
64. - Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0 --->> 0.4%
65. - Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0 --->> 0.4%
66. - Mozilla/5.0 (Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0 --->> 0.4%
68. - Mozilla/5.0 (Windows NT 6.1; rv:14.0) Gecko/20100101 Firefox/14.0.1 --->> 0.4%
72. - Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0 --->> 0.4%
73. - Mozilla/5.0 (Windows NT 6.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 --->> 0.4%
74. - Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2 --->> 0.4%
78. - Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1 --->> 0.4%
98. - Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0 --->> 0.4%
64. - Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0 --->> 0.4%
65. - Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0 --->> 0.4%
66. - Mozilla/5.0 (Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0 --->> 0.4%
68. - Mozilla/5.0 (Windows NT 6.1; rv:14.0) Gecko/20100101 Firefox/14.0.1 --->> 0.4%
72. - Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0 --->> 0.4%
73. - Mozilla/5.0 (Windows NT 6.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 --->> 0.4%
74. - Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2 --->> 0.4%
78. - Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1 --->> 0.4%
98. - Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0 --->> 0.4%
Een historisch gelijk overzicht van 0,4 % betreffende mozilla windows nt 6.1 useragents.
Waarbij ook nog eens opvalt dat (bij het doornemen van de top 100) er nog iets merkwaardigs aan de hand is.
De laatst gedetecteerde kloppende Useragentstring is versie nummer 26 !
Torbrowser zit nu op versie 38 !
Dat kan dan betekenen dat er na versie 26 helemaal geen suspect verkeer met de juiste Useragentstring heeft plaatsgevonden,
of dat project honey suspicious dates bepaald niet up to date is met haar data.
en dat Cloudflare zich baseert op oude data.
In ieder geval noemt en verwijst Cloudflare in algemene zin wel naar data maar als je die data gaat bekijken is er weinig reden om de stelling van 94% kwaadaardig verkeer te onderbouwen, op basis van de Useragentstrings die gebruikt zijn komen we tot een mogelijk zeer gedateerde set data die slechts 0,4 % betreft!
Project Honey Pot attendeert zelfs nog op de mogelijkheid om op Useragentstrings te detecteren!
User Agents are the values supplied to a webserver by a visitor in order to identify themselves. This page displays up to 40 of the top User Agents used by confirmed harvesters for the time period specified. In some cases, harvesters will set their User Agent field to look as though it is a typical human visitor. In other cases, very unique User Agents are associated with harvesters. Website administrators can use this data to block certain known-harvester User Agents from ever gaining access to their sites.
Wat doet Cloudflare met Detectie van de echte Torbrowser en andere browsers?
Maar geheel gequoted
With most browsers, we can use the reputation of the browser from other requests it?s made across our network to override the bad reputation of the IP address connecting to our network. For instance, if you visit a coffee shop that is only used by hackers, the IP of the coffee shop's WiFi may have a bad reputation. But, if we've seen your browser behave elsewhere on the Internet acting like a regular web surfer and not a hacker, then we can use your browser?s good reputation to override the bad reputation of the hacker coffee shop's IP.
The design of the Tor browser intentionally makes building a reputation for an individual browser very difficult. And that's a good thing. The promise of Tor is anonymity. Tracking a browser's behavior across requests would sacrifice that anonymity. So, while we could probably do things using super cookies or other techniques to try to get around Tor's anonymity protections, we think that would be creepy and choose not to because we believe that anonymity online is important. Unfortunately, that then means all we can rely on when a request connects to our network is the reputation of the IP and the contents of the request itself.
The design of the Tor browser intentionally makes building a reputation for an individual browser very difficult. And that's a good thing. The promise of Tor is anonymity. Tracking a browser's behavior across requests would sacrifice that anonymity. So, while we could probably do things using super cookies or other techniques to try to get around Tor's anonymity protections, we think that would be creepy and choose not to because we believe that anonymity online is important. Unfortunately, that then means all we can rely on when a request connects to our network is the reputation of the IP and the contents of the request itself.
Uit dit stukje kan je het volgende afleiden.
Cloudflare trackt jou op basis van je unieke browserfingerprint voor security redenen maar slaat jouw verkeer dus ook op want anders kunnen ze jouw bezoek aan dezelfde website vanaf een andere locatie immers ook niet whitelisten!
Dat betekent dus dat jouw privacy in het geding is omdat je op basis van je unieke browser fingerprint webwijd wordt getracked door Cloudflare (wanneer websites, en dat zijn er veel in Nederland, Europa en de VS, gebruikmaken van de trackingdiensten, kuch, MitM-security diensten van Cloudflare).
Cloudflare kent dus een (groot) deel van jouw browsing gedrag en van een Amerikaans bedrijf weet je dat jouw data als het erop aankomt netjes mogen worden afgegeven. al moet er een 227 jaar oude wet aan te pas komen om de rest van de wet te passeren.
Torbrowser kent echter goede privacymaatregelen wat ook door Cloudflare erkend wordt.
Het opmerkelijke daarbij is het volgende contrast.
Waar zij kennelijk vergeten direct op de standaard useragentstring van Torbrowser te matchen en zo eenvoudig 99,6 % van het Tornetwerk verkeer met een verkeerde useragent te filteren, beweren zij wel dat ze zouden kunnen filteren op basis van unieke fingerprints van Torbrowsergebruikers.
"So, while we could probably do things using super cookies or other techniques to try to get around Tor's anonymity protections".
Waarom zo hoog van de toren blazen en suggereren?
( Ik geloof er niets van tenzij gebruikers aparte addons gaan installeren en zeer unieke aanpassingen onder de about:config zouden aanbrengen, maar dan nog.)
Waarom is de privacy van standaard gebruikers niet van belang en worden zij gevolgd op basis van hun unieke fingerprint en zou het ineens een probleem zijn om diezelfde techniek op Torbrowser gebruikers los te laten?
Als je niets onoorbaars doet met die data, wat is dan het probleem?
Dat je misschien toch meer doet met die data dan je zegt te doen?
Dat je misschien die data breder deelt dan je zegt te doen?
Implementeer eerst maar eens een fatsoenlijk filter op basis van onjuiste useragentstrings en kijk dan eens wat er nog van de zogenaamde overlast overblijft, in plaats van te pochen met dat je gebruikers kan deanonimiseren. Een dergelijke uitspraak helpt overigens ook iet echt om je reputatie en vertrouwen in je producten te verbeteren.
Cloudflare bevindt zich dus met (een stil) gemak op het niveau van Adobe tracking : dank voor de tip (voor wie zich dat nog niet realiseerde).
De rest van het stuk blijft de lezer het moeten doen met niet onderbouwde constateringen over misbruik.
Dat is begrijpelijk maar toch jammer omdat het de werkelijke security discussie daarmee onmogelijk maakt.
Immers als je niet precies definieert wat de attacks dan zijn en welke kenmerken zij hebben kan je ook niet praten over oplossingen.
Je leest bijvoorbeeld wel over scrapers via het relatief langzame tornetwerk.
Ik weet niet hoeveel pagina's jij per 5 seconden leest maar als dat er 5 zijn voor een periode langer dan 30 seconden dan heb je vast heel veel koffie gedronken of ben je wellicht een bot.
Hoeveel pagina's op een website bezoek je sowieso bij een bezoek, 10, 20, 30? Maar vast geen 100 of 1000.
Is daar geen filter voor te bedenken?
Diepe stilte.
Behalve dan waar het het aandeel van google betreft en die van haar eigen klanten : Het is niet de schuld van Cloudflare, klanten willen en doen het zelf!
Blijft het design van de faciliteerder volledig buiten beeld en draagt zij geen verantwoordelijkheid?
Een klant kiest uit de mogelijkheden die het aangeboden krijgt.
Stop ik een peuter een geladen revolver in de handjes dan bestaat de kans dat het pistool afgaat, mijn verantwoordelijkheid niet. Het was de peuter die de trekker overhaalde.
Overtrokken voorbeeld natuurlijk maar als we het trekken naar hun eigen statistiek van groeiend spamming gebruik.
Using torhoney we produced the following chart showing the percentage of Tor exit nodes that were listed by Project Honey Pot as a comment spammer over the last year.
Wat zijn we blij met statistiek en grafiekjes, je kan er werkelijk alles mee!
Wanneer ben ik een spammer als ik met Torbrowser security.nl bezoek?
Kennelijk nogal vaak, direct al, een eerste bezoek levert meer dan 50% kans op een blokkade op.
Wat deed ik dan?
url invoeren en een enkele enter.
Wat doe ik vervolgens (en vermoedelijk velen met mij) bij een Captcha blokkade?
Ik vul niets in omdat je moet gaan lopen klooien met diverse javascripts toestaan en met Google testjes regelmatig tot meerdere malen toe.
De eenvoudigste (en principiële sodemieterop) oplossing is dan om direct je Torcircuit te vernieuwen in de hoop dat je dan met een nieuwe exitnode wel de site op mag.
Dat mag vaak niet, nog een keer vernieuwen, nog een keer vernieuwen, nog een keer vernieuwen, tot je er een keer op mag.
Langzaam of snel vernieuwen, grote kans en steeds vaker dat het een tijdje duurt.
Zou het kunnen dat Cloudflare het zelf uitgelokte gedrag als spamming in de statistiek verwerkt?
Dat Cloudflare iedereen die het principieel en praktisch vertikt om mee te doen aan de tijdrovende captcha flauwekul betitelt als spammers?
Heel aannemelijk als je de stelling hanteert dat 94% van de torbrowser gebruikers als spammers worden betiteld.
Iedereen die geen Captcha invult is een spammer, een misbruiker, en erger.. (?)
Als Cloudflare zelf stelt werkt het met "Imperfect solutions"
Zoekt het daarvoor de schuld bij zichzelf?
Zoek het de schuld bij haar eigen producten ?
Welnee, het ligt bij de gebruikers en bij Torproject ook nog.
Torproject helpt volgens Cloudflare niet mee om de (onbeholpen) commerciële diensten van een commercieel bedrijf soepeler te laten verlopen.
Tor project krijgt dan ook als afsluiter van het betoog er technisch van langs, omdat de (encryptie) techniek van Torproject te zwak is kan de oplossingen die Cloudflare voor zich ziet niet werken.
Namelijk, Cloudflare klanten zouden in staat moeten zijn om automatisch een kopie website onder het .Onion domein te kunnen draaien om de Torbrowser gebruikers daar dan kennelijk standaard naar toe te leiden.
Op zich misschien wel helemaal geen gek idee omdat daarbij het positieve aanbod van sites onder het .Onion domein aanmerkelijk zou worden verhoogd, ware het niet dat Cloudflare in dit hele blog zich continue verschuilt achter uiteindelijk niet geloofwaardige excuses en vooral zowel de schuld van het probleem zoekt bij haar eigen klanten, bij Google, bij Torproject en ook de oplossing neerlegt bij anderen.
Dat is een best begrijpelijk perspectief en de manier waarop dat in deze blogvorm gegoten is is best een 'complimentje' waard, aan de CEO en de hele marketingafdeling die daar woord voor woord voor heeft zitten wegen.
Wat men helaas wellicht over het hoofd heeft gezien is dat achter deze(schijn)heiligheid ook iets zwarts onder het tapijt vandaan is gekomen : Cloudflare trackt internetgebruikers op basis van hun browserfingerprint en beschikt dus kennelijk over een historisch profiel om gebruikers te kunnen categoriseren in goed, kwaad en suspect.
Laten we zeggen dat het moeilijk is om data slechts alleen voor je te houden, zeker als je een Amerikaans bedrijf bent, en vraag je af welke drieletter organisaties graag over dergelijke profielen zouden willen beschikken.
Overdrijf ik met een dergelijke suggestie?
Nee, waarschijnlijk niet
Lees het zelf maar
http://arstechnica.com/tech-policy/2016/03/us-says-it-would-use-court-system-again-to-defeat-encryption/
Zeg maar dag met je handjes tegen je data en spaar maar vast voor een nieuwe computer om met een schoon device-fingerprint-profiel te kunnen beginnen.
Mede mogelijk gemaakt door Cloudflare.
Afsluitend, lees vooral het blog zelf.
En vertik het Captcha's in te voeren, vernieuw in plaats daarvan onder Torbutton eenvoudig en direct je Torcircuit en exitnode.
Goed voor de statistiek!
Bloggende TorbrowserGroet
(via 'Cloudflares big oncensored higway love' the Republics of Russia)
_______________________
Lastminuteflare-noot *
Kijk, what do you know, inmiddels ook een artikel op security.nl .
Interessant gekaderde titel "CloudFlare gaat leven Tor-gebruikers eenvoudiger maken".
Securityscanning / login scanning : vergeten te behandelen in bovenstaande tekst, met name security onderzoekers en de diverse overheidsdiensten (terughackdiensten) zelf scannen en zoeken naar kwetsbaarheden.
Niet aangetoond is, niet aan te tonen is hoe dit verkeer zich verhoudt tot de kwade geesten waarbij wel alle 'mis'bruik aan criminelen wordt toegeschreven.
Spamming : wat betreft het geautomatiseerd verkeer mag je je bedenken dat dit verkeer dan nooit het snelste geautomatiseerde verkeer zal betreffen.
De meeste websites een eigen captcha of een account vereisen voor het plaatsen van berichten.
Advertenties geautomatiseerd plaatsen : ??
Scraping : er moeten toch andere effectieve detectiemethoden zijn om te zien of er sprake is van scraping en niet elke onschuldige lezer als zodanig te willen blokkeren en te straffen.
Torbrowser aanpassen aan Cloudflare diensten door de browser automatisch te laten weten wie wij zijn: gebeurt al middels een goed herkenbare useragentstring die Cloudflare kennelijk niet weet te filteren.
Nee dan de oplossing extern zoeken, een speciale oplossing voor elke andere cdn-leverancier, voor Google, in het kader van de Great Firewall, voor elke overheidsdienst met eigen specifieke about:config verzoekjes.
Ga eerst nog maar eens staan voor de eigen verantwoordelijkheid zonder zich achter anderen te verschuilen, iets wat men nog niet doet.
Reacties (15)
Ik vind did een onsamenhangende rant om moeilijk doorheen te komen, welichr voor 3%. Ik ben er dus helaas niet veel wijzer geworden over wat precies je punt is.
Ik ben niet ver gekomen in je tekst.
Je zegt dat China de meeste harvesters heeft volgens honeypot project. Dat kan prima zo zijn, maar dat zegt precies helemaal niets over het Tor verkeer bij Cloudflare. Logica blijkt moeilijk voor sommige mensen. Het komt hierop neer: omdat C=D is niet A=B. In logica terminologie heet dat non-sequitur (=volgt niet).
Overigens ben ik het wel met je eens dat Cloudflare een rotzooi bedrijf is. Niet alleen hosten ze veel kwaadaardige servers, maar hun eigenaardige gewoonte om Tor te blokkeren met onoplosbare captcha's is een opgestoken middelvinger naar iedereen die anoniem een site wenst te bezoeken. Dat in zichzelf is voor mij een voldoende duidelijke constatering. Ik voel niet de behoefte om iets wat Cloudflare zegt te weerleggen.
Je zegt dat China de meeste harvesters heeft volgens honeypot project. Dat kan prima zo zijn, maar dat zegt precies helemaal niets over het Tor verkeer bij Cloudflare. Logica blijkt moeilijk voor sommige mensen. Het komt hierop neer: omdat C=D is niet A=B. In logica terminologie heet dat non-sequitur (=volgt niet).
Overigens ben ik het wel met je eens dat Cloudflare een rotzooi bedrijf is. Niet alleen hosten ze veel kwaadaardige servers, maar hun eigenaardige gewoonte om Tor te blokkeren met onoplosbare captcha's is een opgestoken middelvinger naar iedereen die anoniem een site wenst te bezoeken. Dat in zichzelf is voor mij een voldoende duidelijke constatering. Ik voel niet de behoefte om iets wat Cloudflare zegt te weerleggen.
Via een Tweakers nieuwsbericht (https://tweakers.net/nieuws/109841/Cloudflare-zo-goed-als-al-het-verkeer-naar-klanten-via-tor-is-kwaadaardig.html) * geattendeerd op een zeer zorgvuldig opgesteld blog-marketing-excuus bericht van Cloudflare's CEO; afgeschermd voor alle Torgebruikers met de welbekende gehate Captha.
Gezeik. Je kiest er zelf voor om TOR te gebruiken. En na het invullen van de Captcha kan je gewoon de diensten gebruiken op CF. Wil je geen Captcha invullen, dan gebruik je geen TOR. Eigen keuze, en eigen verantwoordelijkheid.
En vertik het Captcha's in te voeren, vernieuw in plaats daarvan onder Torbutton eenvoudig en direct je Torcircuit en exitnode.
Wat jij vertikt is jouw keuze. Dat wil niet zeggen dat anderen zich daaraan hoeven te storen. Zo kan iemand anders het ook vertikken om jou wel/geen toegang te geven, indien je bijvoorbeeld via TOR een website wil bezoeken. Of je een Captcha voor te schotelen. Of moet iedereen zich aanpassen aan jouw wil en naar jouw pijpen dansen ?
Door je eigen houding, en je eigen wil krijg je captcha's voorgeschoteld. Terwijl je er binnen 5 seconden voor kan zorgen dat je van die captcha's af bent. Moet je geheel zelf weten.
Geen inhoudelijk commentaar omdat uit het bovenstaande blijkt dat niemand hier de echte inhoudelijke discussie en waar die over dient te gaan wenst aan te gaan en die zal dan niet moeten gaan over CloudFlud, het gebruik van het in hun ogen boze Tor en darknet en end2end encryptie en alle laatste restjes privacy bescherming......maar over al die data-hongerige sleepnet krachten die alle online data gekoppeld en transparant wensen te maken. Hoe geven we het Internet terug aan de eind-gebruiker? Hoe maken we wat de commerciële en overheidsdatagraaier wil transparant. Dat zal pas interessant zijn. Wat weet men van ons en waarom wil men dat weten? Dus weer is de basisvraag wie controleert de controleurs en fluit ze terug als ze over de schreef gaan. Dan krijgen we het gemier dat dan ineens niets meer gratis kan zijn, want gratis betekent immers dat we drie keer aan uw persoonlijke data moeten verdienen. Die inhoudelijke discussie wordt steeds verder uitgesteld of omdat die waarschijnlijk niet gewenst is, niet openbaar gevoerd mag worden, niet politiek correct kan worden bevonden en te fundamenteel van aard is. Gisteren even bezig geweest om iemands Facebook account definitief te verwijderen. Zit flink diep weggestopt die pagina met die essentiële functie en dan duurt het nog veertien dagen om alles wat eerder was vergaard veilig te stellen en ben je van je account af. Het zit als kauwgom aan je schoenen en je trapt (het) er steeds verder in. De meeste mensen denken er misschien niet eens over na. Laat je het gebeuren, kom dan later ook niet meer zeuren.
Zit flink diep weggestopt die pagina met die essentiële functie en dan duurt het nog veertien dagen om alles wat eerder was vergaard veilig te stellen en ben je van je account af.
En dan is het account misschien wel weg, maar de data niet.Al jouw data verstrekt aan anderen door Facebook te gebruiken, is eigendom van Facebook forever.
Topic Starter hier : en nu inhoudelijk s.v.p
Graag nodig ik de lezer uit inhoudelijk te reageren op het gestarte forum topic.
Dat vereist wel dat je de moeite neemt om de hele post te lezen en ook de blogpost van Cloudflare zelf.
Dat hoeft natuurlijk allemaal helemaal niet netzomin als het een verplichting is te reageren. Waarom zou je?
Dus
Als het onderwerp je niet interesseert pak dan een ander topic om te lezen of te reageren die vrijheid heb je ook.
Wel reageren terwijl je niet de moeite hebt genomen de hele starttopic te lezen en eventueel ook nog met conclusies of een (geen)stijl mening te komen is nogal nutteloos. (tenzij je wil trollen natuurlijk).
Ik heb het eigen stuk meerdere malen doorgelezen en ben van mening dat daar prima interessante punten uit te destilleren zin voor een interessante discussie.
Kom op nou, laat eens zien dat je wat in huis hebt qua interessante kennis en ideeën en laat merken dat je het aangeboden materiaal ook hebt gelezen.
Dit is een security site, voor interessante security en aanpalende discussies moet je wel wat in huis hebben of halen, daar moet je inderdaad wat moeite voor doen.
Ik heb mijn best gedaan om materiaal met elkaar te vergelijken, neem zelf ook eens wat moeite iets te onderzoeken voordat je de zoveelste mening over de heg slingert.
Hint, ik had voor het onderzoek op project honeypot de statistieken van "all times" gebruikt in plaats van de laatste 30 of 7 dagen.
Zou het uitmaken voor de impliciete/expliciete conclusies die ik trek.
Doe nou eens wat moeite opdat deze site wat interessanter wordt in plaats van dat lezers (en posters) hier vertrekken omdat het 'nivoo' hier onderhand behoorlijk keldert door de vele makkelijke meningen zonder ook maar enige blijk van moeite te hebben gegeven je werkelijk in het onderwerp te hebben verdiept!
Stappenplan :
0) Torbrowser gebruiken en zien hoe dat is
1) Cloudflareblog lezen
2) Mijn reactie lezen
3) De statistieken van http://www.projecthoneypot.org eens analyserend bekijken
4) Met een inhoudelijke reactie komen
Opdat we een (alsnog) interessante ontopic! discussie kunnen hebben.
Succes!
&
'Hoipiepeloi van 'Jan Jans de topic starter' aan ook de security kids.'
(kom op nou, laat eens zien wat je werkelijk in huis hebt, je kan het (vast).
En o,ja blijf niet hangen op de (taal)stijl, het gaat om de inhoud!
Take it or leave it! (please)
Graag nodig ik de lezer uit inhoudelijk te reageren op het gestarte forum topic.
Dat vereist wel dat je de moeite neemt om de hele post te lezen en ook de blogpost van Cloudflare zelf.
Dat hoeft natuurlijk allemaal helemaal niet netzomin als het een verplichting is te reageren. Waarom zou je?
Dus
Als het onderwerp je niet interesseert pak dan een ander topic om te lezen of te reageren die vrijheid heb je ook.
Wel reageren terwijl je niet de moeite hebt genomen de hele starttopic te lezen en eventueel ook nog met conclusies of een (geen)stijl mening te komen is nogal nutteloos. (tenzij je wil trollen natuurlijk).
Ik heb het eigen stuk meerdere malen doorgelezen en ben van mening dat daar prima interessante punten uit te destilleren zin voor een interessante discussie.
Kom op nou, laat eens zien dat je wat in huis hebt qua interessante kennis en ideeën en laat merken dat je het aangeboden materiaal ook hebt gelezen.
Dit is een security site, voor interessante security en aanpalende discussies moet je wel wat in huis hebben of halen, daar moet je inderdaad wat moeite voor doen.
Ik heb mijn best gedaan om materiaal met elkaar te vergelijken, neem zelf ook eens wat moeite iets te onderzoeken voordat je de zoveelste mening over de heg slingert.
Hint, ik had voor het onderzoek op project honeypot de statistieken van "all times" gebruikt in plaats van de laatste 30 of 7 dagen.
Zou het uitmaken voor de impliciete/expliciete conclusies die ik trek.
Doe nou eens wat moeite opdat deze site wat interessanter wordt in plaats van dat lezers (en posters) hier vertrekken omdat het 'nivoo' hier onderhand behoorlijk keldert door de vele makkelijke meningen zonder ook maar enige blijk van moeite te hebben gegeven je werkelijk in het onderwerp te hebben verdiept!
Stappenplan :
0) Torbrowser gebruiken en zien hoe dat is
1) Cloudflareblog lezen
2) Mijn reactie lezen
3) De statistieken van http://www.projecthoneypot.org eens analyserend bekijken
4) Met een inhoudelijke reactie komen
Opdat we een (alsnog) interessante ontopic! discussie kunnen hebben.
Succes!
&
'Hoipiepeloi van 'Jan Jans de topic starter' aan ook de security kids.'
(kom op nou, laat eens zien wat je werkelijk in huis hebt, je kan het (vast).
En o,ja blijf niet hangen op de (taal)stijl, het gaat om de inhoud!
Take it or leave it! (please)
Maar dat geldt voor bijna het gehele Internet, niet alleen facebook, Whatsapp, google, markmonitor, en nog een hele lange ris services. De diensten die het niet doen zijn alleen maar iets eerlijker of verkrijgen hun inkomsten op een andere manier.
Het Internet staat erom bekend dat het niets vergeet, net als de olifant die na 25 jaar je nog een klap uitdeelt met de slurf voor het pesten wat hij je als klein ventje niet kon vergelden.
Het Internet staat erom bekend dat het niets vergeet, net als de olifant die na 25 jaar je nog een klap uitdeelt met de slurf voor het pesten wat hij je als klein ventje niet kon vergelden.
Je spoort dus aan om vooral GEEN chaptas in te vullen, maar het opnieuw te proberen totdat het lukt.
is dat geen kwaadaardig, nutteloos, "dos" verkeer?
Als jij gewoon je chaptaatje invult kan je gelijk makkelijk de site inzien, en kan Cloudflare inzien dat jij niet kwaadaardig bent.
How simple is that?
Ja, ik heb de moeite genomen je held post aandachtig te lezen. Met je punt ben ik het redelijk eens, maar je argumenten vind ik onsamenhanged en/of ongegrond.
internet verbeteren? Begin bij jezelf, ipv iedereen aansporen vooral misbruik te maken van de facaliteiten.
is dat geen kwaadaardig, nutteloos, "dos" verkeer?
Als jij gewoon je chaptaatje invult kan je gelijk makkelijk de site inzien, en kan Cloudflare inzien dat jij niet kwaadaardig bent.
How simple is that?
Ja, ik heb de moeite genomen je held post aandachtig te lezen. Met je punt ben ik het redelijk eens, maar je argumenten vind ik onsamenhanged en/of ongegrond.
internet verbeteren? Begin bij jezelf, ipv iedereen aansporen vooral misbruik te maken van de facaliteiten.
Tja meningen
Meningen onderbouwen is zooo '2000' ?
Lekker veilig, iets vinden en afserveren door maar wat te roepen en zonder je ergens ook maar in te verdiepen.
Het is ruim duidelijk dat je niet in staat bent (geweest) om interessante (security/privacy) punten uit een tekst te filteren en dat je vooral een vaststaande mening kwijtwil.
Nog meer mening
Er is heel vaak helemaal geen sprake van gewoon capchaatjes invullen omdat het vaak niet of slecht werkt!
Iets dat je had kunnen weten als je in plaats van te blijven hangen op een sterke mening je je gewoon had verdiept in de materie.
Zwartmaakmeningen
Verkeerde niet of slecht werkende systemen moet je niet supporten door er aan mee te werken.
Vanuit die gedachte zou je zelfs kunne stellen dat aan dit systeem meewerken een vorm van misbruik is, het support immers een systeem dat tegen het belang van gebruikers van het vrij bedoelde internet in gaat.
Een commercieel bedrijf als Cloudflare blokkeert vrij gebruik van het internet door selectief met slecht werkende filters een grote groep gebruikers steeds meer van het internet te weren.
Terwijl er voor dat weren eigenlijk helemaal geen reden voor is als je werkelijk kijkt naar de cijfers of simpel lijkt te zijn op te lossen (maar je wil het maar niet begrijpen, heb je de tekst hierboven werkelijk gelezen??).
Laat ik je wat helpen
Wat huiswerklinkjes met wat leesvoer, omdat het weekeinde is,
en jij kennelijk nogal wat informatie mist voor je (snelle) 'mening'.
- Plaatjes kijken om 'erin' te komen (tenzij de parameters niet kloppen):
https://twitter.com/hashtag/dontblocktor?src=hash
- Inhoudelijk vanaf de bron:
https://blog.torproject.org/blog/trouble-cloudflare
PDF - https://people.torproject.org/~lunar/20160331-CloudFlare_Fact_Sheet.pdf
- Samenvatting problematiek maar zonder het originele Torblog:
https://www.security.nl/posting/466510/Tor%3A+kwaadaardig+verkeer+van+paar+gebruikers+afkomstig
Aan de slag
(of mondje dicht en computertje uit, met je 'mening' in bold en caps lock)
Topic starter
Meningen onderbouwen is zooo '2000' ?
Vandaag, 10:00 door Anoniem
Ja, ik heb de moeite genomen je held post aandachtig te lezen. Met je punt ben ik het redelijk eens, maar je argumenten vind ik onsamenhanged en/of ongegrond.
Tja, iedereen vindt van alles op het internet, het wordt pas interessant als je het (op zijn minst) de moeite neemt om te proberen iets geloofwaardig te onderbouwen, ruim afwezig.Ja, ik heb de moeite genomen je held post aandachtig te lezen. Met je punt ben ik het redelijk eens, maar je argumenten vind ik onsamenhanged en/of ongegrond.
Lekker veilig, iets vinden en afserveren door maar wat te roepen en zonder je ergens ook maar in te verdiepen.
Het is ruim duidelijk dat je niet in staat bent (geweest) om interessante (security/privacy) punten uit een tekst te filteren en dat je vooral een vaststaande mening kwijtwil.
Nog meer mening
Vandaag, 10:00 door Anoniem
Als jij gewoon je chaptaatje invult kan je gelijk makkelijk de site inzien, en kan Cloudflare inzien dat jij niet kwaadaardig bent.
How simple is that?
Niet dus.Als jij gewoon je chaptaatje invult kan je gelijk makkelijk de site inzien, en kan Cloudflare inzien dat jij niet kwaadaardig bent.
How simple is that?
Er is heel vaak helemaal geen sprake van gewoon capchaatjes invullen omdat het vaak niet of slecht werkt!
Iets dat je had kunnen weten als je in plaats van te blijven hangen op een sterke mening je je gewoon had verdiept in de materie.
Zwartmaakmeningen
Vandaag, 10:00 door Anoniem
internet verbeteren? Begin bij jezelf, ipv iedereen aansporen vooral misbruik te maken van de facaliteiten.
Het is dus net andersom, door er aan mee te werken hou je een kreupel systeem in stand, dat erkent Cloudflare zelf en dat wordt ruim bevestigd door de vele gebruikers.internet verbeteren? Begin bij jezelf, ipv iedereen aansporen vooral misbruik te maken van de facaliteiten.
Verkeerde niet of slecht werkende systemen moet je niet supporten door er aan mee te werken.
Vanuit die gedachte zou je zelfs kunne stellen dat aan dit systeem meewerken een vorm van misbruik is, het support immers een systeem dat tegen het belang van gebruikers van het vrij bedoelde internet in gaat.
Een commercieel bedrijf als Cloudflare blokkeert vrij gebruik van het internet door selectief met slecht werkende filters een grote groep gebruikers steeds meer van het internet te weren.
Terwijl er voor dat weren eigenlijk helemaal geen reden voor is als je werkelijk kijkt naar de cijfers of simpel lijkt te zijn op te lossen (maar je wil het maar niet begrijpen, heb je de tekst hierboven werkelijk gelezen??).
Laat ik je wat helpen
Wat huiswerklinkjes met wat leesvoer, omdat het weekeinde is,
en jij kennelijk nogal wat informatie mist voor je (snelle) 'mening'.
- Plaatjes kijken om 'erin' te komen (tenzij de parameters niet kloppen):
https://twitter.com/hashtag/dontblocktor?src=hash
- Inhoudelijk vanaf de bron:
https://blog.torproject.org/blog/trouble-cloudflare
PDF - https://people.torproject.org/~lunar/20160331-CloudFlare_Fact_Sheet.pdf
- Samenvatting problematiek maar zonder het originele Torblog:
https://www.security.nl/posting/466510/Tor%3A+kwaadaardig+verkeer+van+paar+gebruikers+afkomstig
Aan de slag
(of mondje dicht en computertje uit, met je 'mening' in bold en caps lock)
Topic starter
Makkelijk gezegd door degenen die zich niet in de materie wensen te verdiepen en maar aannemen dat alles wat Big Cloud doet nu eenmaal zo is en als het je niet bevalt, nou jammer dan. Makkelijk snel door de bocht reageren. Aanpassingsvermogen moet je hebben. Stel je wat er gebeurt ter discussie wordt je dus weggezet als `ranter´, ben je niet te volgen of is het betoog te technisch en dus niet te volgen. Je wordt afgeserveerd door de gevormde algemene mening.
Ik heb soms sterk de indruk dat men het liever niet wil weten, want dan moet men echt over de eigen positie gaan nadenken en voor velen is dat net iets te veel gevraagd. Voor die nog niet te overtuigen valt, doe eens een bug rapportje vanuit Google Chrome en zie wat je allemaal aan data verstuurt. Zie: http://dev.chromium.org/for-testers/providing-network-details
Ik ben dus echt wel blij met dit topic en wat de initiële poster te melden heeft. Kijk eens wat je provider steeds te weten komt via dit script adres van provider-scripts/bundles/validatie/addresscheckXXXXXX.js
Ze houden dus constant je naam en adresgegevens bij over je hele bundel en voor al je apparaten bij en delen dat met ??????? ja met wie eigenlijk? En ook met bronnen met twijfelachtige web reputatie als -https://nexus.ensighten.com/
met script dat een goede script blokker blokkeert natuurlijk.
Maar nu hebben we nog enige vrije keuze, al is die al van te voren voor je vastgelegd. Steeds meer zien we dat op de Franse wijze de insteek wordt gemaakt: `U bent schuldig tenzij u kan aantonen niet schuldig te zijn´ en niet u bent onschuldig tot uw schuld onweerlegbaar bewezen is. Dus maar verder captcha´s invullen, want op tor bent u schuldig tot het tegendeel bewezen is en als het niet te bewijzen valt. Dat is dus volgens de poster van deze draad niet waar, we kunnen altijd een onderscheid maken tussen privacy beschermend en kwaadwillig gebruik.
Dat privacy beschermend gebruik kan nu nog niet wenselijk zijn, omdat uw logs nog niet tegen u worden gebruikt.
Wat bijvoorbeeld als u een seculier Atatürk aanhanger bent in een steeds fundamentelere Ottomaanse omgeving en u wilt niet terug naar de spelling van voor 1920, hetgeen uw regering u opdraagt te doen. Bent u dan blij met het moeten invullen van ontelbare captcha´s voor CloudFlare en Google als u surft met uw tor-browser? Want Facebook is al weer tijdelijk geblokkeerd enz. enz.
De discussie is dus terdege nodig voor het geval in de toekomst dat we deze vrije keuzes misschien ook niet meer zullen bezitten. Dan is de kennis om uzelf te kunnen beschermen broodnodig.
Ik heb soms sterk de indruk dat men het liever niet wil weten, want dan moet men echt over de eigen positie gaan nadenken en voor velen is dat net iets te veel gevraagd. Voor die nog niet te overtuigen valt, doe eens een bug rapportje vanuit Google Chrome en zie wat je allemaal aan data verstuurt. Zie: http://dev.chromium.org/for-testers/providing-network-details
Ik ben dus echt wel blij met dit topic en wat de initiële poster te melden heeft. Kijk eens wat je provider steeds te weten komt via dit script adres van provider-scripts/bundles/validatie/addresscheckXXXXXX.js
Ze houden dus constant je naam en adresgegevens bij over je hele bundel en voor al je apparaten bij en delen dat met ??????? ja met wie eigenlijk? En ook met bronnen met twijfelachtige web reputatie als -https://nexus.ensighten.com/
met script dat een goede script blokker blokkeert natuurlijk.
Maar nu hebben we nog enige vrije keuze, al is die al van te voren voor je vastgelegd. Steeds meer zien we dat op de Franse wijze de insteek wordt gemaakt: `U bent schuldig tenzij u kan aantonen niet schuldig te zijn´ en niet u bent onschuldig tot uw schuld onweerlegbaar bewezen is. Dus maar verder captcha´s invullen, want op tor bent u schuldig tot het tegendeel bewezen is en als het niet te bewijzen valt. Dat is dus volgens de poster van deze draad niet waar, we kunnen altijd een onderscheid maken tussen privacy beschermend en kwaadwillig gebruik.
Dat privacy beschermend gebruik kan nu nog niet wenselijk zijn, omdat uw logs nog niet tegen u worden gebruikt.
Wat bijvoorbeeld als u een seculier Atatürk aanhanger bent in een steeds fundamentelere Ottomaanse omgeving en u wilt niet terug naar de spelling van voor 1920, hetgeen uw regering u opdraagt te doen. Bent u dan blij met het moeten invullen van ontelbare captcha´s voor CloudFlare en Google als u surft met uw tor-browser? Want Facebook is al weer tijdelijk geblokkeerd enz. enz.
De discussie is dus terdege nodig voor het geval in de toekomst dat we deze vrije keuzes misschien ook niet meer zullen bezitten. Dan is de kennis om uzelf te kunnen beschermen broodnodig.
CloudFlare biedt verschillende beveiligingsniveau´s waarbij hun goedkopere aanbiedingen geen volledige encryptie garanderen. Die zijn halfbakken en bieden a priori geen al te optimale beveiliging.U moet dan ook niet zeuren als uw data eens een keer op straat komen te liggen. Een reden te meer dat sommige eindgebruikers geanonimiseerd het net op willen (zonder kwade bedoelingen overigens, juist om zulke beveiligingsreden). Dit net zo goed als mensen adblockers gebruiken om zich te beschermen tegen kwaadaardige adware en BHO´s en niet om de advertentie-industrie te frusteren. Andersom mag de commercie u wel dwarszitten en CloudFlare (en Google' overigens) doen met hun captcha´s lekker daaran mee. Aan deze eindgebruikers rechten gaat meer en meer getornd worden en het is nu al niet meer gezellig voor degenen die de situatie kunnen vergelijken met voor 2001.
Hadden we een veilig Internet dan was een groot deel van deze discussie onnodig. Wilt u veiliger oplossingen van CloudFlare en niet hun halfbakken oplossingen, dan kan dat, maar komt u wel 20 keer duurder uit bij datzelfde CloudFlare. Dan moet het beveiligingssysteem ineens een tandje hoger gezet zijn en heeft CloudFlare zowel Hamas als de IDF als klant. Draait u naast de halfbakken oplossingen van CloudfFare een eigen certificaatje, dan bent u alweer kwetsbaar voor BEAST, soms nog POODLE, DROWN en noem maar op. HTTPS Everywhere Atlas zit ook vol met kwetsbare voorbeelden. Lekker gaan we, dat wel!
Waarom zouden we ´zo wie zo´ bij CloudFlare via tor willen browsen? Omdat we diensten als Google en CloudFlare niet ten volle kunnen vertrouwen en ze naar hun eindgebruikers toe niet transparant mogen zijn (spreekverbod van overheid). Nu en omdat alles bij hen in klare tekst over de draad gaat, kan CloudFlare alle verkeer fijn bespioneren. Ze hebben dus een volledige surveillancestructuur in huis en wie weet werken ze al lange tijd hand in voet met Big Brother. Het tegendeel is ook nog nooit vastgesteld.
Hier is nog niet gereageerd op zo´n stelling. Hebben we nog enig recht om onder bepaalde omstandigheden geanonimiseerd te communiceren via Internet of is dit (al) niet meer mogelijk en moet een ieder zich maar bij dat blote feit neerleggen?. Niets helpt meer, geen VPN, geen ketting proxies, geen client spoofing en tor en darknet moeten daarom ook maar verdwijnen.
Hadden we een veilig Internet dan was een groot deel van deze discussie onnodig. Wilt u veiliger oplossingen van CloudFlare en niet hun halfbakken oplossingen, dan kan dat, maar komt u wel 20 keer duurder uit bij datzelfde CloudFlare. Dan moet het beveiligingssysteem ineens een tandje hoger gezet zijn en heeft CloudFlare zowel Hamas als de IDF als klant. Draait u naast de halfbakken oplossingen van CloudfFare een eigen certificaatje, dan bent u alweer kwetsbaar voor BEAST, soms nog POODLE, DROWN en noem maar op. HTTPS Everywhere Atlas zit ook vol met kwetsbare voorbeelden. Lekker gaan we, dat wel!
Waarom zouden we ´zo wie zo´ bij CloudFlare via tor willen browsen? Omdat we diensten als Google en CloudFlare niet ten volle kunnen vertrouwen en ze naar hun eindgebruikers toe niet transparant mogen zijn (spreekverbod van overheid). Nu en omdat alles bij hen in klare tekst over de draad gaat, kan CloudFlare alle verkeer fijn bespioneren. Ze hebben dus een volledige surveillancestructuur in huis en wie weet werken ze al lange tijd hand in voet met Big Brother. Het tegendeel is ook nog nooit vastgesteld.
Hier is nog niet gereageerd op zo´n stelling. Hebben we nog enig recht om onder bepaalde omstandigheden geanonimiseerd te communiceren via Internet of is dit (al) niet meer mogelijk en moet een ieder zich maar bij dat blote feit neerleggen?. Niets helpt meer, geen VPN, geen ketting proxies, geen client spoofing en tor en darknet moeten daarom ook maar verdwijnen.
Misleidend
Een bewering als dat 94% van het verkeer vanaf het Tor netwerk afkomstig kwaadaardig zou zijn is misleidend.
Waarom?
Omdat er in de discussie over het blokkeren van Torbrowser gebruikers de Torbrowser gebruikers niet vergeleken, of in ieder geval niet vereenzelvigd dienen te worden met alle Torverkeer!
Als eerder in het stuk aangehaald kan je dat simpel zien.
Namelijk aan de useragent(string).
Ik krijg daarbij inmiddels bij deze discussie die maar niet Ontopic van de grond wil komen dat menig reagerende lezer hier niet eens weet wat een useragent(string) is.
Wikipedia Useragent
https://nl.wikipedia.org/wiki/Useragent
Cloudflare haalt in haar blog aan dat het haar bewijsvoering haalt van de volgende site
"Project Honey Pot", om haar stelling van misbruik te bewijzen.
De trieste grap is nou juist dat de daar te vinden cijfers het tegenovergestelde bewijzen.
Als we kijken naar 'de zware misdaad' van het harvesten van website data
("Web scraping (web harvesting or web data extraction) is a computer software technique of extracting information from websites." https://en.wikipedia.org/wiki/Web_scraping )
en we kijken naar de useragents waarmee dat gebeurt dan is daar wat aparts mee aan de hand.
Kijk maar mee in de lijst van de afgelopen 30 dagen (eerder genoemde data waren van All time maar het maakt het in dit geval nog schrijnender!)
https://www.projecthoneypot.org/harvester_useragents.php?dt=30
Hoe vaak komt de originele useragentstring van Torbrowser daar voor?
1 keer een Torbrowser useragent gevonden in de laatste 30 dagen (op plaats 87!) verantwoordelijk voor 0,7 % voor dat zogenaamde abuse web scraping harvesting verkeer!
Dat is dus geen 94% fout verkeer maar 0,7 % !
99,3% van de harvesters maken zich kenbaar via een andere useragent
maar Cloudflare is niet in staat daar op te filteren?
Evengoed suggereren zij (bewust) dat dit allemaal onschuldige lezende browsende Torbrowser gebruikers betreft en blokkeren zij met haar 'diensten' deze gebruikers terwijl daar eigenlijk, aangaande dit punt geen reden toe is.
Je kan vervolgens eventueel gaan lopen afdingen op dat er meer soorten misbruik mogelijk zijn, dat klopt, maar als dit als voorbeeld wordt aangedragen in de misbruik discussie en bij controle blijkt het gewoon niet te kloppen.
Wat mogen we dan verwachten van de andere misbruik argumenten, Cloudflare verspeelt op deze manier publiek haar geloofwaardigheid in een discussie die je zuiver zou moeten voeren in plaats van bewust rookgordijnen op te werpen door zaken anders voor te stellen en dingen op 1 hoop te gooien die je juist uitelkaar zou moeten houden.
Dat is (onder andere) het punt dat ik in de startpost aanhangig maakte maar wat de reageerders hier maar niet willen oppikken.
Nogmaals groet van
Topic starter
Een bewering als dat 94% van het verkeer vanaf het Tor netwerk afkomstig kwaadaardig zou zijn is misleidend.
Waarom?
Omdat er in de discussie over het blokkeren van Torbrowser gebruikers de Torbrowser gebruikers niet vergeleken, of in ieder geval niet vereenzelvigd dienen te worden met alle Torverkeer!
Als eerder in het stuk aangehaald kan je dat simpel zien.
Namelijk aan de useragent(string).
Ik krijg daarbij inmiddels bij deze discussie die maar niet Ontopic van de grond wil komen dat menig reagerende lezer hier niet eens weet wat een useragent(string) is.
Wikipedia Useragent
https://nl.wikipedia.org/wiki/Useragent
Cloudflare haalt in haar blog aan dat het haar bewijsvoering haalt van de volgende site
"Project Honey Pot", om haar stelling van misbruik te bewijzen.
De trieste grap is nou juist dat de daar te vinden cijfers het tegenovergestelde bewijzen.
Als we kijken naar 'de zware misdaad' van het harvesten van website data
("Web scraping (web harvesting or web data extraction) is a computer software technique of extracting information from websites." https://en.wikipedia.org/wiki/Web_scraping )
en we kijken naar de useragents waarmee dat gebeurt dan is daar wat aparts mee aan de hand.
Kijk maar mee in de lijst van de afgelopen 30 dagen (eerder genoemde data waren van All time maar het maakt het in dit geval nog schrijnender!)
https://www.projecthoneypot.org/harvester_useragents.php?dt=30
Hoe vaak komt de originele useragentstring van Torbrowser daar voor?
Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0
1 keer een Torbrowser useragent gevonden in de laatste 30 dagen (op plaats 87!) verantwoordelijk voor 0,7 % voor dat zogenaamde abuse web scraping harvesting verkeer!
Dat is dus geen 94% fout verkeer maar 0,7 % !
99,3% van de harvesters maken zich kenbaar via een andere useragent
maar Cloudflare is niet in staat daar op te filteren?
Evengoed suggereren zij (bewust) dat dit allemaal onschuldige lezende browsende Torbrowser gebruikers betreft en blokkeren zij met haar 'diensten' deze gebruikers terwijl daar eigenlijk, aangaande dit punt geen reden toe is.
Je kan vervolgens eventueel gaan lopen afdingen op dat er meer soorten misbruik mogelijk zijn, dat klopt, maar als dit als voorbeeld wordt aangedragen in de misbruik discussie en bij controle blijkt het gewoon niet te kloppen.
Wat mogen we dan verwachten van de andere misbruik argumenten, Cloudflare verspeelt op deze manier publiek haar geloofwaardigheid in een discussie die je zuiver zou moeten voeren in plaats van bewust rookgordijnen op te werpen door zaken anders voor te stellen en dingen op 1 hoop te gooien die je juist uitelkaar zou moeten houden.
Dat is (onder andere) het punt dat ik in de startpost aanhangig maakte maar wat de reageerders hier maar niet willen oppikken.
Nogmaals groet van
Topic starter
03-04-2016, 22:07 door
sloepie
Het is trouwens niet alleen Tor verkeer dat door Cloudflare met captcha's wordt geblokkeerd, maar ook veel VPN verkeer.
Ik voor mij ben er dan ook stellig van overtuigd dat (in het gunstigste geval) de combinatie Google/Cloudflare er alles aan doet om anoniem verkeer, ook als dat volkomen legaal en legitiem is, zo veel als mogelijk is, te frustreren. Data is immers Big Business.
En in het ongunstigste geval gebeurt e.e.a. ook nog eens mede op initiatief van Big Brother. Google blij met alle data en Big Brother blij omdat op deze manier niet alleen het toenemend gebruik van encryptie tegen wordt gegaan, maar ook nog eens vrijwel al het internet verkeer geheel gepersonifieerd in de schoot geworpen krijgt.
Ik heb, zolang ik daar niemand schade mee berokken, echter volstrekt het recht mij anoniem op Internet te begeven en ageer dan ook tegen commerciële bedrijven zoals de Google/Cloudflare combinatie die onder het mom van "bewijst u eerst maar eens dat u geen criminele intenties heeft" in de praktijk toegang tot een heel scala aan websites belemmeren door nooit slechts 1 keer, maar altijd vele malen meer, allerlei moeilijke tot onmogelijk puzzeltjes op te willen laten lossen.
Wat in feite het op een normale manier surfen volstrekt onmogelijk maakt. Wat ook precies de bedoeling is van Google/Cloudflare. Dit in de hoop en de verwachting dat veel mensen hun anonimiteit daarom maar op zullen geven.
Dat daarmee voor de klanten van Cloudflare in een aantal gevallen ook nog eens minder gewenste activiteiten worden voorkomen is niet alleen mooi meegenomen, maar legitimeert voor de buitenwereld bovendien ook nog eens het gebruik van deze techniek.
Maar daarom laat ik me nog steeds niet door de anonieme trollen hier, zonder ook maar het geringste bewijs, als crimineel wegzetten onder het mom van, als je niets te verbergen hebt is er ook geen reden is anoniem te willen zijn.
En het opvallende van deze trollen is dat zij, in hun poging een negatief imago te creëren over mensen die graag van hun anonimiteit gebruik maken door ze te criminaliseren, daarbij zelf wel graag anoniem blijven. Waarom eigenlijk?
Hun eigen redenatie volgende, hebben ze zelf blijkbaar wel wat te verbergen. Misschien omdat dat ze op een of andere manier zelf belang hebben bij het criminaliseren van anoniem internet gebruik?
"Gepost met gebruikmaking van een VPN"
Ik voor mij ben er dan ook stellig van overtuigd dat (in het gunstigste geval) de combinatie Google/Cloudflare er alles aan doet om anoniem verkeer, ook als dat volkomen legaal en legitiem is, zo veel als mogelijk is, te frustreren. Data is immers Big Business.
En in het ongunstigste geval gebeurt e.e.a. ook nog eens mede op initiatief van Big Brother. Google blij met alle data en Big Brother blij omdat op deze manier niet alleen het toenemend gebruik van encryptie tegen wordt gegaan, maar ook nog eens vrijwel al het internet verkeer geheel gepersonifieerd in de schoot geworpen krijgt.
Ik heb, zolang ik daar niemand schade mee berokken, echter volstrekt het recht mij anoniem op Internet te begeven en ageer dan ook tegen commerciële bedrijven zoals de Google/Cloudflare combinatie die onder het mom van "bewijst u eerst maar eens dat u geen criminele intenties heeft" in de praktijk toegang tot een heel scala aan websites belemmeren door nooit slechts 1 keer, maar altijd vele malen meer, allerlei moeilijke tot onmogelijk puzzeltjes op te willen laten lossen.
Wat in feite het op een normale manier surfen volstrekt onmogelijk maakt. Wat ook precies de bedoeling is van Google/Cloudflare. Dit in de hoop en de verwachting dat veel mensen hun anonimiteit daarom maar op zullen geven.
Dat daarmee voor de klanten van Cloudflare in een aantal gevallen ook nog eens minder gewenste activiteiten worden voorkomen is niet alleen mooi meegenomen, maar legitimeert voor de buitenwereld bovendien ook nog eens het gebruik van deze techniek.
Maar daarom laat ik me nog steeds niet door de anonieme trollen hier, zonder ook maar het geringste bewijs, als crimineel wegzetten onder het mom van, als je niets te verbergen hebt is er ook geen reden is anoniem te willen zijn.
En het opvallende van deze trollen is dat zij, in hun poging een negatief imago te creëren over mensen die graag van hun anonimiteit gebruik maken door ze te criminaliseren, daarbij zelf wel graag anoniem blijven. Waarom eigenlijk?
Hun eigen redenatie volgende, hebben ze zelf blijkbaar wel wat te verbergen. Misschien omdat dat ze op een of andere manier zelf belang hebben bij het criminaliseren van anoniem internet gebruik?
"Gepost met gebruikmaking van een VPN"
Fijn dat Cloud´flut´ pas een nieuw datacentrum in ons geliefd Amsterdam heeft geopend, een belangrijk Europees Internetknooppunt Ze roepen u al op om u in te schrijven.
Laten we het crypto rapport voor het CloudFlare certificaat eens bekijken. We testen met een koude reconnaissance scan via een derde partij. Symantec SSL crypto en de securityheaders.io. online URL scanners.
We zien dan dat het certificaat niet juist is geïnstalleerd.
RSA wrong certificate installed.
The domain name does not match the certificate common name or SAN.
ECC wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Chain installation:
2 certificates found: RSA and ECC.
To view each certificate chain, click a tab below. Dat is handig.
Comodo doet de validatie en keurt de eigen worst: COMODO EV Multi-Domain
SSL/TLS compression:
Not Enabled BEAST
The BEAST attack is not mitigated on this server. Ontbrekende beveiliging: Public-Key-Pins HTTP Public Key Pinning protects your site from MiTM attacks using rogue X.509 certificates. By whitelisting only the identities that the browser should trust, your users are protected in the event a certificate authority is compromised. Certificate is not in Google's EV whitelist.
Nu moeten we alleen maar kijken of er ook onveilige ID tracking plaats vindt op websites die Cloudflare gebruiken.
Website die van Cloudflare diensten gebruik maken, moeten als nadeel ook nog eens met twee cache systemen gaan werken.
Dan hebben we ook nog excessieve server header proliferatie, die goed op stil worden geconfigureerd, maar het kan ook een niet actueel adverteren van de server versie zijn. Evenwel dit is geen ´best practices´. Ze weten dus niet hoe het hoort.
Resultaat Cookie Waarschuwing:
It looks like a cookie is being served over HTTPS without the "secure" flag being set (name : value):
__cfduid : d34c9xxxxxxxxxxeb93398af47dxxxxxxxx7166xx
Unless the cookie needs to be sent over an insecure connection, the "secure" flag should always be set to ensure it can only be sent with an HTTPS request. Er gaat iets onveilig over de draad!
Grootste bezwaar: Wat gebeurd er met de IP-data van de bezoekers van je website? Daar heb je geen inzicht in, en net als bij zoveel andere clouddiensten moet je er simpelweg maar op vertrouwen dat jouw data straks niet op straat liggen.
Ik vertrouw daarom alleen maar wat ik zelf heb getest.
Laten we het crypto rapport voor het CloudFlare certificaat eens bekijken. We testen met een koude reconnaissance scan via een derde partij. Symantec SSL crypto en de securityheaders.io. online URL scanners.
We zien dan dat het certificaat niet juist is geïnstalleerd.
RSA wrong certificate installed.
The domain name does not match the certificate common name or SAN.
ECC wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Chain installation:
2 certificates found: RSA and ECC.
To view each certificate chain, click a tab below. Dat is handig.
Comodo doet de validatie en keurt de eigen worst: COMODO EV Multi-Domain
SSL/TLS compression:
Not Enabled BEAST
The BEAST attack is not mitigated on this server.
Nu moeten we alleen maar kijken of er ook onveilige ID tracking plaats vindt op websites die Cloudflare gebruiken.
Website die van Cloudflare diensten gebruik maken, moeten als nadeel ook nog eens met twee cache systemen gaan werken.
Dan hebben we ook nog excessieve server header proliferatie, die goed op stil worden geconfigureerd, maar het kan ook een niet actueel adverteren van de server versie zijn. Evenwel dit is geen ´best practices´. Ze weten dus niet hoe het hoort.
Resultaat Cookie Waarschuwing:
It looks like a cookie is being served over HTTPS without the "secure" flag being set (name : value):
__cfduid : d34c9xxxxxxxxxxeb93398af47dxxxxxxxx7166xx
Unless the cookie needs to be sent over an insecure connection, the "secure" flag should always be set to ensure it can only be sent with an HTTPS request. Er gaat iets onveilig over de draad!
Grootste bezwaar: Wat gebeurd er met de IP-data van de bezoekers van je website? Daar heb je geen inzicht in, en net als bij zoveel andere clouddiensten moet je er simpelweg maar op vertrouwen dat jouw data straks niet op straat liggen.
Ik vertrouw daarom alleen maar wat ik zelf heb getest.
Wat men helaas wellicht over het hoofd heeft gezien is dat achter deze(schijn)heiligheid ook iets zwarts onder het tapijt vandaan is gekomen : Cloudflare trackt internetgebruikers op basis van hun browserfingerprint en beschikt dus kennelijk over een historisch profiel om gebruikers te kunnen categoriseren in goed, kwaad en suspect.
Laten we zeggen dat het moeilijk is om data slechts alleen voor je te houden, zeker als je een Amerikaans bedrijf bent, en vraag je af welke drieletter organisaties graag over dergelijke profielen zouden willen beschikken.
Laten we zeggen dat het moeilijk is om data slechts alleen voor je te houden, zeker als je een Amerikaans bedrijf bent, en vraag je af welke drieletter organisaties graag over dergelijke profielen zouden willen beschikken.
Daar hebben we in NL de Autoriteit Persoonsgegevens voor toch? Die kan kijken of dit binnen de NL wet blijft. Maak eens een melding als je ervan overtuigt bent.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
