なぜCloudFlareはTorの死を決して満たすことができないのですか?

約1週間前、Torプロジェクトのセキュリティ研究者であり、開発者であるJacob Appelbaum氏は、Networkの大手およびセキュリティベンダーであるCloudFlareによって保護されているサイトでTorユーザーの扱いについて不満を訴えていた。

“[CloudFlare]は開いているダイアログで一緒に働くようには見えず、特定のウェブサイトを閲覧することをほぼ不可能にしたり、Googleなどの大規模な監視会社と共謀したり、CAPTCHAがひどいので、ソーシャルメディアに魅力的ではなく、率直に言えば、ウェブ上の何百万ものブラウザで信頼できないコードを実行して疑わしいセキュリティ上の利益を得ている」とAppelbaum氏は語る。

CloudFlareの最高経営責任者(CEO)は、「少なくとも米国政府とは、それに続くルールを知っている」と述べた。

CloudFlareは同情的だと思われますが、Appelbaumや他のユーザーに良いユーザーエクスペリエンスを提供するためには外出することにはほとんどメリットがありません。

そしてそれはCloudFlareだけではない

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

ここでの基本的な問題は、Torがトラフィックを匿名化することです。安全性が非常に高いのと同様に、評判分析はCloudFlareが顧客に提供する保護の重要な部分です。 Torは、Tor出口ノードのポイントを超えて評判分析を不可能にします。結果として、CloudFlareはTorノードとの繰り返しのやり取りさえも、単純なGET要求でさえも、疑わしくておそらくボットとして扱わなければならない。 CAPTCHAの課題を使用してトラフィックを処理します。明らかに繰り返されるCAPTCHAの課題は、より少ないユーザーエクスペリエンスを実現します。

CloudFlareのCTO John Graham-CummingとMarek Majkowski(システムエンジニア)は、チケットのスレッドでこれらの問題について議論しています。しかし、Torユーザーは、CloudFlareとその顧客のニーズを少しでも心配する必要はありません。

Graham-Cummingは、Tor出口ノードから悪意のあるトラフィックが発生する可能性があると主張して、苦情を却下しました。場合によってはCloudFlareの顧客が正当なクライアントを持たない地域に配置されている場合、CloudFlareの顧客がノード全体をブロックすることが合理的です。

最近のアカマイの「インターネットの状態」レポートには、Torの全セクションが含まれています。彼らは約3,000人のアカマイの顧客に着信するトラフィックを調べました。 Torトラフィックのはるかに高い部分を構成する悪意のあるトラフィック(380件の要求のうち約1件)が、Tor以外のトラフィックよりも重要であることを示すレポートの重要なデータは、11,500分の1になります。確かにTor以外のトラフィックはTorトラフィックを矮小化していたため、攻撃要求の1.26%はTor出口ノードからのものでしたが、これはトラフィックのわずか0.04%がTorからのものであることを考えると高い割合です。一方、驚いたことに、商用サイトへのリクエストのコンバージョン率はそれほど異なるわけではありませんでした(Torでは1:895、Tor以外では1:834)ので、Torの顧客は価値があります。

結局のところ、Akamaiは顧客にあることを言いませんが、洗練された最新のWebアプリケーションセキュリティを持つ顧客にとっては、Torトラフィックを通過させてそれを徹底的に調べることが理にかなっています彼らはTor以外のトラフィックと同様です。

他のサイトでは、Torトラフィックを受け入れるリスクが潜在的な利益を上回る可能性があります。このアカマイのデータは、今日リリースされた第4四半期の報告書を含む後続のレポートでは更新されていません。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

これは基本的にCloudFlareの哲学でもありますが、そのデフォルト設定はアカマイよりも制限的かもしれません。 Torユーザーに対するこれらの障害の多くは、CloudFlareの顧客によって設定されています。 CloudFlareのものではなく、彼らのサービスをTorユーザーが多かれ少なかれアクセスできるようにするのが彼らの決定です。 CloudFlareサービスのデフォルト設定は重要ですが、セキュリティ製品のデフォルトが厳しくなる傾向があり、ユーザーが望むならば、ユーザーが制限を肯定的に緩和しなければならないという明確なコンセンサスが長年にわたって発達しています。また、競合他社よりも、CloudFlareはマーケティングのセキュリティを重視していますが、CDNのパフォーマンスは明らかに重要な機能です。

私はCloudFlare CEOのMatthew Princeと話しました。彼ができる限り最善の方法でTorユーザーを収容したいと考えており、匿名であることを強く主張している。 Torユーザーは彼の顧客ではありません。顧客はCloudFlareに来てサイトのセキュリティを確保するため、彼が何をしてもそのセキュリティを妥協することはできません。私は彼が欲しいと思っていません。

大きなデータであるIoTやソーシャルメディアの普及により、情報セキュリティとユーザーのプライバシーに新たな課題が生じます。

プリンス氏は、Graham-Cumming氏がTor Projectスレッドで示したように、顧客が特定のTor出口ノードをホワイトリストに登録できるようにすることを説明しました。これは、Torプロジェクトのスレッドに多くの熱意を引き出しましたが、Princeは、それは顧客が望むものではないと言います。ごくまれな例外を除いて、Tor出口ノードをブラックリストに登録することが望ましい。

彼が長い間ホワイトリストに登録しなかった理由は、ブラックリストに載せることもできずにインターネットを有効にすることができないと感じ、インターネットをバルカン化するために役立つものに抵抗するからです。顧客は全国のブラックリストを許可するように要請し、なぜそうしないのですか?あなたがシカゴのテイクアウトバーベキューレストランであれば、トルコからのあなたのサイトへのインターネットトラフィックはおそらく合法ではなく、あなたはビジネスを失うのが良いでしょう。

いつものように、利便性、使いやすさ、そしてセキュリティの間には一般的なトレードオフがあります。これはコンピュータをはるかに超える現象であり、たとえば、人々の建物へのアクセスを制御することに適用されます。プリンスはそれに第2レベルのひねりをかけた。彼は3つのポイントが安全性、匿名性、そして摩擦である三角形を想像した。最後は利便性の対立である。あなたは3つすべてを持つことはできません。顧客が製品を購入する理由として最大限のセキュリティを確保する必要があることを考えると、匿名性と摩擦のトレードオフがあります。 CloudFlareの選択肢は、匿名性を可能にするためにいくつかの摩擦(CAPTCHAs)を作るために、最も論理的な決定であり、FacebookとGoogleが同様の状況で行ったものです。

これはAppelbaumやTorのコアユーザーの残りの部分を満足させないかもしれません。

Prince、Graham-Cumming、そしてCloudFlareの他の人たちは、そうすることに熱心に取り組んでいます。

なぜ、CloudFlareは、できるだけハードな仕事をするように設計されたシステムのユーザーを収容するために多大な労力を費やすのですか? Torユーザーが良い経験をすることができれば確かに良いかもしれませんが、どうしたらいいのか分かりませんが、盲目的なトークンの話もあります。 Torユーザーが大量の悪意のあるトラフィックを運ぶサービスの利便性のために、セキュリティを侵害するとサービスプロバイダが期待するのは無理です。 Princeは、Tor出口ノードから見た悪意のあるトラフィックの割合がAkamaiによって報告されたものよりはるかに高いことを教えてくれました。 CloudFlareは、トラフィックの全体的なパフォーマンスを向上させるために努力しています。

CloudFlareのエンジニアの間でTorに多くの共感がありますが、CloudFlareの顧客が同じ気分になっているのを見るのは難しいです。確かに彼らはTorユーザーから余分なビジネスを受けたいと思っていますが、どのようなコストですか? CloudFlareがTorの同情を強制しない限り、彼らはTorユーザーが不便であると気にせず、CloudFlareは他の問題に重点を置いています。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

通常のトレードオフ