Risico Cloudflare (+Trump)

Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:

browser <-1-> Cloudflare <-2-> https://pvv.nl

‍ Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).

CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".

DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.

Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).

Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}

Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.

Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).

Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.

MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).

De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).

AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).

Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.

DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).

Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).

iPhone/iPad gebuikers: security-tip!

Sinds iOS en iPadOS versie 18.2 heeft Safari (de standaard webbrowser, het blauwe kompas) een instelling die het openen van websites veiliger maakt, vooral als u van publieke WiFi gebruik maakt (restaurant, trein, hotels etc).

Sla hieronder gerust alle tekst over die u niet interessant lijkt. Maar zet die instelling aan, voor uw eigen bestwil (en doe dat ook bij uw ouders)!

Laatste update iOS/iPadOS
Controleer sowieso regelmatig of uw iPhone of iPad de laatste update geïnstalleerd heeft: open "Instellingen" (het grijze tandwieltje), open "Algemeen" en vervolgens "Software update" (doe dat alleen als u een WiFi-internetverbinding heeft, anders kan het ten koste gaan van uw telefoonrekening).

De laatste versie op dit moment is 18.3.

Nieuwe Safari instelling
Na het updaten en opnieuw opstarten opent u in "Instellingen" onderaan "Apps". Zoek naar "Safari" en open dat.

Scroll het scherm naar boven totdat u het lichtgrijze kopje "PRIVACY EN BEVEILIGING" ziet.

Daaronder zou moeten staan: "Waarschuwing voor onveilige verbindingen" (standaard staat die instelling uit).

Als u dat AAN zet toont Safari u een *waarschuwing* als er (ook tijdelijk) gebruik gemaakt wordt van een verbinding met
http://
in plaats van met
https://

Toelichting
Bij http:// weet u, vooral op een minder vertrouwd netwerk (zoals WiFi in een vliegveld, zie https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/), niet zeker of Safari echt een verbinding heeft met de server waarvan u de website-naam in de adresbalk van Safari ziet.

(Techneuten zeggen "domeinnaam" i.p.v. "website-naam").

Sterker, u kunt http:// vergelijken met wegwijzers die door vandalen in een andere richting kunnen worden gedraaid, waardoor u (als u geen moderne navigatie gebruikt) de verkeerde kant op kunt worden gestuurd.

Risico: omleiding naar nepsite
Vergelijkbaar, bij http:// kan een aanvaller Safari, zonder dat u gewaarschuwd wordt, doorsturen naar een nepwebsite (die als twee druppels op de echte lijkt) - doch met een iets afwijkende (of totaal andere) website-naam. Als die nepwebsite https:// ondersteunt, merkt u *niet* dat Safari naar een andere website is gestuurd dan door u bedoeld.

Waarom https:// wél veilig is
Bij het gebruik van uitsluitend https:// is "omleiden" nagenoeg onmogelijk. Als genoemde Safari-instelling AAN staat, maakt het niets uit of u bijvoorbeeld google.com of http://google.com intikt in de adresbalk: Safari: maakt daar dan automatisch https:// van vóórdat verbinding met de server wordt gemaakt.

Nadeel: thuisapparaten
Nadeel: sommige websites, vooral "smart" apparatuur in uw huis (waaronder de beheer-interface van uw modem, zoals de laatste van Ziggo) ondersteunt https:// vaak niet. Als u bijvoorbeeld http:⧸⧸192.168.178.1 moet openen, zal Safari u waarschuwen *voordat* de verbinding wordt gemaakt. Als u op "Ga verder" drukt, werkt alles als vanouds.

Nadeel: oude sites en "jumpsites"
Een ander voorbeeld zijn stompzinnige "jump sites" zoals http://gemeente.amsterdam (deze ondersteunt uitsluitend http:// en dat is, voor overheden, tegen de wet). Als het *goed* is stuurt bovenstaande link Safari door naar https://amsterdam.nl (die link begint wel met https://).

Risico: als u, op een onvertrouwd netwerk, http://gemeente.amsterdam opent, loopt u het risico dat Safari naar een nepwebsite wordt doorgestuurd, met bijvoorbeeld de naam
gemeenteamsterdam·com
of
amsterdam·top
en u geen enkele foutmelding ziet (en de getoonde pagina als twee druppels op de echte kan lijken). Nb. in die laatste twee websitenamen heb ik de laatste punt vervangen door · (een hoge punt) om onbedoeld openen te voorkómen.

Let op: "Ga verder" = http://
Als u genoemde instelling in Safari aanzet (wat ik 100% aanraad, dit zou m.i. een standaard-instelling moeten zijn in alle browsers), en u krijgt het waarschuwingsscherm te zien (zie het tweede plaatje): als u op "Ga verder" drukt, wordt meteen de onveilige http:// verbinding gemaakt (zonder verdere vragen). Let dan dubbel goed op de vervolgens in de adresbalk van Safari getoonde websitenaam!

Resetten
Als u een http:// verbinding heeft toegestaan (zoals met http://gemeente.amsterdam), onthoudt Safari dat een tijd (ik weet nog niet of dit tijdbegrensd is, waarschijnlijk wel). Als u Safari sluit, door de geopende app van het scherm te vegen, *lijkt* Safari alle toestemmingen te vergeten die u voor http:// verbindingen gegeven heeft.

Desnoods (dit raad ik af) kunt u Safari dwingen om onthouden toestemmingen te verwijderen door de gehele geschiedenis van Safari te wissen. Advies: vóór dat u dat doet, exporteer eerst alle website-data, want onthouden inloggegevens bent u ook kwijt als u de hele browsergeschiedenis wist. Met zo'n export kunt u terug naar de oude situatie door het export-bestand weer te importeren.

Over de plaatjes hieronder
Meer informatie ziet u door op "Alt" in het plaatje te drukken. Het linkerplaatje laat de nieuwe instelling voor Safari zien.
Voor het rechterplaatje heb ik http://http.badssl.com gekozen. Dat heb ik gedaan omdat ik wat wisselende ervaringen had met http://gemeente.amsterdam.

(Voor techneuten: Safari onthoudt onder mij nog onbekende omstandigheden dat het om een jumpsite gaat. In een export van de browsergeschiedenis zag ik in "Geschiedenis.json", onder "http://gemeente.amsterdam" o.a. een regel:
"destination.url" : "https://www.amsterdam.nl" - als de browser dat benut wordt er geen http gebruikt).

Over http://http.badssl.com
De website https://badssl.com bevat allerlei pagina's en sub-website-namen om browsers te testen, en is -voor zover ik weet- betrouwbaar. Niet alles is up-to-date (bijv. het certificaat van https://extended-validation.badssl.com/ is verlopen).

Andere testsites
In plaats van te testen met http://gemeente.amsterdam kunt u ook testen met bijv. http://http.badssl.com en http://www.buitenhoftv.nl.

M.b t. die laatste: als u 2x op more/meer drukt in https://youtube.com/watch?v=WalOiq0mrNw ziet u onder:
"Meer van Buitenhof:
» Vind"
een https:// link naar www.buitenhoftv.nl - maar u wordt belazerd (die jumpsite ondersteunt uitsluitend http). Precies daarom raad ik aan om deze Safari instelling aan te zetten. Ook sommige QR-codes bevatten http-links terwijl de site óók https ondersteunt.

Met enorme dank aan Thomas Bosboom
(@thomasbosboom) die mij op deze instelling wees in https://infosec.exchange/@thomasbosboom/113945617133456130!