Cloudflare: весенние анонсы

Мы уже неоднократно рассказывали об инициативах компании Cloudflare по превращению современного интернета в полностью криптографически защищённую зону. Из наиболее удачных хотим напомнить про DNS-сервер по протоколу DNS over HTTPS, меньшей популярностью из последних проектов пользуется «межпланетная» файловая система, а были и более ранние проекты, о которых мы тоже писали. В марте-апреле 2019 года стартовали новые сервисы, которые показались автору любопытными и достойными рассказа.

Два связанных между собой проекта предназначены для исследования важного аспекта информационной безопасности — перехвата шифрованного трафика в интернете. У большинства пользователей, в том числе и технически вполне грамотных, безопасный протокол TLS ассоциируется, прежде всего, с шифрованием. На самом деле шифрование на самом деле спасает от прослушивания в канале промежуточным наблюдателем, но когда вы передаёте номер банковской карты и прочие реквизиты, вам надо убедиться, что передаёте вы их именно туда, куда надо. Для этого предусмотрена фаза handshake. На этой фазе клиент и сервер сверяют разные куски информации, которыми они обменялись, между собой. Типичный пример — доменное имя в HTTP-запросе и в сертификате. Если части (или куски) совпали, то надо внимательно посмотреть на сертификат, предъявленный сервером. Проверка должна подтвердить, что можно построить корректную цепочку, заканчивающуюся одним из доверенных сертификатов удостоверяющих центров (УЦ). Только в этом случае можно надеяться, что передаваемые данные будут в безопасности.

На практике ситуация усложняется наличием различных систем анализа трафика (DPI), которые устанавливают свои сертификаты в качестве доверенных и трафик перешифровывают. Кроме того, свои прокси могут устанавливать и зловреды, охотящиеся за сенситивными данными пользователей. Но даже в созданных с благой целью системах нередко есть уязвимости, о них идет речь в интересном исследовании. Присутствие таких посредников очень трудно зафиксировать, особенно если пытаться сделать это на стороне веб-сервера. Для того, чтобы определить присутствие таких перехватчиков, предназначен проект MITMengine. Проект использует расхождения между тем, что рассказывает о себе веб-клиент (версия, настройки), и предлагаемыми им (или не им, а посредником) криптографическими параметрами: версиями и расширениями протоколов, наборами поддерживаемых эллиптических кривых, цифронаборами и порядком их предпочтения. Если найдено расхождение, то можно предположить, что по пути встретился перешифровщик. По базе сигнатур перешифровщиков иногда можно угадать даже конкретную версию такого ПО. В Cloudflare призывают пополнять коллекцию и дают рекомендации, как это сделать.

Второй проект Cloudfare, посвящённый анализу перехвата — MALCOLM — позволяет оценивать долю перехватываемого трафика при соединении с конкретным сайтом. Статистика показывает, что с 2017 года доля перехватываемого трафика при общении с сайтами Cloudflare почти не изменилась и составляет примерно 11%.

А 1 апреля, презрев традицию дурацких шуток, компания анонсировала ещё один важный сервис, получивший название Warp. (Кстати, сервер протокола DNS-over-HTTPS тоже был запущен 1 апреля.) Это приложение дополняет функциональность приложения «1.1.1.1», уже обеспечивающего шифрование DNS-трафика с мобильного телефона пользователя. Слоган https://1.1.1.1/ проекта — «VPN для тех, кто не знает, что такое VPN» — довольно точно описывает целевую аудиторию: обычные пользователи всё чаще нуждаются в защите своего общения в сети, но вряд ли стоит ждать от них глубокого понимания и серьезных усилий по настройке. Приложение не устанавливает на ваш смартфон своих корневых сертификатов (и тем самым заведомо не будет перехватывать ваш трафик, как описано в настоящей статье чуть выше). Шифрованный трафик по-прежнему будет зашифрован, и даже незашифрованный будет идти на серверы Cloudflare в криптографически защищённом виде. Обещано, что нешифрованные данные, одинаковые для всех пользователей, будут кешироваться и сжиматься, что тоже поможет владельцам смартфонов сэкономить трафик. В силу широкой географии серверов по всему миру этот вариант VPN не будет замедлять общение с сайтами — во всяком случае, так утверждает маркетинговая служба компании. Там, где связь плохая, Warp, по словам разработчиков, может даже улучшить качество сервиса пользователя за счёт переключения с TCP на другие низкоуровневые протоколы. VPN-функции Warp построены на базе ещё одного проекта, о котором мы рассказывали — Wireguard. Утверждается, что электроэнергии на это приложение требуется совсем немного (а этот показатель для смартфона критичен), причем альтернативные VPN-решения гораздо более энергоемки.

Базовая версия Warp будет бесплатна, но появятся и коммерческие варианты. Версия Warp+, как обещают, будет опираться на Argo — разработанную в Cloudflare технологию «умного» роутинга. Чуть позже пользователи получат и десктопную версию программы. Пока, впрочем, и базовая версия приложения недоступна для скачивания, но обещано, что в текущей версии приложения «1.1.1.1» можно будет заявить о своём желании использовать Warp, как только такая возможность представится.

Перспективы, что и говорить, рисуются захватывающие, но надо дождаться широкого внедрения нового сервиса, и лишь тогда судить об его успехе. Сделает ли новый сервис компанию Cloudflare поставщиком VPN по умолчанию, как это получилось у Google с поиском и почтой, а у Facebook — с социальной сетью? Внедрив Warp, компания получит некоторое количество дополнительного трафика для анализа, что может существенно упрочить её позицию на рынке BigData.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку