سرویس پیازی Cloudflare، ابزاری برای مهاجمان یا مدافعان سایبری؟
Cloudflare یکی از شرکتهای فعال در دنیای وب است که دارای خدمات و محصولات زیادی میباشد. یکی از خدماتی که توسط این شرکت به کاربران ارایه میشود، سرویس ابری آن است که به امنیت، بهینهسازی و سرعت بارگذاری وبسایتها کمک قابل توجهی میکند.
مدتی پیش این شرکت از قابلیت رمزنگاری فرصت طلبانه (Opportunistic Encryption) خود که از طریق سرویس ابری و به شیوه مسیریابی پیازی امکان رمزنگاری کانال ارتباطی را بین دو سیستم (مبدأ و مقصد) فراهم میکند، رونمایی کرد. این ویژگی از مزایای قابل توجهی برای وب سایتهایی که کماکان از پروتکل HTTP به جای HTTPS استفاده میکنند، برخوردار است.
پروتکل HTTPS امکان برقراری ارتباط را میان مرورگرها و سرویسدهندگان وب فراهم نموده و برای انتقال اطلاعات، از کدهای متنی و قابل مشاهده برای سرورهای میانی استفاده میکند. HTTPS با استفاده از گواهینامه های SSL یا TLS، عملیات رمزنگاری متقارن را انجام می دهد. به این ترتیب امکان تغییر اطلاعات تبادلی برای افراد غیرمجازی که به هر شکلی به اطلاعات دسترسی داشته باشند را غیرممکن میسازد.
البته این راهکار نیز مانند سایر فناوری ها با چالشهای امنیتی زیادی مواجه است. تضمین حفاظت از حریم خصوصی، از گذشته تاکنون همواره به عنوان موضوعی چالش برانگیز مطرح بوده است. مسایلی همچون غیرفعالسازی روشهای ثبت اطلاعات کاربر، ابزارهای ردیابی مرورگر و خنثی سازی حملات ارتباطدهی که فقط شرکتهای بزرگ قادر به انجام آن هستند، بر مشکلات و چالش های امنیت سایبری افزوده است.
یکی از روشهایی که به ناشناس ماندن کاربران در محیط اینترنت کمک میکند، استفاده از مرورگر تور[2] است. این مرورگر با استفاده از روش مسیریابی پیازی، پیامها را رمزنگاری کرده و میتواند دادههای کاربران از جمله موقعیت مکانی و آدرس اینترنتی (IP) آنها را از دید سایر کاربران پنهان کند.
با توجه به اینکه مجرمان سایبری همواره در پی سوءاستفاده و تحقق اهداف خرابکارانه شخصی شان هستند، این ابزار تبدیل به راهکاری برای مخفی کردن مبدأ ترافیک های مخرب برای آنها شده است. بنابراین تشخیص ترافیک سالم از ترافیک مخرب، دیگر کار چندان آسانی برای کاربران نیست.
بسیاری از سازمانها به منظور حفظ امنیت سیستمها و شبکه خود تصمیم به استفاده از کدهای کپچا (CAPTHA) گرفتهاند. کپچا یک ابزار امنیتی برای شناسایی و تشخیص کاربر انسانی از رباتهای مخرب در اینترنت است که از آن برای افزایش امنیت وبسایتها و سامانه های آنلاین استفاده می شود.
بنابراین یکی از روشهایی که برای مقابله با ترافیک های مخرب و حفاظت از حریم خصوصی کاربران می توان از آن استفاده کرد، سرویس پیازی است که توسط مرورگر تور قابل پیادهسازی می باشد. در حال حاضر هر کاربری که از مرورگر تور (نسخه 8.0) استفاده کند، بدون امکان مواجه شدن با کدهای کپچا میتواند به امنیت و کارایی مورد نظر دست یابد. این قابلیت امکان مقابله با ترافیک های مخرب را نیز برای کاربران فراهم میکند.
علاوه بر این با توجه به اینکه هدف از طراحی سرویسهای پیازی، ناشناس نگهداشتن محتوا است بنابراین بعضی از پیام رسان های ارتباطی و شبکه های اجتماعی همچون فیسبوک از آن برای برقراری ارتباطات امن استفاده میکنند.
شیوه عملکرد سرویس پیازی فرصتطلبانه که توسط Cloudflare ارایه شده، به این صورت است که به هر ارتباطی که بین سرور و کلاینت و از طریق مرورگر تور برقرار می شود، یک کد یکتا و منحصر به فرد اختصاص داده میشود. تمام درخواستهایی که از طریق مرورگر تور و یک مکان خروجی مشابه ارسال می شوند؛ در سمت سرور مقصد، دارای آدرس اینترنتی یکسانی هستند. نکته حایز اهمیت این است که با این روش، سرویسهای پیازی نیز قادر به تشخیص و ردیابی کاربران تور نیستند.
نحوه عملکرد این فرایند، به نوعی شبیه شماره گیریهای پی در پی رمزنگاری شده است. در این روش مهاجمان میتوانند تماسهای متوالی را با سرویس پیازی برقرار کنند. از آنجا که فرایند مبادله کلید در هر تماس مجدداً تکرار میشود بنابراین این کار از نظر محاسبات و زمان، بسیار پرهزینه است.
نگرشی متفاوت درباره آدرسهای پیازی
اکنون میخواهیم شیوه عملکرد آدرسهای پیازی را به بیان سادهتر بیان کنیم. زمانی که یک کاربر، آدرس cloudflare.com را در مرورگر خود وارد کرده و کلید Enter را فشار می دهد، مرورگر او این نام دامنه را به یک آدرس آیپی تبدیل کرده و سپس از سرور تقاضای ارایه یک گواهینامه معتبر را برای وب سایت cloudflare.com می نماید. آنگاه مرورگر کاربر تلاش میکند ارتباطی رمزنگاری شده را با سیستم میزبان برقرار کند. البته تا زمانی که یک مرجع صدور گواهی، این گواهینامه را تأیید نکرده باشد نگرانی هایی درباره آن آدرس آیپی وجود دارد.
در واقع در سناریوی بالا، آدرس آیپی با یک آدرس oinon. تغییر می کند. در صورتی که گواهینامه معتبر باشد و با توجه به اینکه معتبر بودن گواهینامه نشاندهنده صحت آدرس oinon. است پس در این صورت دیگر نیازی به وارد کردن آدرس oinon. توسط کاربر یا حتی به خاطر سپردن آن وجود ندارد.
صحبت پایانی و امنیت بیشتر
سرویس پیازی فرصت طلبانه قابلیت حفاظت کامل از داده های کاربران را در برابر مهاجمانی که قادر به حذف هدر سرویس جایگزین هستند، ندارد. بنابراین برای امنسازی آن، اولین درخواست استفاده از HTTPS Everywhere مهم است. هنگامی که ارتباطی از طریق مرورگر تور برقرار شد، درخواستهای بعدی بین سیستم های مبدأ و مقصد نیز باید توسط آن انجام شوند.
[1] HTTP Alternative Service
[2] Tor
منبع: cloudflare