Παρά τη δρομολόγηση ενός επιβλητικού 10 τοις εκατό του συνόλου της κίνησης στο Διαδίκτυο, το Cloudflare είναι πιο γνωστό για τα ενοχλητικά CAPTCHAs του, που τις περισσότερες φορές καθυστερούν τους Tor χρήστες για ολόκληρα λεπτά πριν τους αφήσει να έχουν πρόσβαση σε μια ιστοσελίδα.
Το Tor Project δεν δείλιασε να δείξει με το δάχτυλο το Clοudflare δημόσια. Τον περασμένο Φεβρουάριο, τα μέλη του Tor Project κατηγόρησαν το Cloudflare για εκ προθέσεως σαμποτάζ στην Tor κυκλοφορία μέσω των CAPTCHAs του και με τη χρήση ειδικών cookies για να παρακολουθεί τους Tor χρήστες σε ολόκληρο το Διαδίκτυο.
Το Cloudflare απάντησε ένα μήνα αργότερα αρνούμενο όλες τις κατηγορίες. Η εταιρεία είπε ότι μόνο οι διευθύνσεις IP με μια κακή φήμη βλέπουν τα CAPTCHAs, που είναι ένα μέτρο αυτοάμυνας για τις ιστοσελίδες που το Cloudflare έχει προσληφθεί να προστατεύσει.
Η εταιρεία είπε ότι το 94 τοις εκατό του συνόλου της Tor κίνησης είναι κακόβουλο και χρησιμοποιείται κυρίως για αυτοματοποιημένες επιθέσεις και γι’ αυτό οι τακτικοί Tor χρήστες βλέπουν τα CAPTCHAs. Το Cloudflare ήταν ανένδοτο στο ότι δεν είχε τίποτα εναντίον του Tor Project ή των χρηστών του.
Δεδομένου, ωστόσο, ότι οι πράξεις είναι εκείνες που μετράνε, το Clοudflare τώρα ψάχνει για ένα νέο σύστημα για να προστατεύει τους πελατών του από την κακόβουλη Tor κίνηση, χωρίς όμως να βομβαρδίζει τους Tor χρήστες με ατελείωτα CAPTCHAs.
Το σχετικό έγγραφο δημοσιεύθηκε στο GitHub πριν από δύο εβδομάδες και ονομάζεται «Challenge Bypass Specification».
Σύμφωνα με αυτό το specification, το Cloudflare εργάζεται σε μια επέκταση του προγράμματος περιήγησης Tor που παράγει one-time tokens ελέγχου ταυτότητας, που ονομάζονται nonces.
Κάθε φορά που ένας Tor χρήστης θα αποκτάει πρόσβαση σε μια Cloudflare-προστατευόμενη περιοχή, θα πρέπει να λύσει ένα αρχικό CAPTCHA. Μετά από αυτό, ο browser θα παρέχει tokens ελέγχου ταυτότητας για το Cloudflare firewall και ο χρήστης δεν θα πρέπει να ασχοληθεί με τυχόν CAPTCHAs.
Καθώς η κακόβουλη κίνηση είναι αυτοματοποιημένη με διάφορα CLI-εργαλεία, οι εισβολείς δεν θα είναι σε θέση να παρέχουν αυτά τα tokens και το τείχος προστασίας θα κάνει τη δουλειά του, όπως πρέπει.
Επί του παρόντος, το πρόχειρο specification χρησιμοποιεί μια τροποποίηση του αλγορίθμου κρυπτογράφησης RSA για να δημιουργήσει «τυφλές υπογραφές» που μπορούν να χρησιμοποιηθούν ως nonces.
Το Cloudflare εξηγεί, επίσης, ότι το σύστημα αυτό δεν είναι ειδικά προσαρμοσμένο για το δίκτυό του. Ολόκληρο το σύστημα είναι modular και άλλοι edge πάροχοι μπορούν να το χρησιμοποιήσουν για να χειριστούν την Tor κυκλοφορία με τον ίδιο τρόπο.
Επιπλέον, το αρχικό εφάπαξ CAPTCHA δεν είναι υποχρεωτικό και κάθε edge πάροχος θα μπορούσε να εφαρμόσει το δικό του σύστημα για τον έλεγχο ταυτότητας των ανθρώπινων χρηστών και μετά να χρησιμοποιήσει τις nonces για επόμενες λειτουργίες ελέγχου ταυτότητας.
