Cloudflare möglicherweise abgeschossen
Cloudflare möglicherweise abgeschossen
Bildquelle: Angelehnt an schlag, Lizenz

Cloudflare hat seinen Warrant Canary nicht aktualisiert

von Moritz Poldrack Lesezeit: 3 Min.

Vor über einem Jahr hat Cloudflare seinen Warrant Canary aktualisiert. Was kann die fehlende Aktualisierung für Nutzer bedeuten?

Inhalt

Cloudflare, der Pate des Internets könnte Besuch von den Feds gehabt haben, zumindest lässt dies ein fehlendes Update des Warrant Canaries vermuten.

Was heißt das für mich?

Für Dich heißt das potenziell viel. Cloudflare agiert als Reverse Proxy und bekommt somit allen Traffic, den Du über ihren Server-Protection-Dienst schickst. Unverschlüsselt. „Aber ich nutze ein VPN!“ Das ist schön, aber das hilft Dir hier nicht. Cloudflare muss Deinen Request weiterleiten und dazu müssen sie ihn entschlüsseln.

Während viele sich auf Cloudflare verlassen, so hat es doch ein gewisses Risiko, wenn Cloudflare, zum Beispiel per Gerichtsbeschluss, dazu gezwungen werden kann, Daten für eine Domain mitzuschneiden.

Cloudflares Warrant Canary ist nicht mehr ganz frisch …

… man könnte sagen, er müffelt schon etwas. Auf ihrer Seite, auf der sie ihren halbjährlichen Transparenzbericht veröffentlichen, sieht man, dass diese Daten den 1. Januar bis 30. Juni letzten Jahres abdecken. Der Canary in der Sektion „Some things we have never done“ kann damit als „ungültig“ betrachtet werden. Dieser Canary deckte die folgenden Bereiche ab:

Cloudflare…

  1. … hat nie Verschlüsselungs- oder Authentifizierungsschlüssel weitergegeben.
  2. … hat nie Soft- oder Hardware von Strafverfolgungsbehörden in ihrem Netzwerk installiert.
  3. … hat Strafverfolgungsbehörden nie einen Feed über Kundentraffic bereitgestellt.
  4. … hat nie Traffic auf Anfrage von Dritten modifiziert.
  5. … hat nie die Ziel-Adressen von DNS Anfragen auf Anfrage von Dritten modifiziert.
  6. … hat seine Verschlüsselung nie aufgrund einer Anfrage von Dritten geschwächt, kompromittiert oder unbrauchbar gemacht.

Warum das potenziell katastrophale Nachrichten sind, muss man wohl keinem Nutzer erklären. Es wäre auch verständlich, wenn den Admins von populären Warez-Seiten wie House of Usenet, Sky of Usenet und Baka Board jetzt der Arsch etwas auf Grundeis geht; die sind nämlich hinter einem Cloudflare Reverse Proxy.

Also weiß die Polizei jetzt, dank Cloudflare, wo ich Linux ISOs lade?

Nein. Zumindest nicht unbedingt Das grundsätzliche Problem bei einem Warrant Canary ist, dass er vergessen werden kann. Das ist aber bei einem riesigen Unternehmen wie Cloudflare unrealistisch. Möglich ist auch, dass amerikanische Strafverfolgungsbehörden Zugang bekommen haben. Das wäre blöd, heißt aber noch nicht, dass deutsche Behörden die Daten haben. Deutsche Behörden haben in den Staaten einen deutlich schwächeren Hebel.

Und nun? ¯\_( ⁰͡ Ĺ̯ ⁰͡ )_/¯ Da kannst Du als Nutzer nichts machen und eine Umstellung der Infrastruktur der Boards ist auch nicht schnell mal nebenbei gemacht. Bleibt uns wohl nichts anderes als zu hoffen … und das ist eine schlechte Position in der man sich nicht wiederfinden möchte.

UPDATE: Cloudflare hat inzwischen seinen Canary aktualisiert.

15 Kommentare lesen
Mehr zu dem Thema

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).