Spamhaus ha recentemente espresso delusione riguardo l’approccio di Cloudflare nella gestione degli abusi. Negli ultimi anni, Spamhaus ha osservato un aumento dell’attività abusiva facilitata dai servizi di Cloudflare. I cybercriminali hanno sfruttato questi servizi legittimi per mascherare le loro attività e migliorare le operazioni dannose, un tattica nota come “living off trusted services” (LOTS).
Problemi riscontrati da Spamhaus
Spamhaus ha rilevato 1201 elenchi irrisolti nel proprio Spamhaus Blocklist (SBL) relativi a Cloudflare, indicando che il 10.05% di tutti i domini elencati nel Domain Blocklist (DBL) di Spamhaus utilizzano i nameserver di Cloudflare. Molti domini associati a spam, phishing e altre attività dannose vengono trasferiti su Cloudflare per nascondere il backend delle loro operazioni.
Ricerche su siti web che pubblicizzano servizi a un pubblico di cybercriminali, come l’hosting bulletproof, mostrano che molti di questi domini sono supportati dai servizi di Cloudflare. Questo fenomeno non è limitato a pochi casi isolati ma si estende a varie offerte cybercriminali, come forum di carding e servizi DDoS-for-hire.
La Conundrum Anti-Abuso di Cloudflare
L’approccio di Cloudflare agli abusi è dettagliato in una pagina web e ulteriormente spiegato in un articolo pubblicato nell’agosto 2022. Cloudflare sostiene che la maggior parte dei rapporti di abuso riguarda siti web che utilizzano i loro servizi di sicurezza pass-through e rete di distribuzione dei contenuti (CDN). Poiché Cloudflare non ospita contenuti tramite questi servizi, non può rimuovere contenuti da internet che non ospita direttamente.
Spamhaus non chiede a Cloudflare di rimuovere contenuti da internet, ma piuttosto di smettere di fornire servizi a chi abusa dei loro sistemi. L’approccio attuale di Cloudflare è problematico perché maschera la vera posizione del backend, mentre inoltra le segnalazioni di abuso ai servizi abusati o abusivi stessi. Questo può portare a ignorare le notifiche o a migliorare le strategie per evitare ulteriori rilevamenti.
Perché Cloudflare adotta questo approccio?
Questo approccio rende la vita facile per Cloudflare, poiché non richiede indagini approfondite o analisi degli incidenti, e il flusso di notifiche può essere in gran parte automatizzato, riducendo i costi di gestione degli abusi. Tuttavia, questo ha un impatto negativo sul resto di internet.
Come Cloudflare può risolvere questo problema
Spamhaus raccomanda a Cloudflare di sospendere i servizi agli abusatori, come i servizi DNS autoritativi, i servizi di reverse proxy e i servizi CDN. Questo non rimuoverebbe i contenuti dalla rete ma li renderebbe inaccessibili tramite il network di Cloudflare.
Un appello al cambiamento
Cloudflare, essendo un leader nel mercato delle Content Delivery Network (CDN), ha gli strumenti e le risorse per fornire servizi robusti ai clienti legittimi, tenendo fuori i cybercriminali. Spamhaus sottolinea che l’abuso non “accade semplicemente”, ma è abilitato. Cloudflare e altre aziende devono migliorare significativamente la prevenzione e la gestione degli abusi per rafforzare la fiducia e la sicurezza su internet.
