Cloudflare และหน่วยงานพันธมิตรอีก 4 หน่วยงานเปิดตัว League of Entropy บริการสร้างเลขสุ่มที่เชื่อถือได้ โดยให้บริการผ่าน API โดยสร้างเลขสุ่มทั้งแบบสาธารณะเปิดเผยข้อมูลโดยทั่วไป และแบบส่วนตัวสำหรับใช้งานเฉพาะเช่นการสร้างกุญแจลับ

Cloudflare เปิดตัวบริการ 1.1.1.1 with Warp ฟีเจอร์ VPN สำหรับแอป 1.1.1.1 ที่เดิมใช้สำหรับ DNS เพียงอย่างเดียว ให้เข้ารหัสทราฟิกทั้งหมดด้วย โดยตั้งเป้าว่า Warp จะเป็นบริการ VPN สำหรับคนที่ไม่รู้ว่า VPN คืออะไร

บริการนี้คล้ายกับบริการ Data Saver ของ Google Chrome โดยหากเข้าเว็บที่ไม่ได้เข้ารหัส ทาง Cloudflare จะบีบอัดข้อมูลให้ด้วย อย่างไรก็ดีในแง่ความเป็นส่วนตัว Cloudflare ยืนยันว่าบริษัทไม่ได้ทำธุรกิจโฆษณา ล็อกจะไม่เขียนข้อมูลระบุตัวตนได้ลงดิสก์, ไม่มีการขายข้อมูลเพื่อยิงโฆษณาเจาะจงบุคคล, การใช้งานไม่ต้องขอข้อมูลส่วนตัวใดๆ ไม่ว่าชื่อ อีเมล หรือเบอร์โทรศัพท์, มีการจ้างผู้ตรวจสอบภายนอกมายืนยันข้อสัญญาความเป็นส่วนตัวทั้งหมด

เมื่อวันจันทร์ที่ผ่านมาผู้ใช้จำนวนมากไม่สามารถเข้าถึงบริการต่างๆ ของกูเกิลได้ วันนี้ Cloudflare ก็รายงานถึงสาเหตุปัญหานี้ ว่ามีต้นตอจากผู้ให้บริการอินเทอร์เน็ตไนจีเรียที่ชื่อว่า MainOne คอนฟิกเราท์เตอร์ผิดพลาด

Cloudflare Workers เป็นบริการโค้ดแบบ serverless แบบเดียวกับ AWS Lambda และ Google Cloud Functions เมื่อสัปดาห์ที่แล้วทาง Cloudflare ก็เขียนบล็อกเล่าถึงเทคโนโลยีภายในของ Workers ที่เป็นฟีเจอร์ Isolates ของเอนจิน V8

Cloudflare Workers และ AWS Lambda เป็นคู่แข่งกันโดยตรง หลังจาก AWS เปิดตัว Lambda@Edge ที่เปิดให้รันโค้ดที่ปลายทางของ CDN

เมื่อต้นปีนี้ Cloudflare เปิดบริการ DNS 1.1.1.1 ให้คนทั่วไปใช้งาน โดยมีความพิเศษหลายอย่าง เช่น ความเร็วในการ lookup หรือ DNS over HTTPS

ก่อนหน้านี้การใช้งาน 1.1.1.1 จำเป็นต้องให้ผู้ใช้เปลี่ยนค่า DNS ของระบบปฏิบัติการเอง ซึ่งอาจยุ่งยากสำหรับการใช้บนอุปกรณ์พกพา

Cloudflare เปิดตัวบริการ Cloudflare Registrar เป็นบริการจดโดเมนสำหรับผู้ใช้ทั่วไป เพิ่มเติมจาก Enterprise Registrar บริการจดโดเมนภาคองค์กร โดยชูจุดขายสามอย่างคือเชื่อถือได้, ปลอดภัย และราคายุติธรรม ซึ่ง Cloudflare หวังว่าจะให้เป็นบริการจดโดเมนที่ทุกคนชื่นชอบ

Cloudflare กล่าวว่าบริการนี้เริ่มขึ้นมาจากแนวคิดในการแก้ปัญหาของบริษัท โดยในปี 2013 ทาง Cloudflare ประสบปัญหาผู้จดโดเมนที่ใช้บริการอยู่ถูกแฮกระบบ ซึ่งไม่ปลอดภัยต่อโดเมนที่จดอย่างมาก จึงทำให้ Cloudflare ต้องไปหารายใหม่ แต่กลับพบว่าผู้จดโดเมนในตลาดที่เก็บค่าใช้จ่ายแพงและให้ความมั่นใจว่าจะปลอดภัยกลับมีปัญหาเรื่องความปลอดภัยมาก จึงทำให้ Cloudflare ตัดสินใจทำบริการนี้เองเสียเลย

Cloudflare เปิดตัว Bandwidth Alliance กลุ่มผู้ให้บริการคลาวด์และบริการเครือข่ายเพื่อเชื่อมต่อเน็ตเวิร์คเข้าหากัน โดยกลุ่มผู้ให้บริการเหล่านี้สัญญาว่าจะหาทางลดค่าแบนวิดท์ (หรือแม้แต่ไม่คิดค่าแบนวิดท์เลย) เมื่อส่งข้อมูลระหว่างคลาวด์

ตอนนี้กลุ่มผู้ให้บริการกลุ่มแรก คือ AUTOMATTIC, Backblaze, DigitalOcean, DreamHost, IBM Cloud, Linode, Azure, Packet, Scaleway, และ Vapor

ทาง Cloudfalre คาดว่าการร่วมนี้จะทำให้ค่าแบนวิดท์ลดลงรวมปีละ 50 ล้านดอลลาร์

ที่มา - Cloudflare

ร่างมาตรฐาน ESNI ที่เป็นการปิดช่องโหว่สำหรับการดักฟังว่าผู้ใช้กำลังเข้าเว็บอะไรอยู่ เป็นจุดสุดท้าย ถัดจากการเข้ารหัสเว็บและการเข้ารหัส DNS ด้วย DNS over HTTPS (DoH) เมื่อกลางปีที่ผ่านมา แอปเปิล, Cloudflare, Fastly, และมอซิลล่า ร่วมมือกันทดสอบร่างมาตรฐาน ตอนนี้ทางฝั่ง Cloudflare ก็เริ่มให้บริการจริงแล้ว

การเปิดบริการครั้งนี้ทำให้ผู้ใช้ที่ใช้ Firefox Nightly และคอนฟิก DNS เป็น 1.1.1.1 แบบ DoH เมื่อเข้าเว็บที่เซิร์ฟเวอร์รองรับ ESNI (รวมถึงเซิร์ฟเวอร์ของ Cloudflare ทั้งหมด) ก็จะไม่มีข้อมูลอื่นให้ไฟร์วอล หรือแฮกเกอร์ระหว่างทางดักได้อีกต่อไปว่ากำลังเข้าเว็บอะไรอยู่

บริการเซิร์ฟเวอร์ DNS ไอพี 1.1.1.1 ของ CloudFlare เปิดตัวเป็นทางการเมื่อวันที่ 1 เมษายนที่ผ่านมา (วันที่ 1/4) ปรากฎว่าไอพีนี้มีความพิเศษหลายอย่าง

ทาง CloudFlare พยายามหาไอพีที่จำได้ง่ายระดับเดียวกับ 8.8.8.8 ของกูเกิล และอยากได้ 1.1.1.1 และ 1.0.0.1 ที่ APNIC ถืออยู่ โดยทาง APNIC ถือไอพีนี้ไว้เพื่อศึกษา "ข้อมูลขยะ" ที่เครื่องจำนวนมากส่งมายังไอพีนี้ โดยปกติแล้วคนที่จะได้ไอพีสำหรับเซิร์ฟเวอร์คงไม่อยากได้ไอพีแปลกแบบนี้ เพราะทราฟิกขยะก็ทำเน็ตเวิร์คเต็มได้ง่ายๆ แต่ทาง CloudFlare ยินดีรับทราฟิกไว้เอง และจะแบ่งข้อมูลทราฟิกให้ APNIC ศึกษาต่อไป

CloudFlare ทำเว็บประกาศเซิร์ฟเวอร์ DNS ใหม่หลุดออกมาเป็นช่วงเวลาสั้นๆ โดยประกาศว่าจะเปิดเซิร์ฟเวอร์ 1.1.1.1 ให้บริการ DNS สำหรับคนทั่วไป โดยเป็นโครงการร่วมกับ APNIC

ในประกาศระบุว่า DNSPerf ทดสอบเซิร์ฟเวอร์ของ CloudFlare แล้วพบว่ามีความเร็วสูงสุด และบริการนี้รองรับ DNS over HTTPS เข้ารหัสการขอโดเมนเพื่อความเป็นส่วนตัว ทำให้ผู้ให้บริการอินเทอร์เน็ตไม่สามารถดักแก้ไข หรือมอนิเตอร์การขอข้อมูล DNS ได้

หน้าเว็บที่หลุดออกมาเป็นหน้าที่ยังทำไม่เสร็จอย่างชัดเจน โดยลิงก์ไปยัง APNIC แต่ตัวลิงก์จริงเป็น example.com

ที่มา - Web Archive: dns.cloudflare.com

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

ข้อมูล SCT เป็นข้อมูลที่หน่วยงานออกใบรับรอง (CA) ได้รับจากเซิร์ฟเวอร์ CT เพื่อยืนยันว่าใบรับรองนี้ถูกบันทึกต่อสาธารณะแล้วจริง โดยนโยบายการบันทึกลง CT ของ Let's Encrypt จะตรงกับของ Chrome คือต้องบันทึกอย่างน้อยสองเซิร์ฟเวอร์ เป็นของกูเกิลหนึ่งแห่งและของบริษัทอื่นอีกหนึ่งแห่ง

Cloudflare ได้เปิดตัวบริการใหม่ Cloudflare Mobile SDK เครื่องมือฟรีสำหรับนักพัฒนาแอพเพื่อการมอนิเตอร์ในระดับเครือข่าย ให้นักพัฒนาสามารถตรวจสอบปัญหาที่เกิดขึ้นในด้านการส่งข้อมูลผ่านเครือข่ายได้ดียิ่งขึ้น

เครื่องมือของ Cloudflare นี้ เพียงใส่โค้ดไม่กี่บรรทัดลงไปในแอพ iOS หรือ Android ก็สามารถมอนิเตอร์เครือข่ายได้ทันที ซึ่งข้อมูลจะแสดงบนเว็บคอนโซล โดยจะเน้นการแสดงปัญหาให้เห็นชัด เช่นแพคเก็ตที่ถูกดรอปเนื่องจากสัญญาณเครือข่ายที่ไม่เสถียรทำให้แอพแครช, คำขอที่ช้าหรือมีโอกาสล้มเหลวสูง เป็นต้น

IBM ประกาศร่วมมือกับ Cloudflare เพื่อทำเครื่องมือสำหรับคลาวด์ เพื่อนำบริการของ Cloudflare มาให้บริการกับลูกค้าของ IBM โดยตรง ซึ่งบริการ Cloud Internet Services ซึ่งเป็นผลจากความร่วมมือนี้จะเป็นการให้บริการโดย Cloudflare

Cloud Internet Service จะมีความสามารถตั้งแต่รักษาความปลอดภัย เช่นการป้องกันปัญหาอย่าง DDoS, บอท, การขโมยข้อมูล ไปจนถึงช่วยปรับปรุงประสิทธิภาพการให้บริการได้ด้วย โดยผู้ใช้ IBM Cloud สามารถเรียกใช้โซลูชั่นต่าง ๆ ผ่านแดชบอร์ดได้ในไม่กี่คลิก ส่วนบริการบางอย่างของ Cloudflare ที่มีเฉพาะ Enterprise Plan สามารถซื้อได้ผ่านทีมขายของ IBM โดยโซลูชั่นของ Cloudflare สามารถดีพลอยได้บนระบบคลาวด์ของ IBM ทุกประเภท ทั้ง on-premise, public cloud หรือ hybrid cloud

เลขสุ่มเป็นหนึ่งในองค์ประกอบที่สำคัญในการเข้ารหัส การใช้เลขสุ่มที่คาดเดารูปแบบได้ อาจทำให้เกิดการโจมตีการเข้ารหัส ฮาร์ดแวร์สร้างเลขสุ่มส่วนมากใช้สัญญาณรบกวนภายนอกเป็นแหล่งข้อมูล (entropy) สร้างเลขสุ่ม (อ่านบทความเรื่องเลขสุ่มได้ที่นี่)

Cloudflare เปิดเผยผ่านบล็อกว่ามีโคมไฟลาวาจำนวนมากติดไว้ที่ผนัง และมีกล้องจับการเคลื่อนที่ของลาวาในโคมไฟ ซึ่งทั้งการเคลื่อนที่ของลาวาและสัญญาณรบกวน (noise) จากเซนเซอร์กล้อง จะกลายเป็นหนึ่งในแหล่งข้อมูลสำหรับสร้างเลขสุ่ม

Cloudflare ประกาศเปิดตัวฟีเจอร์ใหม่ในด้านการสตรีมมิ่งวิดีโอในชื่อว่า Cloudflare Stream ซึ่งเป็นบริการเฉพาะสำหรับเว็บไซต์หรือแอพที่ต้องการทำธุรกิจด้านการโฮสต์ติ้งและสตรีมมิ่งวิดีโอ โดยออกมาเพื่อแก้ปัญหาของบริการสตรีมมิ่งวิดีโอที่ยังไม่มีบริการจัดการที่มีฟังก์ชันครบครันในที่เดียว

Cloudflare ประกาศเลิกเก็บเงินลูกค้าที่ถูก DDoS ในอัตรา surge pricing ซึ่งจะเก็บกับผู้ใช้ที่ถูกโจมตีด้วย DDoS อย่างหนัก โดยจะมีผลกับลูกค้า Cloudflare ทุกคน

Matthew Prince ซีอีโอ Cloudflare ให้เหตุผลที่ตัดสินใจเลิกเก็บเงินผู้ใช้ในอัตรา surge pricing ว่า ระบบทั้งหมดนั้น Cloudflare สร้างขึ้นมาเอง ฉะนั้นบริษัทไม่ได้มีค่าใช้จ่ายเพิ่มเติมแม้ว่าจะมีการโจมตีที่มีความรุนแรงเพิ่มขึ้นก็ตามที การเก็บเงินกับลูกค้าในค่าใช้จ่ายที่ไม่เกิดขึ้นจริงนั้นไม่สมเหตุสมผล ซึ่งในตอนแรกที่เก็บเนื่องจาก Cloudflare มีความกังวลเรื่องนี้ แต่จนตอนนี้ก็พบว่าไม่มีการโจมตีขนาดใหญ่มหึมาขนาดนั้น

ดีเบตแบนคอนเทนต์ขวาจัดยังไม่จบ หลังจากเว็บ Daily Stormer ที่ถูกเรียกว่าเป็นของกลุ่มนาซีใหม่ (neo-Nazi) ถูกปิดโดย GoDaddy ขณะที่ Discord ก็ปิดเซิร์ฟเวอร์แอคเคาท์ของ alright.com ตามด้วย Crowdfunding ที่ทยอยต้านเว็บขวาจัด

Cloudflare ผู้ให้บริการ CDN รายใหญ่ซึ่งได้มาทำ peering ในไทยไว้กับ JasTel ตั้งแต่เมื่อกลางปีที่แล้วนั้น ที่ผ่านมาไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพนัก เนื่องจากแทนที่การเข้าใช้งานจากในไทยจะจบในไทยดังที่มุ่งหวังไว้ ส่วนใหญ่ผู้ใช้บริการในไทยกลับต้องวิ่งไปจบที่ปลายทางที่สิงคโปร์หรือฮ่องกงแทน ซึ่งทำให้มีข้อเสียในเรื่องของการที่ต้องใช้แบนด์วิธต่างประเทศ ซึ่งก็มักจะมีราคาแพงกว่าแบนด์วิธในประเทศอยู่หลายเท่าตัว โดยเฉพาะสำหรับลูกค้าองค์กรที่ใช้บริการอย่าง Leased Line หรือ MPLS หรือ MetroNet

Cloudflare เปิดตัวบริการใหม่ Argo ที่เปรียบเทียบตัวเองว่าเป็นเหมือนแอพ Waze ที่ช่วยวิเคราะห์สภาพจราจรแบบเรียลไทม์ แต่เปลี่ยนจากท้องถนนมาเป็นลิงก์อินเทอร์เน็ตแทน

ที่ผ่านมา การเลือกเส้นทาง (routing) ของอินเทอร์เน็ตอยู่บนเทคโนโลยีอย่าง BGP (Border Gateway Protocol) ที่เริ่มเก่าแล้ว มันไม่ได้ออกแบบมาสำหรับเครือข่ายในปัจจุบันที่ใหญ่และซับซ้อนมาก

แต่เนื่องจาก Cloudflare เป็น CDN รายใหญ่ มองเห็นทราฟฟิกอินเทอร์เน็ตสัดส่วน 10% (ของ HTTP/HTTPS) และเก็บสถิติเหล่านี้มาโดยตลอด รู้ว่าตอนไหนเส้นทางไหนมีปัญหาหรือมีทราฟฟิกคับคั่ง ส่งผลให้ Cloudflare Argo ที่มีฟีเจอร์ Smart Routing จึงสามารถเลือกเส้นทางที่ดีกว่า BGP แบบดั้งเดิมได้ การเรียกใช้งานเว็บไซต์จึงรวดเร็วและสม่ำเสมอมากขึ้น

Cloudflare ผู้ให้บริการ CDN และ DDoS Protection สำหรับเซิร์ฟเวอร์ เปิดตัวบริการใหม่ Orbit สำหรับป้องกันการยิง DDoS ใส่อุปกรณ์ IoT ที่กำลังได้รับความนิยมมากขึ้นเรื่อยๆ

Cloudflare บอกว่าโมเดลการอัพเดตแพตช์ความปลอดภัยในโลกของพีซี (เช่น Patch Tuesday ของไมโครซอฟท์) ไม่สามารถนำมาใช้กับโลกของ IoT ได้ เพราะผู้ผลิตอุปกรณ์ IoT ไม่มีแรงจูงใจในการออกแพตช์ และอุปกรณ์ IoT หลายประเภทก็ต้องทำงานตลอดเวลา ไม่สามารถหยุดมันเพื่ออัพเดตแพตช์ได้ ผลคือเราเห็นข่าวอุปกรณ์ IoT ถูกแฮ็กและนำมาใช้เป็น Botnet อยู่เรื่อยๆ

CloudFlare ได้พบกับบั๊กที่ทำให้ข้อมูลสำคัญรั่วไหลจากเว็บไซต์ที่ฝากไว้ หรือ Cloudbleed ตอนนี้กำลังอยู่ในขั้นตอนการสืบสวน โดย CloudFlare ก็ได้ประกาศข้อมูลออกมาเพิ่มเติมเกี่ยวกับผลกระทบจากบั๊กดังกล่าว

CloudFlare ประมาณการว่า บั๊กดังกล่าวน่าจะทำให้ข้อมูลรั่วไหลไปแล้วประมาณ 1,242,071 ครั้ง ในช่วงวันที่ 22 กันยายน 2016 - 18 กุมภาพันธ์ 2017 โดยเฉพาะในช่วงเดือนกุมภาพันธ์ที่ parser แบบใหม่ซึ่งเป็นสาเหตุของปัญหานี้ได้เริ่มใช้กันอย่างแพร่หลายแล้ว

CloudFlare บริการ CDN ชื่อดังได้เปิดเผยบั๊กล่าสุด ซึ่งเป็นบั๊กที่มีความเสี่ยงจะทำให้ข้อมูลสำคัญอย่างรหัสผ่าน, คุกกี้ และโทเคนสำหรับการยืนยันตัวตนรั่วไหลจากเว็บไซต์ของลูกค้าได้ ทำให้ผู้ที่ค้นพบช่องโหว่นี้สามารถเก็บข้อมูลส่วนตัวที่ถูกเข้ารหัสแล้วได้ รวมถึงข้อมูลบางอย่างจะถูกแคชไว้ด้วยเสิร์ชเอนจิน ทำให้แม้ว่าหลังจาก CloudFlare จะแก้ปัญหาเองแล้วก็จะต้องขอความร่วมมือกับผู้ให้บริการเสิร์ชเอนจินในการล้างข้อมูลเหล่านี้ด้วย

ผู้เขียนพบว่าเช้านี้บางโดเมนที่ฝาก DNS ไว้กับ CloudFlare ถูกชี้ไปยังเว็บสแปม โดยจะเกิดขึ้นเฉพาะกับ Record ที่ตั้งค่าให้วิ่งผ่าน CloudFlare CDN เท่านั้น จากการพูดคุยเบื้องต้นกับทีมผู้เชี่ยวชาญ คาดว่าปัญหาเกิดจากระบบ Cache ของทาง CloudFlare ถูกเจาะ พร้อมแนะนำให้ย้ายโดเมนออก หรือตั้งค่า DNS เป็นแบบ DNS Only ชั่วคราวเพื่อหลีกเลี่ยงปัญหานี้

เบื้องต้นผู้เขียนได้ทำการติดต่อ CloudFlare เป็นที่เรียบร้อยแล้ว หากมีความคืบหน้าจะมารายงานให้ทราบต่อไป

ภาพการทดสอบ curl -i และ dig เว็บที่ได้รับผลกระทบ

หลังแฮกเกอร์ปล่อยซอร์สโค้ดมัลแวร์ Mirai ตอนนี้ Cloudflare ก็ออกมารายงานว่ามีการโจมตีจากมัลแวร์ตัวนี้อย่างต่อเนื่อง

มัลแวร์ Mirai มีความร้ายแรงในการโจมตีหนักว่า botnet อื่นๆ เพราะมันส่งข้อมูล HTTP โดยตรง ไม่ใช่เพียง TCP SYN/ACK, NTP, หรือ DNS ตัวอย่างการโจมตีของ Cloudflare แสดงการส่ง HTTP GET ขนาดถึง 800KB เพื่อโจมตีเซิร์ฟเวอร์

ทาง Cloudflare ไล่ตามมัลแวร์เหล่านี้พบว่ามันมาจากเวียดนามเป็นส่วนใหญ่ เมื่อตรวจสอบบางเครื่องพบว่ามันเป็นระบบกล้องวงจรปิดที่เปิดเว็บเอาไว้

Cloudflare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ มีอายุครบรอบ 6 ปี ในวันที่ 27 กันยายนที่ผ่านมา โดยในปีนี้ Cloudflare ได้มีการปรับโลโก้ใหม่ ลดทอนมิติลงเหลือเพียงเมฆสองสีเท่านั้นและยกเลิกตัวเอฟพิมพ์ใหญ่ "F" ในชื่อ CloudFlare มาใช้เป็นเอฟพิมพ์เล็กแทน Cloudflare

ในส่วนของผลิตภัณฑ์ได้เพิ่ม 2 ผลิตภัณฑ์ใหม่คือ Traffic Manager ซึ่งเป็นการขยายการทำงาน DNS ของ Cloudflare ให้จัดการได้มากขึ้น กับ Traffic Control เป็นตัวป้องกันการโจมตีโดยมีจุดมุ่งหมายทำให้ระบบไม่สามารถให้บริการได้ (Denial of Service) โดยทั้งสองผลิตภัณฑ์เปิดให้ทดสอบในรูปแบบ Early Access แล้ว สามารถลงทะเบียนแสดงความสนใจได้ที่ลิงค์ท้ายข่าว