V úterý 18.11. jsem spokojeně seděl u počítače a užíval si skutečnosti, že všechno funguje (zejména pak ale konečně fungoval jeden kus kódu, nad kterým už jsem předtím strávil pár týdnů). To je ovšem příliš krásný stav na to, aby vydržel déle než pár desítek minut. A vskutku, během chvíle mi přistál v poště jakýsi varovný e-mail. Podle předmětu to vypadalo na výpadek služeb platební brány Comgate, kterou používám na svém e-shopu s knihami.
Aha, asi tam mají nějaký lokální problém, pomyslel jsem si.
Nebyl to lokální problém. Byl to globální problém, který sestřelil nezanedbatelnou část světového internetu. Už je to zase vyřešeno, ale stejně se i tak můžeme podívat na to, co se tedy stane, “když deštník selže”.
Jednou z dvojsečných zbraní moderního internetu je skutečnost, že posílat po něm data je “skoro zadarmo”. Na rozdíl od papírového dopisu, který momentálně u České pošty vyjde na zhruba třicet korun, můžete po většině připojení (výjimkou jsou hlavně mobilní data) posílat celá kvanta požadavků, aniž by vám dorazil účet za tisíce korun.
Za normálních okolností je to fajn, ale některé okolnosti (a ostatně ani někteří lidé) zas tak normální nejsou, a tato nízká cena provozu umožňuje celkem levně provést útok, který v jiných kontextech skoro neznáme: prostě tu svoji oběť (cílový stroj) začnete bombardovat požadavky tak intenzivně, že ji úplně zahltíte. Taková přetížená služba přestane být schopna odpovídat jiným, legitimním požadavkům. A proto se tomuto útoku anglicky říká Denial of Service (DoS), což se obvykle do češtiny ani nepřekládá. Veteráni IT mají tendenci tuto zkratku používat i jako sloveso, například “zadosoval jsem ho”.
I lumpárny je potřeba dělat s použitím mozku, jinak by nefungovaly. Kdybyste to bombardování požadavky prováděli jenom ze svého vlastního počítače, brzy vás někdo odřízne – buď váš poskytovatel připojení, nebo správci různých firewallů a routerů na opačné straně útoku.
Dá se to ovšem obejít: napsat si speciální malware – virus – a s jeho pomocí infikovat co nejvíce počítačů jiných lidí; běžně se těm nakaženým počítačům říká zombie a celé jejich síti pak botnet. Pak všem těm svým zombiím vydáte na dálku rozkaz, aby začaly tímto způsobem útočit na vybraný cíl. Tisíce počítačů naráz, navíc rozmístěných všude možně po planetě, se blokují podstatně hůře, než počítač jeden. To je vyšší úroveň útoku, zvaná Distributed Denial of Service (DDoS), a je to reálné a vážné riziko dnešní globální počítačové sítě.
Mimochodem, ptáte-li se, proč se takové věci vůbec dělají: z mnoha důvodů. Jedním z nich je komerční vydírání (“pošlete bitcoiny, jinak nepřestaneme”), jiným je snaha odvést pozornost od nějakého jiného útoku, který se potichu odehrává na jiném konci napadené infrastruktury (aneb mají-li admini plné ruce práce s hašením požáru v jednom místě, třeba si nevšimnou plamínků vyšlehávajících někde jinde), znepřátelené státy se tímto způsobem “oťukávají”. Někdo takové věci také dělá “jen pro radost”, v podstatě jako vandalismus. Každopádně nejde vůbec o okrajový jev, bohužel.
V uplynulých cca 15 letech se jako nejlepší ochrana proti útokům DDoS vyprofilovala obří firma Cloudflare, které můžete dát svůj web “pod křídla”, a ona, sbírajíc informace o aktuálním dění z celého světa, dokáže ty útočníky odříznout i v případě, že ten jejich zástup zombií (botnet) je opravdu velký.
Zní to jako monopolní pozice, která se dá snadno (třeba politicky) zneužít, ale zakladatel a ředitel Cloudflaru, programátor Matthew Prince, měl k těmto štvanicím vždycky negativní vztah a odmítal se připojit k různým politickým perzekucím i v těch nejhorších dobách (cca 2021-2022). Nedá se říci, že by Cloudflare neblokoval stránky nikdy, na jejich černé listině se ocitlo například nacistické periodikum Stormfront. Ale celkově vzato s tím “červeným tlačítkem” vždycky zacházeli velmi opatrně a střídmě, za což jim – na rozdíl od Facebooku a spol. – patří adekvátní respekt a dík.
Vědomá cenzura ovšem není jediné riziko internetu. Průšvih lze způsobit i neúmyslně, a to, co se stalo v úterý odpoledne, byl kolaps části samotného Cloudflaru. Celá legrace začala krátce před 14:00 středoevropského času a situace se vrátila k normálu o pár hodin později (kompletní časový žebříček najdete zde).
Šílená škála celého problému byla dána zejména tím, jak Cloudflare vůbec technicky funguje. Svěříte-li totiž svůj server do jeho ochrany, musíte jej překonfigurovat tak, že bez samotného Cloudflaru nejen, že není chráněný proti DDoS útokům, ale nefunguje vůbec. Tím pádem ten Cloudflare v okamžiku, kdy sám vypadl, podťal i všechny ty chráněné služby, asi jako byste podsekli kosou nějaký trs nevinného jetele. A přestalo fungovat kdeco, včetně nákupu Zapomenutých příběhů a tisíců dalších webů, od těch banálních až po poměrně důležité.
No, je vyřešeno, ale jednou přijde další podobná krize. Slyšel jsi, milý čtenáři, někdy o nějakém Cloudflaru? Nejsi-li zrovna z IT fochu, nejspíš nikoliv. Ale on o tvých datech a službách slyšel… A takových monopolů, skoro-monopolů a kvazi-monopolů je v tom digitálním světě podstatně víc.
Po většinu času fungují a nevšímáme si jich. Ale občas se připomenou, a to pak většinou bolí.
Diskusní fórum k článku najdete zde.
Hudební epilog
