Hlavní navigace

Co všechno se rozbije, až se Rusko odpojí od internetu?

Petr Krčmář

Rusko má v plánu ostrý test, během kterého se odpojí od globálního internetu. V plánu je vyzkoušet ostrovní provoz, který by se dal použít v případě velkého internetového útoku. Co všechno se v odříznuté síti rozbije?

Doba čtení: 8 minut

Sdílet

Rusko se plánuje experimentálně na omezenou dobu odpojit od globálního internetu. Cílem je zjistit, jaký bude mít toto odpojení reálný dopad na provoz uvnitř odpojené sítě. Jde o střípek v mnohem širším plánu, který počítá s větší nezávislostí ruské sítě. Ta by se tak mohla v případě akutního ohrožení od zbytku světa odpojit a běžet nějakou dobu samostatně.

S něčím podobným počítá také projekt Fenix (původně Bezpečná VLAN), který provozuje neutrální peeringový uzel NIX.CZ. V projektu je v současné době zapojeno 22 sítí, které splňují přísná bezpečnostní pravidla a mohou si vzájemně důvěřovat. V případě opravdu intenzivního ohrožení by se tato část sítě mohla oddělit a stát se ze zbytku internetu nedosažitelnou.

Ostrovní provoz

Tomuto krajnímu řešení se říká „ostrovní provoz“ – část sítě se stává ostrovem bez možnosti kontaktování zvenčí. To samozřejmě platí i obráceně, uživatelé uvnitř této sítě nemohou kontaktovat jiný počítač ve zbytku internetu.

Přináší to sice velké omezení, ale část zdrojů uvnitř sítě by měla zůstat dostupná. Běžným sítím s koncovými zákazníky se daří přes NIX vyřídit 60 až 70 % veškerého provozu, jen ten zbytek musí získat od nějakého zahraničního poskytovatele připojení, vysvětluje Adam Golecký, ředitel sdružení NIX.CZ. V projektu Fenix je ovšem zapojena jen hrstka sítí a chybí státní instituce a velcí mezinárodní hráči. Počet dostupných sítí by tedy byl po odpojení velmi malý, ve skutečnosti ale nevíme, co přesně by se se službami stalo.

V českém prostředí nikdo zatím nic podobného nezkoušel, probíhaly jen menší pokusy, ale nikdy ne úplné odpojení. Dělali jsme zkoušky na virtuálních serverech, ale nikdy ne takto ve skutečném provozu, vysvětluje Ondřej Filip, předseda představenstva sdružení NIX.CZ. Ruský pokus jej zajímá a považuje jej za užitečný. Nevidím nic negativního ve snaze zjistit, jakou závislost máme na okolí.

Podobný pokus je už dlouho v plánu také uvnitř projektu Fenix, nikdy jej ale nikdo nedotáhl do konce. Ve Fenixu máme DNS servery, route servery a další kritické prvky. Přesto stoprocentně nevíme, jestli by to opravdu fungovalo, vysvětluje Ondřej Filip. Nedokáže si ale představit test v takovém rozsahu, v jakém jej plánuje Rusko. Ruský způsob je drsný, náš test by měl být co nejméně invazivní. Žádný komerční poskytovatel nikdy nic neodpojí, pokud mu to nepřikáže regulace shora.

Přesto je podle Ondřeje Filipa nutné alespoň v omezené míře odpojení vyzkoušet, abychom znali chování takové sítě předem. Potřebujeme zjistit, jestli jsme nevymysleli Fenix, který stejně nedává smysl a v ostrém provozu nebude fungovat, říká Filip. Není ostrovní provoz uvnitř odříznuté sítě jen iluzí? My si myslíme, že ne. Ale musíme to vyzkoušet.

Co všechno se rozbije?

Internet je dnes propojený více, než si můžeme myslet. Používáme spoustu služeb a infrastruktur, které leží mimo hranice našeho státu. Internet je dnes tak složitý a provázaný, že není snadné domyslet všechny důsledky. Bez reálného testu se prakticky nedá domyslet, co všechno se rozbije, říká Ondřej Filip.

Svět je dnes provázaný, běžně používáme služby napříč sítěmi a ani si to neuvědomujeme. Vazeb je dneska strašně moc díky různým službám, API a podobně. Může se stát, že nějaké významné weby mají závislosti, o kterých jsme netušili, dodává Filip.

Stačí si vzpomenout na to, když v roce 2016 na dvě hodiny lokálně vypadl Google a z hlediska uživatelů se jednoduše rozbil internet v Evropě. Nebylo například možné používat daňové formuláře na webu Ministerstva financí, protože odeslání čekalo na vyplnění reCAPTCHA. Je správné mít kritické služby takto závislé na systémech běžících v jiné jurisdikci?

Které to ale jsou? Co všechno se rozbije a jak to opravit? Dají se některé závislosti vůbec odstranit? Na tohle dokáže skutečně odpovědět jen ostrý test. Zkusme zatím alespoň teoreticky odhadovat, v jakých oblastech by mohly problémy nastat.

DNS

Zřejmě vás jako první napadla služba DNS, která je závislá na kořenových serverech. Ty jsou na úplném vrcholu DNS stromu a obsahují informace o delegacích na další servery v nižších úrovních. Tedy kde leží informace o zóně .CZ, kde o .SK a podobně. Pokud tyto informace nemáme, neznáme adresu dalších serverů v pořadí a nemůžeme se jich tedy zeptat, byť by byly během ostrovního provozu stále dostupné.

Tento problém prý Rusové už před lety vyřešili vytvořením vlastní záložní DNS infrastruktury, která je nezávislá na té globální. V Moskvě, Petrohradu, Jekatěrinburgu a Novosibirsku jsou umístěny servery s vlastní kopií kořenové zóny, které budou dostupné i po odpojení od zbytku DNS infrastruktury. Jedná se o kopie globálních kořenových serverů F, I, J, K a L.

Uživatelé se tedy dostanou ke kořenové zóně. Problém ovšem může nastat u služeb, které mají doménu v jiné TLD než v té ruské. Nemusíme chodit příliš daleko, například oficiální web datoveschranky.info také leží mimo naši národní zónu. Naštěstí jde nakonec jen o informační web a k datové schránce se dostanete přes doménu mojedatovaschranka.cz.

RPKI a IRR

Problém nastane nepochybně také v přístupu k IRR databázím (Internet Routing Registry) a archivům ROA (Route Origin Authorization) záznamů systému RPKI (Resource Public Key Infrastructure). Ty se používají pro určení, které IP adresy patří kterým autonomním systémům a používají se pro automatické nastavení filtrů na straně tranzitních operátorů a peeringových center. Účelem těchto filtrů je znesnadnit únos cizích IP adres.

Dlouhodobý výpadek přístupu k IRR databázím a ROA záznamům by znamenal podle konkrétního nastavení buď ztrátu této ochrany (soft-fail scénář), nebo přerušení peeringu či tranzitu (hard-fail scénář). Pro IRR databáze lze zřídit zrcadlo uvnitř ostrovního provozu a filtrovat podle něj, pro ROA záznamy je situace složitější.

Tyto záznamy se totiž synchronizují protokolem rsync z úložišť uvedených v příslušných RPKI certifikátech. Je to tedy zejména pětice úložišť provozovaných regionálními registry a případně i některá další úložiště velkých LIRů. Jediná možnost tedy spočívá v zrcadlení obsahu úložišť a následném unesení jejich adres dovnitř ostrovního provozu.

V každém případě bude v ostrovním provozu prakticky nemožné provádět jakékoli změny ve vlastnictví IP adres či příslušnosti k autonomním systémům, ani změny velikosti ohlašovaných prefixů, leda že by vznikla autonomní databáze a RPKI autorita uvnitř ostrovního provozu.

Certifikační autority

Větším oříškem budou certifikační autority, které budou pro uživatele uvnitř ostrovního provozu nedostupné. Znamená to například, že si nevygenerujete důvěryhodný certifikát od Let's Encrypt ani se nedohodnete s další zahraniční autoritou.

Viděli jsme, jak to nedávno vypadalo ve Spojených státech, když byli kvůli problémům s financováním úředníci doma. Certifikáty na webech vypršely a kvůli zapnutému HSTS se nebylo možné na dané weby dostat. Pokud se tohle stane uvnitř ostrovní sítě, má správce dané služby vážný problém. Bez možnosti komunikace s autoritou se mu nepodaří certifikáty obnovit.

Uživatelé zároveň nebudou schopni stahovat CRL seznamy a kontaktovat OCSP respondéry kvůli ověření revokace daného certifikátu. To může opět vyústit v problém s nedostupností dané služby.

Řešení to ovšem má: zřídit důvěryhodnou certifikační autoritu sídlící v daném státě a používat ji pro kritické státní systémy. V praxi je s tím ovšem potíž: ani Rusko, ani Česko takovou důvěryhodnou autoritu nemají a musí se spolehnout na zahraniční spolupráci.

Analytické služby

Velká část webů dnes používá nejrůznější analytické nástroje, které dokáží měřit spoustu věcí: návštěvnost, používanost jednotlivých prvků, čas strávený na konkrétní části stránky a podobně. Velká většina jich běží v zahraničí, ať už je to Google Analytics nebo třeba český NetMonitor, který jako oficiální český zdroj dat o návštěvnosti provozuje SPIR, ale realizuje jej polská společnost Gemius.

Nedostupnost těchto služeb by sice neměla webovou službu zastavit, ale i to se stává. Prohlížeč čeká na načtení analytického nástroje a obsah se nezobrazuje. Buď se nenačte vůbec nebo čekání zpomalí daný web tak, že je prakticky nepoužitelný.

Tohle je jedna z málo prozkoumaných oblastí, jejíž dopad se projeví až při ostrém testu.

Služby třetích stran

Největším kamenem úrazu jsou ovšem služby třetích stran, které jsou dnes mnoha různými způsoby používány po celém webu. Může jít o vkládání různých objektů do stránky – například zmíněnou službu reCAPTCHA. Stejně tak například přihlašování pomocí sociálních sítí, používání fontů, načítání stylů, stahování statického obsahu pomocí CDN a různé podobné služby.

Samostatnou kapitolou jsou různé cloudové služby, na kterých dnes běží kompletní portály. Jakmile jsou nedostupné sítě Google, Amazonu či Microsoftu, přestanou rázem fungovat celé domény, firmám nechodí pošta a pro uživatele se internet stává mrtvým místem. Samostatnou kapitolu pak tvoří reverzní proxy jako CloudFlare, které jsou před mnoha službami a přestože je fyzicky server umístěn uvnitř odpojené sítě, bez přístupu k proxy se z něj stejně nic nenačte.

Google například na svém cloudu hostuje spoustu populárních javascriptových knihoven, včetně jQuery. Tohle může úplně stačit k zablokování služby – stránka se sice načte, ale menu nefunguje, protože je napsáno pomocí JavaScriptu.

Nemusí přitom jít jen o služby přímo spojené s weby, ale také služby v obecnějším slova smyslu. Platby kartou, bankovní převody a další podobné služby, které sice provádějí operace uvnitř země, ale ve skutečnosti jsou závislé na systémech běžících někde v zahraničí. Stejně tak bezpečnostní záplaty operačních systémů či aplikací, synchronizace kalendářů a dalších podobných služeb. Dalo by se toho pravděpodobně najít ještě spoustu.

Bude to zajímavý experiment

Podobných oblastí je celá řada a nenapadnou vás. Novinářka Kashmir Hillová si před časem cíleně odřízla přístup k velkým službám jako Google, Amazon, Facebook, Microsoft a Apple a zjistila, že přestalo fungovat všechno. Neobjednala si taxík, protože aplikace Uber používá mapy od Google. Nepustila si hudbu, protože Spotify hostuje soubory na Google Cloudu. Neprohlédla si fotky pokojů na Airbnb, nepřečetla si New York Times, nestáhla soubory z DropBoxu a dokonce se nepřihlásila do redakčního systému.

Svět je propojený takovým způsobem, že si to v běžném životě ani neumíme představit. Právě proto bude velký ruský experiment technicky velmi zajímavý, protože nám ukáže, co všechno nefunguje. Mohl by být velkým poučením pro zbytek světa, který by si mohl uvědomit, kde všude používáme cizí systémy. Navíc často zbytečně.