Názory k článku
Dnešní výpadek Cloudflare byl způsoben aktualizací kvůli React2Shell
-
Filip JirsákStříbrný podporovatelO pět zpráviček níž máte zprávičku o rekordním DDoS útoku – vedeném shodou okolností i proti infrastruktuře Cloudflare, která ho dokázala ustát. Pokud chcete DDoS útokům bránit u cíle, ne u zdroje, nic jiného než centralizace vám nezbývá.
Mimochodem, to, že je internet od základu necentrální, není tak docela pravda. Některé aspekty internetu byly navržené tak, aby umožňovaly decentralizaci.
Dokud budeme chtít, aby na internetu platilo minimum pravidel a regulací, bude na něm platit právo silnějšího. A právo silnějšího vždy vede k centralizaci.
-
radekmStříbrný podporovatel> Pokud chcete DDoS útokům bránit u cíle, ne u zdroje, nic jiného než centralizace vám nezbývá.
Ani společnost jako Cloudflare to nemusí ustát.
Lepší by bylo nějak upravit protokoly, aby takovéhle společnosti nebyly potřeba. Třeba, kdyby se za každý request muselo zaplatit velmi malé množství peněz, které by pak server mohl vrátit, pokud si myslí, že request je ok. To by od takových DDoS útoků odrazovalo, nebo by ty peníze sloužily jako kompenzace.
-
Filip JirsákStříbrný podporovatel
Ani společnost jako Cloudflare to nemusí ustát.
Což je nerelevantní. Relevantní je to, že to ustojí lépe a častěji, než malí poskytovatelé. A z principu DDoS ustojí lépe ti největší poskytovatelé, protože jediný způsob, jak ustát DDoS útok, je mít tlustší linku, než jakou dokáže útočník zahltit. To je podmínka nutná.Lepší by bylo nějak upravit protokoly, aby takovéhle společnosti nebyly potřeba.
Klíčové je to „nějak“. Taky by bylo lepší „nějak“ zařídit, aby lidi nemuseli pracovat a jídlo a zábava se „nějak“ vyráběly samy. Akorát pořád nikdo nepřišel na to, co má být to „nějak“.Třeba, kdyby se za každý request muselo zaplatit velmi malé množství peněz, které by pak server mohl vrátit, pokud si myslí, že request je ok. To by od takových DDoS útoků odrazovalo, nebo by ty peníze sloužily jako kompenzace.
Aby něco takového fungovalo, musel by to, že je paket zaplacený, ověřovat každý uzel po cestě. Dejme tomu, že by existovala nějaká technologie, která by umožnila to, že já tady zaplatím a instantně bude možné na druhém konci světa ověřit, že jsem zaplatil. Budu počítat s absolutně nereálným scénářem, že by o ověření platby bylo jen 1000× náročnější, než běžné směrování paketu. Pak by to ale také znamenalo, že by k vyrobení stejně silného DDoS útoku stačil 1000× menší provoz, 1000× méně zapojených zařízení. A nebo, že byste se stejným počtem zapojených zařízení vyrobil 1000× silnější útok. Ne, to není dobrá cesta. -
radekmStříbrný podporovatel
> Pak by to ale také znamenalo, že by k vyrobení stejně silného DDoS útoku stačil 1000× menší provoz, 1000× méně zapojených zařízení.
Ale pak by ta zařízení musela platit. A pokud by neplatila, tak by se ty pakety k cíli nedostaly. Takže buď by byl útok s méně zařízeními, ale stál by asi více peněz, nebo by útok nebyl, protože by ty pakety nedošly.
> Dejme tomu, že by existovala nějaká technologie, která by umožnila to, že já tady zaplatím a instantně bude možné na druhém konci světa ověřit, že jsem zaplatil. Budu počítat s absolutně nereálným scénářem, že by o ověření platby bylo jen 1000× náročnější, než běžné směrování paketu.
Směřování paketu trvá 1 mikrosekundu a digitální podpis třeba 300 mikrosekund. Takže v principu by to mohlo fungovat.
-
Filip JirsákStříbrný podporovatel
Ale pak by ta zařízení musela platit.
Dneska DDoS útoky nezpůsobují zařízení útočníka, ale útočníkem ovládnutá cizí zařízení, jejichž majitelé nic netuší. Takže by platila ta zařízení.Směřování paketu trvá 1 mikrosekundu a digitální podpis třeba 300 mikrosekund. Takže v principu by to mohlo fungovat.
Ne, ověření digitálního podpisu fakt není tak rychlé. On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu. Ale to se dá třeba technicky nějak vyřešit, používat větší pakety. Ale aby to vůbec mohlo nějak fungovat, musely ty platby podepisovat nějaké banky, které by svým podpisem ručily za to, že vůbec máte dostatek peněz na účtu. Takže byste každé odeslání paketu neuvěřitelně zdržel komunikací s bankou. (Navíc byste s bankou musel komunikovat nějakým jiným médiem než internetem.) A pak by každý router po cestě musel ověřovat ten podpis banky a ještě ověřovat, že podpisový klíč banky nebyl odvolán. Dejme tomu, že by se to dovolání nemuselo řešit online, byla by povinnost třeba do hodiny přestat takovému klíči důvěřovat. Přesto byste musel u každého paketu ověřit podpis a ještě vyhledat certifikát – zda je mezi platnými nebo zda není mezi odvolanými.Ten tisícinásobek, co jsem psal, to bylo jen vystřelené číslo, které bude řádově na bezpečné straně odhadu.Ve skutečnosti by to bylo třeba milionkrát náročnější, než směrování paketu.
Problém je, že tam máte jeden bod, který může selhat a vezme sebou víc služeb než DDoS. Navíc velkých společností je méně, takže je méně konkurence.
Jenže ve výsledků je těch výpadů daleko méně a je to daleko levnější, než kdyby si to každý provozoval sám. -
radekmStříbrný podporovatel
> Ne, ověření digitálního podpisu fakt není tak rychlé.
To se pletete.
> On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu.
Ano, celé by se to asi muselo udělat jinak. Ideálně, aby za tím nestály banky nebo jiné centralizované instituce, protože to nic neřeší. Třeba by k tomu šlo využít technologie kolem kryptoměn.
> Dneska DDoS útoky nezpůsobují zařízení útočníka, ale útočníkem ovládnutá cizí zařízení, jejichž majitelé nic netuší. Takže by platila ta zařízení.
Možná by to ty majitele motivovalo to začít řešit. Nebo by si toho alespoň všimli.
-
Filip JirsákStříbrný podporovatel
To se pletete.
Ne, to se nepletu.Třeba by k tomu šlo využít technologie kolem kryptoměn.
Víte, jak dlouho trvá, než se transakce zapíše do blockchainu? Alespoň s nějakou minimální dávkou jistoty? Bitcoinová síť to udržuje na deseti minutách. Chcete čekat deset minut pokaždé, když napíšete do adresního řádku prohlížeče adresu nebo kliknete na odkaz na jiný web? Pokud byste chtěl argumentovat tím, že se to dá zkrátit – zkracováním toho času zdražujete transakce a zvyšujete riziko rozpadu sítě.Jednoduše řečeno – decentralizované je pomalejší než centralizované. Protože u decentralizovaného řešení potřebujete čas na to, aby se informace bezpečně dostala ke všem uzlům sítě.
Možná by to ty majitele motivovalo to začít řešit. Nebo by si toho alespoň všimli.
Nemotivovalo. Protože škodlivý provoz jejich zařízení je miniaturní v porovnání s legitimním provozem. Ani by si toho poplatku nevšimli. -
radekmStříbrný podporovatel
> Ne, to se nepletu.
Třeba implementace https://github.com/dalek-cryptography/ed25519-dalek uvádí pro ověření podpisu cca 40 mikrosekund.
-
Filip JirsákStříbrný podporovatel
Jenomže to je jenom samotné ověření toho, zda podpis sedí k datům. Dále ještě potřebujete ověřit, zda klíč použitý k podpisu byl oprávněn ten podpis vytvořit.
-
Filip JirsákStříbrný podporovatel
Jistě, ale pořád ten klíč v cache musíte najít. Pořád nemáte vyřešeno, jak s tou bankou budete komunikovat. Pořád každé odeslání paketu vyžaduje komunikaci s bankou a podpis toho paketu.
Zkrátka je to nemožné a je to, jako kdybyste vymýšlel perpetuum mobile.
-
radekmStříbrný podporovatel
> Zkrátka je to nemožné a je to, jako kdybyste vymýšlel perpetuum mobile.
To je docela silné tvrzení. Třeba někdo přijde nebo už přišel s nějakým řešením, že to neděláte pro každý paket jednotlivě, ale třeba pro více paketů naráz...
-
Filip JirsákStříbrný podporovatel
To je docela silné tvrzení.
To říkají všichni koumáci, kteří „vynalezli“ perpetuum mobile. Má to jeden drobný problém – že žádné nefunguje.Třeba někdo přijde nebo už přišel s nějakým řešením, že to neděláte pro každý paket jednotlivě, ale třeba pro více paketů naráz...
To byste pak ty pakety také musel naráz ověřovat. Efektivně jste tím jen zvětšil velikost paketu – a jak jsem psal, to je teoreticky možné. Pořád byste ale potřeboval nějaké jiné bezpečné médium, jak komunikovat s bankou. Proč pak to médium nepoužít pro veškerou komunikaci? Pořád byste minimálně pro navázání spojení přidal latenci v podobě komunikace s bankou. Pořád to znamená, že by banky musely být schopné podepsat online veškerý internetový provoz. Víte, kolik provozu takové Cloudflare odbaví? Nebo Yutube?Kromě toho, že je to technicky nemožné, by to navíc ani ničemu nepomohlo. Jak už jsem psal – ty DDoS útoky neprovádějí útočníci ze svých zařízení, ale z botnetů. Tedy z napadených zařízení nic netušících uživatelů. Na tom by se nic nezměnilo.Toho, že zaplatil zlomek své měsíční platby navíc, by si nikdo nevšiml.
-
radekmStříbrný podporovatel
Asi máte pravdu a je to ptákovina. Hlavní důvod je, že to neřeší ten primární problém - centralizaci. Lepší by bylo, kdyby stránky a aplikace už rovnou byly staženy u vás lokálně (ideálně bez zbytečností jako jsou reklamy) - pak by probíhající DDoS vadil mnohem méně.
-
"On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu. Ale to se dá třeba technicky nějak vyřešit, používat větší pakety."
Zvetseni paketu? Ono ani vsechny sitove prvky nedodrzuji velikost co mame dneska. Poslete paket 1024 [B] a nikdy nevite v kolika castech dorazi. A nejlepsi je ze ty casti dorazi v ruznem poradi.
-
radekmStříbrný podporovatel
> Což je nerelevantní. Relevantní je to, že to ustojí lépe a častěji, než malí poskytovatelé. A z principu DDoS ustojí lépe ti největší poskytovatelé, protože jediný způsob, jak ustát DDoS útok, je mít tlustší linku, než jakou dokáže útočník zahltit. To je podmínka nutná.
Problém je, že tam máte jeden bod, který může selhat a vezme sebou víc služeb než DDoS. Navíc velkých společností je méně, takže je méně konkurence.
-
Já vám nechci kazit plány ohledně DDoS ochrany, ale co uděla maximum služeb federovaných, ba dokonce jen peer-to-peer, ano já vím, že jsem s tím otravnej a melu to furt dokola, ale jak uděláte DDoS na lidi, co si píší mezi sebou?
Ten DDoS by musel být asi zrušení všech fyzických připojeních. Když si já přes GNU Jami píši s kamošem, jak mi uděláte DDoS na připojení? Jak by se prováděl DDoS třeba na https://yacy.net/ ?
-
Filip JirsákStříbrný podporovatel
jak uděláte DDoS na lidi, co si píší mezi sebou?
Většina služeb na internetu ale spočívá v něčem jiném, než že si lidi píšou mezi sebou. Třeba takový Root.cz. Nebo weby hostované u Cloudflare. To všechno je jiný princip služeb, než „lidi si píšou mezi sebou“. -
"Taky by bylo lepší „nějak“ zařídit, aby lidi nemuseli pracovat a jídlo a zábava se „nějak“ vyráběly samy. Akorát pořád nikdo nepřišel na to, co má být to „nějak“."
Omlouvám se, že odbočuji od tématu, ale když už jste zvolil tento příklad, vzpomeňte na experiment "myší ráj". Pomocí techniky by se dalo zařídit, aby lidi nemuseli pracovat a jídlo a zábava se vyráběly samy, ale byl by to nejspíš konec lidstva. Vím že byste dokázal vymyslet lepší příklady.
-
Neviděl bych to jako centralizaci, ale spíš monopolizaci. Dokud CloudFlare bude to nejlepší na trhu, jeho pozice bude silná. V momentě, kdy se to začne srát, firmy přejdou k jiným službám. Případně, pokud CloudFlare vznikne adekvátní konkurence.
CloudFlare centralizuje internet by accident, ne by design. -
DannyStříbrný podporovatelVsak "nejlepsi" je takove dost subjektivni, aneb zalezi na metrikach hodnoceni, ktere samozrejme muze mit kazdy jine.
-
Jsem si tak našel wiki: "The Internet has no single centralized governance in either technological implementation or policies for access and usage."
Jo, to je pravda, pokud z toho vyhodíme všechny korporace a služby na nich závislé.
Já už jsem schválně s lidmi okolo sebe přešel na GNU Jami, protože ačkoliv při změně připojení (přechod mezi Wi-Fi, data či vypnutí a zapnutí dat) může být pomalejší, tak ty zprávy se pošlou.
Připojení se realizuje přímo mezi zařízeními. Na synchronizaci dat mám Syncthing, který funguje taky P2P (když padne direct connection, což je pod IPv6 jistota).
Koukám, že stojí za to na peer-to-peer služby tahat stále víc lidí, protože brzo na výpadky velkých korporací budu mít nefunkční mainstream apky snad každý den.
ČLÁNKY DO MAILU