Mity globalnego Internetu
Uff. Udało się przeżyć pierwszą sesję. Można zatem wrócić do blogowania. Zapraszam do lektury :)
Z Internetu korzystamy codziennie. Ta sieć oplata nasze codzienne życie niczym pająk, coraz większą siecią powiązań. Jeszcze niedawno do Internetu podłączone były tylko komputery. Potrafiły one otwierać ubogie strony Internetowe serwowane przez serwery. Modem 56kb/s w swoim czasie był szczytem marzeń. Pojedynczy użytkownik generował bardzo niewielki ruch sieciowy. (Osobiście nie pamiętam tych czasów, ale tak mówi historia :)). Teraz sytuacja diametralnie się zmieniła. Przeglądając Internet, pozostając w kontakcie ze znajomymi na Facebooku, oglądając kotki na Youtubie generujesz ogromne ilości danych. Zróbmy małe porównanie ilości generowanych danych na przestrzeni lat. W 1992 r. na świecie powstawało 100GB danych dziennie. Zaledwie 5 lat później tyle informacji powstawało w godzinę. Trend jest rosnący. Przeskoczmy o kolejne 5 lat – do 2002 roku – generujemy już 100 GB danych na sekundę. A dzisiaj?
Myślę, że powyższy zrzut ekranu wyjaśnia wszystko
Dzisiejszy Internet wywodzi się z ARPANET. ARPANET rodził się w kulminacyjnym momencie zimnej wojny. Amerykanie szukali sposobu na zapewnienie możliwości dowodzenia swoimi oddziałami w przypadku wybuchu wojny nuklearnej. Ówczesne plany – zarówno ze strony Związku Radzieckiego jak i Stanów Zjednoczonych, zakładały natychmiastowy i zmasowany odwet w przypadku wykrycia ataku (plan SIOP-62). W ówczesnym czasie nie istniała praktyczna możliwość obrony przed pociskami balistycznymi. Pierwszym celem ZSRR byłaby z pewnością sieć telekomunikacyjna. (O tym, jak bolesny jest brak łączności przekonaliśmy się osobiście we wrześniu 1939 r.) Sieć ARPANET miała rozwiązać ten problem. Celem projektu było opracowanie mechanizmu, który nie tylko przetrwa pierwsze uderzenie nuklearne, ale także zapewni możliwość dowodzenia ocalałymi oddziałami.
Dlaczego o tym wspominam? Bo dzisiejszy Internet coraz bardziej odbiega od swojego pierwowzoru. Anonimowość, otwartość, darmowość – to były cechy sieci „pasjonatów”, która istniała jeszcze na początku XX wieku. Internet zmienił się wtedy, gdy wziął się za niego biznes, dla którego jedynym celem było zarobienie jak największej ilości pieniędzy.
Mit I – Internet jest niezniszczalny
Jak już wspominałem, do Internetu podłącza się coraz więcej rzeczy. Mowa tu nie tylko o gospodarstwach domowych, ale także o rzeczach bardziej kluczowych dla funkcjonowania państwa. Do Internetu podłączane są całe fabryki (Industrial IOT). Jakie to niesie ze sobą konsekwencje? Nie, nie chodzi tylko o bezpieczeństwo samej fabryki na ataki hakerów. Chodzi o to, że Internet tak naprawdę bardzo łatwo unieruchomić. A wraz z unieruchomieniem Internetu mogą zostać unieruchomione zakłady kluczowe dla prawidłowego działania państwa.
Spójrz na powyższą mapę, która pokazuje podwodne kable łączące sieć Ameryki Północnej i Europy. Kable te znajdują się najczęściej kilkanaście kilometrów pod powierzchnią wody, na dnie oceanu. Ale w dzisiejszych czasach nie stanowiłoby to problemu dla kogoś, kto chciałby te kable uszkodzić. Nie trzeba niszczyć całego przewodu. Wystarczy go uszkodzić w jednym miejscu, a już całe połączenie przestanie działać. Dodatkowo, zlokalizowanie awarii często jest dosyć trudne. Oczywiście, nawet uszkodzenie wszystkich podmorskich kabli nie zerwie całkowicie łączności między kontynentami. Wszak – mamy jeszcze łączność satelitarną. Lecz musimy pamiętać, że pod względem przepustowości cofnęlibyśmy się wtedy do ubiegłego wieku.
Kable telekomunikacyjne mogą zostać uszkodzone także przypadkowo. Grozi to zarówno przewodom podmorskim, położonym na mniejszej głębokości (sieci rybackie, kotwica itd.) jak i kablom biegnącym pod ziemią. W 2011 roku przekonali się o tym Gruzini i Armeńczycy. 75‑letnia staruszka, gruzinka, która chciała sobie dorobić do emerytury, rozpoczęła swoje łowy. Szukała niewinnego, nikomu nie potrzebnego porzuconego złomu. Tymczasem, przekopując obszar poszukiwań, dokopała się do kabla optycznego dostarczającego Internet większej części Armenii. Myśląc, że jest to bardzo cenny dla zbieraczy złomu kabel miedziany, przecięła go łopatą. Tym jednym ruchem łopaty odcięła od Internetu cały kraj!. Ten przykład pokazuje, że Internet w wielu przypadkach można unieruchomić bardzo niewielkim kosztem.
Istnieją także inne możliwości „zaszkodzenia” użytkownikom Internetu. Choć ta, o której teraz wspomnę, jest mało prawdopodobna. Czy wiesz, czym jest system DNS? Korzystasz z niego codziennie, przeglądając swoje ulubione strony. Otóż, DNS odpowiada za przetłumaczenie zrozumiałego dla ciebie adresu – np.: www.google.pl na adres IP, którym posługują się komputery. System DNS jest hierarchiczny. Domeny najwyższego poziomu (.pl, .en, .us) obsługuje 13 głównych serwerów DNS rozsianych po całym świecie. Jeśli w przypadku ataku fizycznego lub hakerskiego te serwery zostałyby unieruchomione, po prostu nie dałoby się przeglądać Internetu. Takie ataki zdarzały się już w przeszłości. Choćby w lutym 2007 roku. Atak rozpoczął się wieczorem 7 lutego i trwał 12 godzin. Atakującym udało się unieruchomić na ten czas dwie maszyny. Ale nie wpłynęło to na użytkowników Internetu. Dlaczego? Główne serwery DNS posiadają swoje „klony”, które są rozsiane po różnych miejscach na świecie. Nawet, jeśli jeden z serwerów zostanie całkowicie unieruchomiony, jego rolę przejmuje inny. Dzięki takiemu zabezpieczeniu ciężko unieruchomić całość infrastruktury DNS.
Mit II – anonimowość
Wkraczając do globalnej sieci, czujesz się anonimowy. Przecież nikt nie wie, co lub kto znajduje się po drugiej stronie ekranu. Jednakże, w rzeczywistości w każdym momencie można cię zweryfikować. Jeśli dbasz o swoją prywatność w Internecie – zadanie to będzie nieco trudniejsze. Jeśli nie – wtedy nikt w zasadzie nie musi się wysilać, aby to zrobić.
Używając Internetu, posiadasz swój unikalny adres IP. Nie ma się co oszukiwać – protokół IPv4, który stanowi ‘serce’ całego dzisiejszego Internetu jest jak na dzisiejsze czasy, po prostu ułomny. ilość adresów IPv4 jest mocno ograniczona i tych adresów nie starcza dla wszystkich. Wobec tego zwykli domowi użytkownicy posiadają łącze z dynamicznie przydzielanym adresem IP. Reset routera powoduje przydzielenie nowego adresu IP. To jest kolejny czynnik, który kreuje złudne poczucie anonimowości. Otóż, twój operator sieci doskonale wie, jaki adres IP przydzielił danemu użytkownikowi w określonym momencie czasu. Wszystko skrzętnie zapisuje się w logach na serwerach operatora. A więc ISP (albo ktoś, kto wepnie się do sieci pomiędzy twój komputer a ISP) wie, jakie strony przeglądałeś. Nie wie jednego – co na nich robiłeś. Dlaczego? Ponieważ większość stron używa dzisiaj protokołu SSL. 4096-bitowy klucz RSA zapewnia na tyle duże bezpieczeństwo, że nikt siłowo nie będzie w stanie odszyfrować transmisji.
Musimy jednak pamiętać o zasadzie, na jakiej wydawane są certyfikaty. Odpowiedzialne są za to urzędy certyfikacji, w których pracują ludzie. A nie wszyscy muszą być uczciwi. Każdy wydawca certyfikatów może wypisać certyfikat na dowolny adres internetowy dowolnego właściciela, służący do dowolnego celu. Jeśli taki urząd certyfikacji wyda „pod naciskiem” fałszywy certyfikat, to żadna przeglądarka ani żaden antywirus nie wniesie alarmu, że wchodzimy na podrobioną stronę. Przykład ten pokazuje, że nie trzeba przeprowadzać siłowego ataku na RSA, aby podsłuchać czyjąś transmisję w Internecie. Wystarczy mieć tylko odpowiednie środki.
Możesz powiedzieć, że istnieje sieć Tor. No, istnieje, owszem. Jednakże, problem z Torem jest podobny jak z urzędami certyfikacji. Żadna „mała rybka” nie ma szans podsłuchać jakiejkolwiek transmisji w sieci Tor. Siła szyfrowania, oraz sama zasada działania sieci uniemożliwiają to. Jednakże, w którymś miejscu ten Tor musi mieć połączenie z właściwym Internetem. I tutaj dochodzimy do sedna problemu. Jeśli ktoś ma dostęp zarówno do wejściowego jak i wyjściowego węzła, to cała zabawa traci sens. Taki „ktoś” będzie mógł bez problemu powiązać daną transmisję z konkretnym użytkownikiem. Wtedy wystarczy tylko pomoc podrobionego certyfikatu SSL, a transmisję będzie można także podsłuchać.
Mit III – Internet jest siecią zdecentralizowaną
Kiedyś może była to prawda. W zamierzchłych czasach, kiedy Internet dopiero się rodził, spora część właścicieli stron miało swoje własne serwery, na których umieszczało swoje witryny. Jednakże musimy pamiętać, że w obecnych jest to biznes nieopłacalny. Taki serwer trzeba zasilać (a prąd kosztuje). Taki serwer trzeba naprawiać (żaden sprzęt nie jest wieczny). Taki serwer w końcu trzeba modernizować (chyba, że nasz serwis WWW odwiedza 100 użytkowników miesięcznie – wtedy nie ma takiej konieczności xD). Pojedynczemu człowiekowi, lub nawet firmie, która nie zajmuje się stricte usługami sieciowymi, często ciężko jest dochować powyżej wymienionych obowiązków. Wobec tego bardzo szybko znaleźli się usługodawcy, którzy specjalizują się tylko i wyłącznie w udzielaniu dostępu do swojej mocy obliczeniowej (oczywiście – za opłatą). Potężne serwerownie zajmujące po kilkanaście pomieszczeń, a nieraz kilka budynków rozlokowane są w kilku miejscach w Europie. Słyszałeś o takiej firmie jak Akamai Technologies? Pewnie nie. A teraz uważaj – serwery firmy Akamai odpowiedzialne są za około 30% ruchu w całej sieci Internet. Podobną część Internetu obsługuje Amazon. Reszta procentów rozchodzi się pomiędzy Microsoft, Google oraz o wiele mniejszych usługodawców krajowych, takich jak nazwa.pl, home.pl czy ovh. Internet jest więc siecią mocno scentralizowaną. W skrajnym przypadku strony pochodzące pozornie z dwóch różnych, całkiem odległych krajów, mogą znajdować się na tym samym serwerze, a nawet na tym samym dysku twardym.
Scentralizowana sieć nie jest zbyt odporna na ataki, zarówno na fizyczne, jak i logiczne. Już kilka razy odbiło nam się to czkawką. Niemal rok temu miała miejsce dosyć poważna awaria w Amazonie, dzięki której nie działała spora część Internetu. Podobnie ma się sprawa z problemami technicznymi mniejszych usługodawców, takich jak OVH. Awaria serwerów OVH położyła na łopatki sporą część polskiego Internetu. Niestety, z powodów ekonomicznych takiej centralizacji nie da się zapobiec. Jest ona niejako „wpisana” w zasady gry, jeśli chcemy, aby Internet był dostępny dla wszystkich mieszkańców Ziemi.
Mit IV – Internet jest odporny na cenzurę
Jest to kolejny nieprawdziwy fakt, który dosyć często słyszę. W rzeczywistości Internet jest tak samo podatny na cenzurę faktów jak każde inne media, takie jak telewizja czy gazety. Cenzurowane mogą być koment
arze na jakimś portalu czy forum. Wtedy odpowiada za to bezpośrednio administrator danego serwisu. Ja też mogę niejako „cenzurować” swój skrawek Internetu, np.: usuwając negatywne komentarze pod tym artykułem.
Ale czy cenzura istnieje jedynie na tym najniższym poziomie? Otóż nie. Blokować dostęp do serwisów internetowych można także na poziomie operatora. Doskonały przykład udanej formy takiej cenzury pokazały Chiny. Wielka Chińska Zapora Ogniowa chroni każdego obywatela ChRL przed zgubnym wpływem zachodniego kapitalizmu. Firewall, stojący niejako na granicy Chin w wirtualnej przestrzeni skutecznie blokuje dostęp do wielu stron internetowych, które są dla nas normalnie dostępne.
Może się wydawać, że wprowadzenie cenzury Internetu na takim poziomie nie jest żadnym problemem. Ci, którzy tak myślą – są w błędzie. Wystarczy kilka reguł na routerach brzegowych danego kraju, aby całkowicie odciąć obywateli od dostępu do światowej sieci. Obecnie widać trend, który wskazuje, że coraz więcej krajów (m.in. Rosja) idzie tą ścieżką. W najbardziej skrajnym wypadku nie będzie globalnego Internetu. Każdy kraj będzie posiadał swój własny „krajowy” intranet, a za przekroczenie wirtualnej granicy państwa być może będziemy musieli zapłacić.
Pewna forma takiego ograniczania wolności dostępu widoczna jest w serwisach VoD. Sporej części polskiego Video on Demand nie zobaczymy, będąc zagranicą. (Na szczęście, za sprawą Unii Europejskiej geoblokady w obecnej formie powinny zniknąć w przeciągu najbliższych lat.)
Mit V – operatorzy kontrolują przepływ ruchu sieciowego
Skoro ISP mogą filtrować ruch sieciowy, skoro mogą go podsłuchiwać, to znaczy że sprawują nad nim pełną kontrolę. Otóż, to też nie jest prawda. Jest to, podobnie jak wiele innych rzeczy, zasługa pierwotnych założeń Internetu. Na poziomie operatorów internetowych funkcjonuje protokół routingu BGP. Protokół, który ma już ‘dziesiąt’ lat, w dużej mierze nie przystaje do współczesnego Internetu. Jednakże nie można go wymienić, gdyż oznaczałoby to wymianę sporej ilości sprzętu, a to już jest kolosalny wydatek.
Nie będę skupiał się tutaj na zasadzie działania protokołu routingu BGP. Ważne jest to, że przy dzieleniu się trasami nie jest wymagana żadna autoryzacja. Toteż routery ze strefy autonomicznej A, przy odpowiedniej konfiguracji, mogą wprowadzić w błąd routery ze strefy autonomicznej B. Dzięki temu routery ze strefy B mogą błędnie przekierować pakiety do strefy A, gdzie odpowiedni ludzie będą mogli zająć się analizą przechwyconych danych.
Nie jest to przykład science fiction. Do takiej „usterki” w działaniu globalnego Internetu doszło w kwietni... Wtedy IDC China Telecommunications rozgłosiła na swoich routerach brzegowych błędne trasy. Dynamiczne protokoły routingu polegają na tym, że często automatycznie „ufają” trasom otrzymanym od innych routerów. Błąd na routerach IDC China Telecommunications bardzo szybko się rozszerzył. Chwilę później błędną konfigurację przejęły routery China Telecom, a od nich pozostałe routery na całym świecie. W efekcie na 18 minut Chiny przejęły blisko 15% globalnego ruchu sieciowego. Wbrew pozorom, jest to bardzo dużo. W przypadku opisywanego incydentu, najprawdopodobniej była to zwykła pomyłka. Niestety, BGP jest na tyle ułomnym protokołem, że bardzo łatwo taką operację przeprowadzić specjalnie. Przy odpowiedniej konfiguracji, można całkowicie zadławić „wąskie gardła” powodując odcięcie wszystkich od dostępu do globalnej sieci.
Jaka jest przyszłość Internetu?
Nic nie poradzimy na powyżej opisane ułomności World Wide Web. Wszystkim rządzi ekonomia i odpowiednie wpływy. Internet niestety nie jest taką siecią, jaką przedstawiają w bajkach. Praktycznie nigdy taki nie był. Globalna sieć jest bardzo dobrym wynalazkiem. Ale trzeba pamiętać, że nie jest on ani anonimowy, ani pewny, ani bezpieczny. Internet w każdej chwili może zniknąć, a nasze życie będzie trwać dalej. Nie warto uzależniać od niego każdego elementu naszego życia – począwszy od kontaktów z innymi ludźmi – na bezpieczeństwie domu, monitoringach, smart lodówkach, kuchenkach, wc‑tach, autonomicznych samochodach i w końcu zakładach kluczowych dla bezpieczeństwa państwa kończąc.
Mój fanpage i WWW
Jeśli podobał ci się mój wpis, zapraszam do polubienia mojego fanpage'a, do którego link znajdziesz tutaj. Zapraszam również do odwiedzenia mojej strony http://www.kompikownia.pl, na której, oprócz artykułów z dziedziny IT znajdzie się miejsce także na inne tematy.
Nie oznacza to, że nie będę publikował moich wpisów w tym miejscu :) Chodzi mi po głowie kilka tematów, które postaram się poruszyć w najbliższych tygodniach. (Stanie się tak, o ile drugi semestr nie "rozrusza się" zbyt szybko).