Názory k článku
Internet je zranitelnější, než se zdá

Pavle, mam dojem, ze ve clanku nejmene jednou menite vyznam zkoumaneho predmetu. A to z Internetu (jako sitove infrastruktury) na internet (ve smyslu web).

Neslo by to trosku lepe formulovat?

Pokud se tyka utoku na web, par tech ideologickych uz tu bylo. Nanestesti pro utocniky uspesnym utokem na hlavni uzly (jsou-li vubec takove) neposkodite funkcnost systemu jako takoveho. Napriklad pokud zautocite na Google a Yahoo! jsou-li toho uzly), uzivatele se rozliji na ostatni vyhledavace. I kdyz zautocite na web Microsoftu (oblibeny cil utoku), funkcionality webu se to nedotkne.

Ony jsou mnohem zajimavejsi aktivity, ktere lze spise popsat jako snahu o demontaz :-) Napriklad jeden muj byvaly spoluzak, ktery pracuje v Telekomu Spojenych arabskych Emiratu mi minuly tyden tvrdil, ze arabske staty uz jsou pomerne daleko s vlastnim DNS stromem.

on je trochu problem s tim, co kdy mysli Barabasi. kdyz treba rekne, ze nejaky web je pro nejakeho uzivatele nepristupny, muze tim myslet, ze:
- je fyzicky nedostupny
- je nedostupny pres odkazy/vyhledavace
- je nedostupny bez znalosti adresy
- je nedostupny bez znalosti "ciselne" adresy
atd.

jinak ale myslim, ze vyrazeni cca 20 uzlu typu googlu (at uz tim "vyrazenim" myslime cokoliv) skutecne web de facto nepouzitelnym udela a minimalne prinese obrovske ekonomicke skody (dopady na kapitalovy trh apod.). navic si vezmete efekt, kdyby takova udalost probehla paralelne s nejakym "fyzickym" teroristickym utokem. presto se to ale jak se zda nedeje. zatim? nebo je v predchozich uvahach nekde chyba?

Pavle,
ekonomicke skody prinese jakykoliv uspesny utok na byznys nejakeho vyznamneho hrace na burze. To je trivialita, nedustojna zmineni :-)

Pokud mate za to, ze vyrazenim 20 vyhledavacu nastane "de facto nepouzitelnost webu", pak Vam musim oponovat. To, ze nemam doma zlate stranky, jeste neznamena, ze nemuzu telefonovat. Ve svem telefonu mam peknych par telefonnich cisel - a stejne tak mam peknych par odkazu v prohlizeci. Globalni utok na Internet muzete samozrejme (teoreticky) uskutecnit, ale musite pouzit jine nastroje a cile - napriklad smerovaci system nebo DNS (root nameservery).

Pred tremi lety jsem se dopustil na LUPE (1,2) takove uvahy, jak by takovy utok mohl vypadat a jak je realny. Zminuju tam i utoky na zdroje obsahu a jejich zpusoby, nicmene web je od te doby trosku diverzifikovanejsi. Podotykam, ze clanky uz jsou tri roky stare :-)

Pokud se "bude neco dit", napriklad v Sydney teroriste odpali atomovku, tak 95% lidi online bude chtit pouzit vyhledavac. Nefunkcnost Google, Yahooo a nasledne Alexy v jednom sledu zrejme hodne posili paniku a naprosta vetsina lidi to nebude resit a vypnou pocitac s tim ze internet nefunguje a pujdou shanet konzervy :-) Samozrejme vyrazeni DNS je jina vahova kategorie. A lokalne mam obavy ze kdyby nefungoval seznam.cz tak 50% uzivatelu konci s WWW. Na svoje oblibene URL www.bleskem.cz se bez nej nedostanou.

Mluvite stale o Homo sapiens?:-)

Mluvi o druhu, kteremu se rika "Homo sapiens", ovsem kuprikladu ja si nejsem jist, zda by nemel ten nazev druhu byt modifikovan na "Homo debilis".
Necekejte od lidi nejake inteligentni chovani :-)

já myslím, že skutečnost je horší.
Když totiž vyřadíte např. velký zpravodajský server typu CNN či BBC, tak se trafik přelije jinam, kde ale na takový trafic nejsou zvyklí a může je to položit. Nemusíme jít moc daleko do historie, tyhle problémy nastaly 9/11 v americe (u nás jsme to moc nepocítili)
Stejně tak kdyby se vyřadil google a yahoo, tak by to přetížilo další servery. Jenže google má mraky serverů rozstrkaných všude možně, takže by to musel být nějaký zásah o vrstvu nad tím, na jejich propojení atd.
Samozřejmě by to byly krátkodobé výpadky, samozřejmě by šlo použít jiné vyhledavače, ale buďme realističtí - když by v ČR přestal fungovat Seznam, tak vám garantuji, že 40% uživatelů Internetu najednou místo své homepage uvidí chybovou hlášku a nebude vědět co dál, budou otravovat adminy, ti pak ISP, všichnu budou přetížení, přestanou fungovat kvůli tomu další služby atd.

Tomasi, to, ze nejede jeden server, neznamena, ze nejede cely Internet. Nakonec (po par desitkach minut) se ukaze, ze nouzovy rezim funguje (napriklad CNN odlije obrazky jinam, vyradi redakcni system a nasadi rucni textovou verzi).

Pokud prestane fungovat Seznam, jeste to neznamena, ze prestal fungovat Web nebo Internet. A vezte, ze Ticha posta ™ mezi adminy v CR funguje pomerne slusne.

Utok na Dvojcata ukazal, jak malo robustni (a malo skalovatelna) je klasicka telekominicka infrastruktura proti Internetu. Zatimco v NY jste si nezavolal, nekolik velkych internetovych uzlu fungovalo OK (az do doby +5 dni, nez jim dosla nafta).

no to je právě to, co se myslí pod pojmem internet, viz příspěvek někoho výše. Musíš uznat, že když vypadne Seznam, tak prostě pro min. 40% (no možná o trochu míň) populace "nefunguje internet" a tito lidé mohou přetížit adminy atd., z čehož mohou plynout další problémy.
Bráno doslova, je internet propojením sítí a tedy spojením libovolných dvou routerů / serverů vzniká vlastně internet. Ve smyslu Internet s velkým I pak bude jistě fungovat, i když vypadne půlka serverů. Jenže prostě pro lidi (viz článek) stačí když vypadnou ty nejdůležitější a "internet nefunguje". Krom toho je tu opět to přetěžování z důvodu výpadku - moc dobře si pamatuji když před asi 2 lety překopli někde optickej kabel, kterým se většina našich ISP konektila do německa a kvůli tomu celý den nebylo možné spojení se světem (na ostatních konektivitách narostl provoz na násobky, takže pro většinu uživatelů docházelo k timeoutu) a stačil jeden blbej bagrista. A nebo před pár měsíci - jeden blb dal do jednoho NIXu jeden switch a udělal loop a velmi dlouho tu nefungovalo téměř nic.
Další otázka tedy je, jestli je "výpadek" i výpadek jednoho paketu, jedné minuty, jedné hodiny, nebo kdy je to výpadek. Záleží samozřejmě na typu firmy, nepochybuji ale, že kdybychom byli v Americe, tak toho bagristu i toho jednoho nejmenovaného blba se switchem místo routeru zažaluje minimálně sto firem a obviní je z mnohamilionových ztrát (a uspějí).

Muj skorotchan si stezuje, ze nebezi Internet, kdyz nefunguje smerovac na pude, ktery je soucasti "patere mistniho CZFree.Net cloudu". Mam za to, ze na LUPE muzeme abstrahovat od podobne logiky.

Na to, co pises o prekopnutem kabelu, si nevzpominam. Pamatuju jeden vypadek nekdy v roce 1996, kdy na podzim brzo rano chybovalo pojitko EBONE (protoze chybelo asi 20km optiky).

Tvuj predpoklad o "narostl provoz o nasobky" neplati uz peknych par let :-)

Stav, ktery nastal na infrastrukture NIXu ukazuje, kde je skutecny problem - smerovaci protokoly hranicnich smerovacu se nedokazaly vyrovnat s havarijnim stavem na sdilenem segmentu. Ti ISP, kteri shodili rozhrani smerem do propojovaciho centra, byli OK. Nicmene "tu nefungovalo skoro nic" je skutecne velmi nadnesene. Koukam, ze se z "loopu v NIXu" stava velmi pekny urban myth.

na toho bagristu si taky pamatuju, bylo to nějaké vedení optiky vedle ropovodu. Minimálně celá brněnská část CESNETu nejela v podstatě celý den.

Aha,
uz si vzpominam (ale nebyl to kabel do Nemecka, to me zmatlo). Bagrista si navic vybral den a hodinu, kdy bezela spolecna tiskova konference (CESNET a MERO) o tom, jak je ten okruh super tlustodrat. Datum se da dohledat v aktualitach na webu CESNETu.

Podobna situace se stavala driv relativne casto (a to i u velkych operatoru). Pametnici zcela jiste pamatuji kruhovou topologii nejmenovaneho operatora, ktere do kruhovosti chybela jedna STM-1 karta (tusim v Brne) :-)

Nastesti dnes je situace trosku jina. Tech kabelu (nejen tech, ktere pouziva CESNET) uz je "trosku vic". Velka vetsina operatoru si take dava pozor na to, aby nemela soubeh v ramci mesta (i kdyz obcas je to fakt tezke).

MK

A nemychaji se dve ruzne veci - STORM, ktery byl pred rokem a vyradil kooperaci mezi ISP vz CZ.NIXu (a ukazalo se, jak vesmes mizernou maji vlastni zahranicni kapacitu) a prekopnuta optika u ropovodu nekolik let zpet - tedy presne v roce 2000? U te starsi akce byl problem spise v nedomyslene diverzifikaci - nasli se tulini, kteri meli sice kvalitni zalohu, ale zalozni cesta proudila stejnymi optaky - takova zaloha je skutecne k nezaplaceni...:-) A taky davam Michalovi za pravdu, ze Internet je kooperaci internetu, to, ze nektere internety v danou chvili nejsou schopny kooperovat (a komunikovat) neni mozne aplikovat na to, ze nefunguje Internet... A uplne stejnou logikou neprijimam tech 40%, kterym nenabehne Seznam.Cz a tim padem nejede Internet... - podobny nesmysl je, pokud jste majitel pevne linky a mobilu a vypadnou vsechny BTSky v okoli zacal kricet, ze nejde telefonovat...

A k tem emergenci planum - kratkodobost a neproziravost se ukazala u povodni v 2002 - Eurotelu padaly BTSky jak houby po desti, nakonec teda vlada pochopila, ze tudy cesta nevede a povolila ropu i ostatnim operatorum...:-) - mne by spise zajimalo, proc opravdu ve stavu nouze (vyhlasovane treba vladou, coby vrcholnym organem statu) se neotevrou BTSky a nechovaji se vsechny bunky jako jedna obrovska sit, bez ohledu na operatora... - tohle je prece technicky ne zrovna slozite realizovatelne... jenze to radsi budeme budovat spoustu pararelnich systemu, ktere nekooperuji a kazdy si hraje na svem pisecku, hlavne ze to koncak zaplati...:-)

Ahoj Pavle,
problem ISP, kteri byli v NIX.CZ, nebyl v dostatku jejich kapacity do zahranici. Problem byl v tom, ze hranicni smerovace nezaznamenaly "vypadek" sdileneho media. Ethernet je levny, ale bohuzel ma i sve mouchy. Bylo par ISP, kteri shodili sva rozhrani a pres zahranici to bezelo.

Prece jen uz jsme od te doby s internetovou infrastrukturou trosku dal.

To jen pro dokresleni.

MK

Emergenci se zasadne nedoporucuje mychat.

budou otravovat adminy, ti pak ISP

Takovy adminy zastrelit bez soudu... ;-)

Asi tak nejak, normalni admin zjisti behem nekolika vterin zda je problem v jeho siti, pripadne u ISP nebo nekde dale. Kdyz nastal zde zminovany problem s NIXem, tak sem sveho ISP ani neotravoval, stacilo poslat traceroute a hnedle bylo videt ze problem neni ani u nej => urcite o tom vi a ovlivnit to asi moc nemuze.

Promiňte, ale není článek vlastně jen shrnutím úvah Barabasiho a Gausse? Není tam trochu citací? Nebylo by dobré najít ještě nějaký jiný zdroj??

Chyba neni v tom zda nejaky utok muze znicit internet. Musime vzit v uvahu, ze i teroriste pouzivaji internet a tak by si ho preci neznicili.

Google je několik let starý projekt. S dnešními možnostmi co se týče dostupnosti konektivity a výkonu levně dostupného hardware je možné vyhledávací engine zhruba podobného rozsahu (nebo alespoň v tom rozsahu, který většina uživatelů Google používá - tedy bez indexování obrázků, cache, apod.) postavit daleko levněji, s menší spotřebou energie, a naplnit ho odkazy během několika měsíců.

Ostatně na tohle sází "národní portály" - které tupě kopírují několik let staré nápady globálního/amerického Internetu (web directory, fulltext, freemail, zpravodajství...) a snaží se je naroubovat na specifické jednojazyčné národní "ostrovy" v Internetu...

Pojem "uzel Google" má IMHO smysl jen v případě útoků na doménové servery. V jiném ne. Je to proto, že google je silně distribuovaný systém.

Já mám spíše obavu, že doba vhodná k útoku teprve přichází.
Zatím není dominantní VOIP IPTV či co všechno je na spadnutí, řízení domácnosti, sledování vozidel, řízení technologických procesů, lékařské zákroky na dálku, . Zatím nedošlo ke vzdálení datových center od uživatelů v takové míře, aby to bylo nevratné. Trendy jsou ovšem jednoznačné:
Zájem operátorů nacházet nové trhy. IP technologie dokáže významně snížit některé ceny, ale jiné vlastnosti jako například překlenout krizové situace, spíš může způsobit.
Kdo například zajistí, že ony "kruhové" případně víceokruhové technologie navzájem si konkurujících operátorů nejsou náhodou v jedné trubce, kterou stačí přeříznout. Při vhodné kombinaci s nějakým typem útoku to pro menší lokalitu (ČR) může být drsné. Zbytek paniky udělají média.

To by jste mrkal jaky "celosvetovy" datovy centra s nezavislym pripojenim dvou ISP bez krizeni a s minimalni vzdalenosti soubehu 15m jsou pripojeni tak ze po 3km, jen to co to obkrouzi sidliste visi v podzemnim kolektoru v jednom korytku a kolem chodi cigani krast litinovy madla :-DDD

A vy byste se asi divil kolik ruznych dratovodu naleznete na temer kazdem pozemku, silnicni inzenyri vi o cem mluvim...:-)

Drátů a bezdrátů bude přibývat. Otázka není na počet, ale na reálnou stabilitu.
Například si představte, že každá trasa přechází přes řeky.
Je otázka, zda optické kabely jsou zakopány v korytu nebo jenom v chráničce na tělese mostu. U velkých mostů mohou být jistě i v tělese. Potom stačí 30 nezletilců s pilkou na železo a můžete mít n x 31 segmentů, kde n je počet postižených ISP a spol.

.. nebo taky muzete vzit hasicskou sekeru a jit do tunelu metra ...

"Barabási uvádí překvapivý závěr, že když začnete na nějaké náhodné stránce a budete se pohybovat jen přes odkazy, více než tři čtvrtiny Internetu pro vás budou představovat slepou skvrnu."

Nechápu co je na tom překvapivého. To je přece normální stav. Odhadem už nejmíň 100 let (?) se do seriózních publikací dává seznam použité literatury. Což se dá chápat jako "hyperlinkový odkaz" v jiné technologii.
Pokud si v knihovně půjčím např. příručku "Jak chovat poštovní holuby" a budu se snažit přečíst všechny publikace na které je v ní uveden odkaz (a totéž pak udělám rekurzivně), taky nemůžu čekat, že se do mého zorného pole dostanou vekškeré knihy které jsou ve všech knihovnách světa k dispozici. S velkou pravděpodobností neuvidím publikace týkající se úplně jiných témat (např. jaderná energetika) a určitě se tímto způsobem nedostanu k beletrii. Ale to je přece úplně normální a těžko to v případě internetu (který se dá chápat analogicky) ukazuje na nějaký nezdravý stav.


"Asi čtvrtina všech dokumentů má být ve skutečnosti ostrovem, nelze se na ně nijak dostat ani odkazem, ani vyhledávačem (otázka však je, jak je pak můžeme vůbec nějak rozumně kvantifikovat)"

Tento údaj je notně přitažený za vlasy. Opravdové "nedostupné ostrovy" dle chápání autora původní myšlenky jsou velmi vzácné - jde jen prakticky o stránky na které nevede odkaz odjinud (zde souhlasím s původním autorem), ale týká se to jen serverů nemajících DNS záznam ! (Případně těch, které úmyslně chtějí být izolované).
Proč ? Jednoduše proto, že zařazení serveru do DNS systému ho zařadí do množiny strojů, které jsou procházeny indexovacími roboty (Google apod.) Pokud jsou tedy na takto nově vytvořených stránkách informace které mě zajímají, objeví se odkazy na ně na stránkách vyhledávačů a přestanou tedy být "izolovanými ostrovy" v původním slova smyslu!

"Proč ? Jednoduše proto, že zařazení serveru do DNS systému ho zařadí do množiny strojů, které jsou procházeny indexovacími roboty"

Nikoliv, to ze je server v DNS nema zhola NIC spolecneho s tim, zda je ci neni indexovan. Zacne byt indexovan v okamziku, kdy je bud zarazen rucne nebo je na nej nalezen odkaz na jinem indexovanem serveru.
Pro vasi informaci, zaznam v DNS != web.

A. "...že hyperlinky jsou jednosměrné..." - Zdá se mi, že to není pravda. Sice webA odkazuje na webB a naopak je to přímo výjimečně, nepřímo je to však naprosto běžné přes referery. Jsou-li pak referery ve statistice na webuB doplněny ahrefem, pak existuje cesta oboustranná, nikoliv jednostranná. Také je již zvykem ze strany webuA nepoužívat ahrefy (může to snížit pagerank) ale skriptové přesměrování, pokud vůbec nějaké. Zdá se mi, že Google a spol. svým velmi nepromyšlným tahem (kdy webmastři se bojí používat ahrefy) škodí docela dost. Takže z webA>webB se použije skript.přesm. a ze strany webB>webA zase referer (který se tak či onak často vytváří automaticky na straně webhostingu). Takže proklamovaná jednosměrnost pokulhává a tím i část teorie. Myslím, že nejsem jediný, který neustále skrze referery sleduje vlastní portál, odkud kdo a jak se k němu dostal, protože to může hodně pomoct k vylepšení a přizpůsobení systému. Takže zpětná vazba existuje.
B. To že jsou ostrovy, je normální (https, admin sekce atd.). Celková struktura internetu se velmi podobá lidskému mozku: také lze vyřadit podstatnou část mozku a zbytek je schopen si částečně nebo celkově úkoly převzít a vše funguje dál. Jsou pak samozřejmě klíčový centra (např. motorické) - to je analogické ke klíčovým uzlům internetu.
C. "Podíl stránek, které jsou vyhledávače schopné indexovat, se podle Barabásiho navíc ve skutečnosti stále zmenšuje" - tomu nevěřím. Po celosvětovém SEO šílenství spíše bych řekl naopak. Navíc já osobně jsem už musel asi 25 exotickým robotům jejich činnost zatrhnout, protože neinteligentně stahovali klidně i v primetime vše hlava-nehlava. Tj. nové roboty vznikají každou chvíli a každý se snaží co nejrychleji vše nacucnout.