Paraliż połowy internetu. Wiadomo, co było przyczyną

We wtorek 18 listopada w godzinach popołudniowych część internetu przestała funkcjonować. Internauci nie mogli odwiedzać wielu różnych stron - nie działał m.in. ChatGPT, X czy też Canva do edycji grafiki. Winowajcą okazała się niedostępność Cloudflare - narzędzia będącego pośrednikiem pomiędzy użytkownikami internetu a serwisami internetowymi. Usługa filtruje i blokuje ewentualne cyberataki.

Michał Sajdak (sekurak.pl) wyjaśnia, że źródłem zamieszania była "drobna, planowana i potencjalnie niegroźna zmiana w bazie danych" Cloudflare, która ostatecznie wpłynęła na cały system. - Zmiana była wykonana w podsystemie wykrywania botów - wyjaśnia.

- Drobna zmiana spowodowała większe zmiany w systemach Cloudflare, których nikt nie przewidział. Zmiany te aktywowały automatyczne mechanizmy ochronne systemów Cloudflare, które nie zadziałały do końca dobrze i spowodowały ogromną niestabilność głównych systemów.

Sajdak wyjaśnia, że w wyniku niewielkiej zmiany pewne zapytanie SQL, które uruchamiało się wewnętrznie (do wykrywania botów), nagle zaczęło zwracać ponad dwa razy więcej wyników niż normalnie. Kiedy więc zapytania trafiły na limit, serwer ogłaszał "panikę" - wyjaśnia ekspert. Zauważa przy tym, że jest to limit ustawiany celowo, który ma ograniczać ryzyko skończenia się pamięci na serwerach.

Ekspert w rozmowie z Wirtualną Polską wyjaśnia, że bardzo dużo serwisów korzysta z ochrony oferowanej przez Cloudflare. - Centralna awaria Cloudflare powoduje więc awarię serwisów z niego korzystających - mówi Sajdak. Podkreśla jednak, że "same chronione serwisy najczęściej działały poprawnie, a nie działał poprawnie pośrednik pomiędzy użytkownikami a tymi serwisami".

Wydawać się może, że skoro usługodawca mierzy się z awarią - teoretycznie można "obejść" jego problemy. W teorii tak właśnie jest. - Istnieje możliwość wyłączenia Cloudflare przez dowolną firmę, ale w tym przypadku raczej nie jest to proste, ani szybkie. Sprawę komplikował fakt, że panel zarządzania usługą Cloudflare w trakcie awarii również nie był dostępny dla większości klientów - wyjaśnia Sajdak.

Co więcej - nawet jeśli usługę udałoby się wyłączyć i przywrócić strony do życia strony, które dotknęła awaria Cloudflare, to oznaczałoby to wyłączenie ochrony zabezpieczającej przed cyberatakami. To z kolei oznacza otwarcie cyberprzestępcom drogi do ataków nawet na kilka godzin.

Nie bez znaczenia pozostaje też, że wiele firm nie ma świadomości, jaką wydajność mają ich serwisy. - Wiele firm nie wie, czy ich infrastruktura IT jest wydajnościowo gotowa na bezpośrednie połączenie się użytkowników po wyłączeniu usług Cloudflare. Jeśli nie, cały system, np. sklep internetowy, może przestać działać - wyjaśnia mi Sajdak. Oznacza to, że dla serwisów dotkniętych awarią Cloudflare bezpieczniej jest poczekać na przywrócenie funkcjonalności swojego usługodawcy.

Sajdak poleca firmom, które korzystają z Cloudflare wykonanie analizy ryzyka związanej z ewentualną koniecznością wyłączenia ochrony oferowanej przez Cloudflare - ale też odpowiednio bezpiecznie przetestować cały scenariusz.

- W ramach wniosków po incydencie, Cloudflare planuje wdrożyć między innymi więcej mechanizmów klasy "killswitch". Chodzi o globalne wyłączanie pewnych zmian lub funkcji - tak, aby w razie kolejnej awarii można było szybciej przywrócić stabilność systemu - podsumowuje Michał Sajdak, sekurak.pl