Huszonhét percre leállt a Cloudflare – beszart a fél internet

Mi a picsa történt a világháló jókora szeletének biztonságáért felelős Cloudflare szolgáltatóval? Egyesek már arra tippeltek, hogy az USA július 17 örömére megnyomta a Nagy Piros Leállító Gombot, mert olyan kritikus oldalak sem voltak elérhetők mint például a Discord vagy a League of Legends.

És persze valamivel azért fontosabbak is, többek között lehalt a GitLab, a Politico, a Shopify valamint a Medium.

Szarban a Twitter

Nem igazán volt jó hete a kiberbiztonságnak, a Twitter körüli legújabb balhé egyre nagyobb hullámokat vet és annak még nem is látszik a vége. Dióhéjban náluk az történt, hogy világszerte ismert, de az USÁ-ban különösen prominens személyiségek accountjait szerezték meg hackerek, akik élve a lehetőséggel elkezdtek kriptodevizát kéregetni azzal, hogy majd a dupláját adják vissza minden virtuális coinokban beérkező aprónak. Amiből persze lófasz se volt igaz, de Elon Musk Tesla vezér, Barack Obama volt elnök, Joe Biden demokrata elnökjelölt és volt alelnök, Bill Gates neve a hitelesített fiókjaikkal együtt elegendőnek bizonyult ahhoz, hogy megmozgasson nagyjából 130000 dollárnak megfelelő visszakövethetetlen összeget és azt elnyeljék anonim számlák. A turpisság mögött a New York Times nyomozása szerint fiatalok álltak, akik eredetileg csak az egy betűből vagy számból álló, könnyen eladható Twitter nickek után kutakodtak, de a csíny végül olyan jól sikerült, hogy némi social engineering bevetésével a legmagasabb szintű support kompromittálódásával sikerült resetelniük jelszavakat, aztán hitelesített személyiségek nevében százegynéhány hamis üzenetet kicsiripelni mindenki legnagyobb meglepetésére. A Twitter most sumákol, baromira nem akarják elárulni a hogyant, ezért korábbi ott dolgozók és biztonságiak osztották meg egymással és a nyilvánossággal, miképpen történhetett volna, ha ők állnak a rossz oldalon. De a NYT ennél tovább ment és a felkutatott négy elkövető screenshotokkal igazolta, hogy ők voltak és azt is, hogy amikor magasabb szintekre kezdett lőni a 19 (más források szerint 21) éves fő kitervelő “Kirk”, akkor kiszálltak az egészből, mert tartani lehetett attól, hogy nem lesz megállás, és mondjuk egy Trump esetében kiszámíthatatlan volt, hogy kikkel kell szembenézniük ha benne maradnak a buliban. A felderítés érdekeire hivatkozva most kurvára nagy a csend, kutat az FBI is, annyi szinte biztos, hogy valamilyen módon a legbelső körökig vezetnek a szálak, nagyon kevesen tudják ugyanis kikapcsolni a két lépcsős, megbízható eszközzel társított hitelesítést és ezzel egy időben megoldani a fiókhoz tartozó e-mail cím cseréjét. Ráadásul olyan a rendszertámogatás felépítése, hogy szakosítva vannak az újságírókra, VIP személyiségekre a munkatársak, így Kanye West vagy Kim Kardashian nevében nem kérhet bárki e-mail cím megújítást. Mégis sikerült. De ennyit a Twitterről, ott még várhatók meglepetések.

Szarban a Cloudflare

keep thousands of business online

A Cloudflare leginkább arról ismert a különböző nagyvállalatok és kisebb-nagyobb blogok tech adminjai körében, hogy ők adják az egyik legkönnyebben integrálható CDN-t, mondjuk olyan fícsörökkel, hogy ha éppen kifingana a saját vas, elérhetetlenné válna a saját, vállalati vagy bérelt tárhely, a tartalomelosztó hálózat (Content Delivery Network) azon túl, hogy a letöltéshez legközelebbi lokációban található szervereken gyorsítótárazza a képeket és egyéb tartalmakat a villámgyors letöltés érdekében és azt tömörítve tolja át a böngészőkbe, képes akár a teljes tartalmat helyben is tárolni, szóval elég klassz kis csomagban kapható az áldás és nem is kerül feltétlenül sokba.

A holdkomp ehhez még túl kicsi, az ingyenes verzióhoz pedig már túl nagy, úgyhogy csak a tesztelésre használt https://holdkomp.com domain nevünkön van bekapcsolva, oda a forgalmunk 0,01%-a se megy, így a kiesés minket egyáltalán nem érintett.

Érintette többek között azokat is, akik a CDN és a DDoS támadásokra kihegyezett védelem mellett a Cloudflare DNS-ét használják, mert mint kiderült, egyetlen rosszul konfigurált routerben, a Forbes cikke szerint egész pontosan egyetlen elírással sikerült átirányítani a hálózat teljes forgalmat Atlantába, az ottani eszközök pedig látványos harakirit követtek el és menthetetlenül összeomlottak a túlterheléstől, aminek következtében közel fél órára leállt a fél világ mögött a névfeloldásért is felelős infrastruktúra.

Hogy ennek ellenére miért tiszteletre méltó az 1.1.1.1 IP című DNS szervert üzemeltető Cloudflare hozzáállása?

Kiderül a Twitter bejegyzésükből (egyébként a blogjukon ugyanennek a részletei bővebben is olvashatók).

Matthew Prince CEO, az újdonsült milliárdos és egykori síoktatóból lett nörd nem sokat kertelt, kiállt a köz elé és elismerte, hogy ők baszták el. Nem is kicsit, hanem nagyon.

Miért fontos ez? Mert egyetlen percre sem próbálkoztak meg tereléssel, másokra mutogatással, amint megtalálták a hiba okát, azonnal a legmagasabb szint belépésével a kérdések tisztázására közzétették a válaszokat és ami még ennél is fontosabb, megtették a szükséges lépéseket, beállították azokat a watchdogokat, amik előrejelezhetik a hasonló eseményeket, így már az eszkalálódás előtt közbeléphetnek az erre a célra beállított új routing algoritmusok.

Ezek mellett az események mellett egészen apróságnak tűnik, hogy a héten volt még egy nagyobbacska féregbiztonsági baki a Windows 2016 szerverek körül is, de a szinte állandó Windows hibák tengerében az már jóformán említésre sem érdemes.