Pokud nejste "z oboru", nejspíše jste jméno americké společnosti Cloudflare nikdy neslyšeli. Je ale téměř jisté, že jste nevědomky využívali jejích služeb. Jejími zákazníky jsou projekty jako Uber, Zendesk, Yelp Fitbit či zhruba tři tisíce českých webů. Cloudflare nám poskytuje infrastrukturní služby: provoz spolehlivých DNS serverů, ochranu proti kybernetickým útokům i globální distribuci obsahu. Pro menší projekty dokonce zdarma.

Před dvěma týdny se nicméně v systému Cloudflare objevila z programátorského hlediska vcelku triviální buffer overflow chyba. Jejím důsledkem však bylo, že se za určitých okolností náhodně mohla část HTTP požadavku nebo odpovědi dostat do odpovědi jiného zákazníka. Včetně citlivých informací, jako jsou autentizační tokeny, hesla, personalizovaný a důvěrný obsah… Na chybu přišel Google v rámci své iniciativy. Project Zero a Cloudflare ji odstranil během několika hodin. Škoda však již byla nadělána: obsah může žít v různých cachích po internetu nekonečně dlouho. Cloudflaru se podařilo dohodnout na odstranění tohoto obsahu z rozšířených služeb, jako třeba Google cache. Jistotu o jejich likvidaci ale nebudou mít nikdy.

Chyba sama není nijak zvláštní, podobné věci se prostě stávají, ale ohromující je její rozsah. Za Cloudflarem se schovává překvapivě velký kus internetu. A ukazuje se, že prostředí vzniklé na principech decentralizace a odolnosti proti poruchám i útokům je v současnosti monokulturní a centralizované. Internet je dnes fakticky v rukách malého množství velkých poskytovatelů služeb. Google, Amazon, Microsoft, Akamai… Pokud zakolísá kdokoliv z těch velkých, důsledky zasáhnou skoro každého.

Vzniká tím nebezpečná monokultura, kdy selhání jednoho hrozí dalekosáhlými následky. Viděli jsme to před třemi lety v případě chyby Heartbleed, která zasáhla OpenSSL, s náskokem nejpoužívanější kryptografickou knihovnu na světě. O pár měsíců později Shellshock, chyba v příkazové řádce Bash, která tam vydržela čtvrt století a která nadále ohrožuje miliony zařízení založených na různých verzích Unixu a Linuxu. Nedávno jsme zažili něco v malém při výpadku služeb Google v Česku, teď došla řada na Cloudflare a tento týden nefungovaly ani cloudové služby Amazonu.

Provoz internetových služeb se vším všudy začíná být natolik náročný, že pro mnoho provozovatelů je nepraktické nebo rovnou nemožné si vše zajišťovat vlastními prostředky. Vypadá to, že jako lidská společnost přirozeně tíhneme k centralizaci. I když technologie umožňuje distribuci, stejně se svěříme do rukou několika velkých. A padnou-li, padneme s nimi.