ein Blog

Ein Szenario

Es ist der 25.10.2022.

Cloudflare proxied jetzt 85% des Internets.

Die von Cloudflare verwendeten Docker Images sind einfach, leichtgewichtig, werden von irgendwem gut gepflegt und im Docker Hub veröffentlich. Natürlich sind sie deswegen weit verbreitet. Keiner hat sich genauer angesehen was darin alles verbaut ist.

Und selbst wenn. Die verwendeten npm Pakete sind alle unverfänglich. Zumindest laut github. Die Angreifer hatten aber schon vor Jahren eine Zeitbombe in das npm repository eingeschleust.

Sobald der Unix Timestamp 1666666666 vergangen ist, schalten die Container alle Services ab.

Die Autoscaling-Systeme von Cloudflare sind ebenfalls außer Gefecht.

Nach 1 Minute werden alle Services wieder gestartet. Das Autoscaling stellt sehr langsame Antwortzeiten fest und startet neue Container. Nach einer weiteren Minute – noch bevor die hunderten neuen Container ihren Dienst aufnehmen können – werden alle Services wieder abgeschaltet.

Das Autoscaling schaltet immer mehr Container und auch neue Hardware zu.

Die Admins von Cloudflare bekommen Sporadisch Alarm-Meldungen. Das Monitoringsystem ist tatsächlich nicht betroffen.

Aber der SMS- und Telefon-Service für die Benachrichtigung.

Inzwischen ist kaum eine Webseite mehr erreichbar. Die Backend Server langweilen sich.

Weltweit werden Admins aus dem Schlaf gerissen.

Schnell wird ihnen klar, dass Cloudflare down ist.

Sie versuchen Cloudflare aus Ihrem Setup herauszuschälen.

In hektischer Handarbeit werden Proxy-Konfigurationen in Applikationen angepasst.

SSL Zertifikate müssen erstellt und eingerichtet werden. Viele CAs sind entweder überfordert oder selbst direkt oder indirekt vom Cloudflare-Ausfall betroffen.

Bisher hatte Cloudflare SSL terminiert.

Alle versuchen nun die DNS Einträge wieder direkt auf ihre Server zeigen zu lassen.

Aber keiner schreibt mehr Zonefiles von Hand. Auch die Webinterfaces der DNS Provider sind entweder überlastet oder von Cloudflares Ausfall betroffen. Viele haben auch Ihre DNS Zonen Cloudflare anvertraut. Sie versuchen jetzt irgendwie ihre Zonen auf andere DNS Provider umzuziehen. Nur wie? Wer macht schon Backups von seinen DNS Zonen? Geht das überhaupt ohne weiteres?

Nutzt Docker, Cloudflare, npm, wenn es euch die Arbeit erleichtert. Überlegt nur auch mal zwischendrin ob man sich die paar Zeilen code für pad-left wirklich als Dependency ins Projekt holen muss. Und habt einen Plan in der hinterhand, wenn auch mal große Provider kaputt gehen. Die Wahrscheinlichkeit ist gering aber auch Riesen wie AWS waren mal großflächig kaputt.

Macht das Internet zu dem was es wirklich sein sollte.