Naprawić Internet

Niektórzy zastanawiają się nad tym, czy nie powinniśmy stworzyć zupełnie nowej architektury Internetu, która będzie odpowiadała obecnej charakterystyce wykorzystania sieci i uwolni nas od nieustannej walki o utrzymanie względnego poziomu sieciowego bezpieczeństwa.

Niektórzy zastanawiają się nad tym, czy nie powinniśmy stworzyć zupełnie nowej architektury Internetu, która będzie odpowiadała obecnej charakterystyce wykorzystania sieci i uwolni nas od nieustannej walki o utrzymanie względnego poziomu sieciowego bezpieczeństwa.

Wszyscy wiedzą, że nie jest dobrze z bezpieczeństwem w Internecie. Średni czas "życia" użytkownika Neostrady, który włączy poprzez tego DSL-a swój komputer w sieci, a go nie zabezpieczy zaporą firewall i nie zainstaluje odpowiednich aktualizacji oprogramowania łatających dziury w systemach bezpieczeństwa, liczy się w minutach, gdy następuje atak i zainstalowanie na komputerze użytkownika niechcianego oprogramowania, które może np. służyć do wysyłania spamu. W czerwcu ub.r. Internet i American Life Project alarmowały, że aż 43% użytkowników Internetu w domu dostrzegło, że na swoim komputerze ma zainstalowane oprogramowanie typu spyware czy adware - w większości przypadków w efekcie wizyt na stronach WWW. Liczba przesyłek spamu czy niektórych typów ataków i zagrożeń rośnie w tempie kilkudziesięciu procent rocznie. Z bezpieczeństwem w sieci coraz poważniejszy problem mają wszyscy internauci. Paradoksalnie już się do tego przyzwyczailiśmy, być może niesłusznie uznając to za stan normalny i nieunikniony.

Protokół internetowy, implementowany w końcu lat 60., miał jedno podstawowe zadanie - umożliwić efektywną komunikację pomiędzy setkami użytkowników z sektora rządowego i akademickiego. Protokoły internetowe dzielą przesyłane dane na pakiety poprzez wiele serwerów i routerów sieciowych. Każdy z tych węzłów sieciowych ma odrębny adres IP. Przyjęto tu dwa istotne założenia - po pierwsze, że użytkownicy sieci mogą darzyć siebie nawzajem zaufaniem, oraz, po drugie, że w sieci znajdują się obiekty o stałych lokalizacjach. Dzisiaj oba te założenia są z oczywistych względów fałszywe (jak jest z tym zaufaniem, to dobrze wszyscy wiemy, że trochę inaczej w czasach gdy liczbę użytkowników sieci liczy się w milionach, natomiast gwałtownie rosnąca liczba mobilnych urządzeń w sieci rodzi problem ze stałą adresacją, opartą na fizycznej lokalizacji - wiadomo przecież, że Internet inaczej niż na początku nie służy zasadniczo do łączenia się z dużymi serwerami).

Rozwój sieci i zakwestionowanie pierwotnych założeń doprowadziło oczywiście do pojawiania się coraz to nowszych i lepszych środków zaradczych - swoistych łat na niedostatki Internetu: zapory firewall, oprogramowanie antywirusowe, filtry antyspamowe itd. W rozwiązaniach mobilnych przypisuje się dynamiczne adresy IP, co oczywiście sprawia, że adres przestaje być stałym identyfikatorem użytkownika. Wszystkie te łaty czynią Internet środowiskiem bardzo złożonym, niejednorodnym i trudnym do technologicznego sprawnego zarządzania. Pytanie, czy ten "patchwork" się jednak kiedyś nie rozpruje, bo zwyczajnie już nie damy rady zainstalować kolejnej łaty. Na pewno jednak tracimy ogromne zasoby energii i środków finansowych na rozwiązywanie problemów, które wynikają z niedoskonałości obecnej architektury sieciowej.

Sam Microsoft z ok. 6 mld USD przeznaczonych na R&D w skali roku aż 2 mld "topi" w zagadnienia związane z bezpieczeństwem. Czy takie zaangażowanie jest rzeczywiście konieczne? Czy tych środków nie można by przeznaczyć na poprawę użyteczności czy ergonomii? Niektórzy sądzą, że wydatki związane z zapewnieniem bezpieczeństwa produktów informatycznych w Internecie to swoisty podatek (nie chodzi tylko o inwestycje na ich zbudowanie, ale także wszelkie działania monitorujące, proaktywne, reagujące), sięgający dzisiaj ok. 30% nakładów.

Problem z bezpieczeństwem

David D. Clark, niegdyś jeden z głównych architektów IP - podstawowego protokołu internetowego, twierdzi, że najpoważniejszym problemem w Internecie jest brak wbudowanych mechanizmów bezpieczeństwa. Chodzi tu nie tylko o same problemy technologiczne, ale o nasze oswojenie się z nimi z uwagi na naturalne zachowania społeczności użytkowników Internetu. Nie ma bowiem jakiś spektakularnych katastrof wywołanych na skutek niedostatecznego poziomu bezpieczeństwa - to raczej stopniowe, dość jednostajne pogarszanie się sytuacji, a przez to postrzeganie jej jako stan normalny, w którym nasilające się zjawiska są ignorowane, bowiem dynamika zmian nie jest aż tak duża.

Problem w tym, że wcale nie musi się utrzymać obecne status quo, w którym wszyscy sobie jakoś radzą, zaś swoisty wyścig zbrojeń pomiędzy sieciowymi przestępcami a producentami zabezpieczeń pozwala utrzymać jakąś równowagę, w której na tej wirtualnej platformie rozwija się handel elektroniczny i nowe formy kontaktów międzyludzkich. Pesymiści mówią o nadchodzącym czasie spadku użyteczności Internetu właśnie za sprawą rosnących problemów z bezpieczeństwem, czy wręcz rozpadem Internetu na rozdzielone obszary, które będą różnić się statusem użytkowników i charakterem zastosowań, do których będą one przeznaczone.

Dlatego zdaniem Davida D. Clarka najwyższy czas, by zacząć prace od podstaw, by przemyśleć fundamentalną architekturę Internetu, być może nawet decydując się na całkiem nowy jej projekt.

Ta idea przyświecała szefom National Science Foundation, najpoważniejszego źródła finansowania badań naukowych ze środków publicznych w USA. Uruchomiono już 5-7 program udzielania grantów na badania nad nowym Internetem. W grę wchodzi wydatkowanie 250-300 mln USD. Jeszcze kilka lat temu pomysły na budowę "nowego Internetu" pozostałyby zapewne rzeczą interesującą dla samych profesjonalistów - dzisiaj udaje się do tego przekonać decydentów.

Problem realizacji

Oczywiście stworzenie najlepszej nawet alternatywy nie rozwiąże problemu kosztów. Wszyscy Internetowi operatorzy musieliby się bowiem pogodzić z tym, że muszą przebudować własne sieci, dokonać aktualizacji sprzętu sieciowego i oprogramowania, tak aby wdrożyć nowe rozwiązania. Tylko kto miałby za to zapłacić? Oczywiście, dzisiaj wszyscy ponoszą ogromne koszty braku mechanizmów zapewnienia bezpieczeństwa, ale ten globalny rachunek ekonomiczny niestety nie daje się tak łatwo przełożyć na funkcjonowanie konkretnych operatorów "tu i teraz".

Dzisiejszy Internet ma tę istotną zaletę, że jest i że działa w praktyce. Już sama migracja na nową wersję protokołu Ipv6 okazała się znacznie trudniejszym zadaniem niż to się początkowo wydawało i wiadomo, że zajmie o wiele więcej czasu niż wcześniej prognozowano (i że rynek sam z siebie tego nie zrobi - potrzebna jest decyzja agencji rządowych). Dlatego też albo nie będzie rewolucji, tylko stopniowe ulepszenia i migracja w stronę "lepszego Internetu", albo tworzenie swoistych enklaw nowoczesności, w których w pełni będą funkcjonować nowe rozwiązania. Pierwsze z tych podejść oczywiście nie pozwoli na dokonanie jakościowego skoku, drugie zaś niesie zagrożenie rozpadu Internetu na sieci lepsze i gorsze, pomiędzy którymi komunikacja będzie ograniczona i regulowana politykami bezpieczeństwa lepszych sieci. Być może czeka nas także wariant, w którym istnieć będą równoległe odrębne sieci komunikacyjne wykorzystywane do odmiennych zastosowań.

Przy tworzeniu "nowego Internetu" pozostaje do rozwiązania istotny dylemat, czy rzeczywiście powinno się stworzyć inteligentną sieć (obecny protokół IP charakteryzuje się zasadniczą prostotą, co oczywiście jest jednocześnie jego wielką zaletą, ale i przyczyną obecnego chaosu w sieci)? W końcu zdecydowana większość ataków dotyczy komputerów PC podłączonych do sieci, a więc de facto błędów w zabezpieczeniach ich systemów operacyjnych. Zdaniem Vintona Cerfa, uważanego również za jednego z twórców Internetu, obecnie pracującego dla Google na stanowisku Chief Internet Evangelist, w przypadku wprowadzania bardziej złożonych i zaawansowanych rozwiązań po stronie sieci spada efektywność jej działania. Duża część ruchu w sieci będzie wówczas dotyczyła tego, co wynika z funkcjonowania samej sieci, a nie danych, które mają być w niej przesyłane (chociażby samo uwierzytelnianie wszystkich obiektów w sieci będzie generować ogromny, z punktu widzenia efektywności zupełnie niepotrzebny ruch - dość wspomnieć, że obecny system DSN stanowi zauważalne obciążenie dla dzisiejszego Internetu właśnie z uwagi na potrzebę ciągłego przesyłania danych o adresacji w sieci).

"Wielką katastrofę Internetu prognozuje się już od ponad dekady. Póki co nic się takiego nie stało" - twierdzi Vinton Cerf. I tutaj opinie są podzielone - czy obecny stan chwiejnej równowagi jest cechą stałą Internetu i czy owa katastrofa rzeczywiście nie nastąpi. Pytania dotyczące tego, czy nie powinniśmy zmienić dominującego dzisiaj podejścia do rozwiązywania problemów pojawiających się w funkcjonowaniu Internetu to w gruncie rzeczy wołanie o strategię rozwoju globalnej platformy komunikacji elektronicznej w skali następnych 10-15 lat.

Być może zbyt absorbuje nas sprawa efektywnego działania sieci dzisiaj, a zbyt mało tego, co można zrobić, by działała ona nieporównanie sprawniej, taniej i bezpieczniej w następnej dekadzie.

Co trzeba zmienić

Podstawowe obszary, których zmiana jest potrzebna do budowy "nowego Internetu":

1. Bezpieczeństwo

Użytkownik powinien być w stanie uwierzytelniać komputery i osoby, z którymi się komunikuje przez Internet. Ma to także zabezpieczyć jego komputer przed niechcianą korespondencją czy złośliwym kodem.

2. Infrastruktura

Każdy obiekt znajdujący się w sieci powinien być w stanie lokalizować pojawiające się w jego otoczeniu problemy - czy to przeciążenia ruchu, czy awarie, czy też replikujący się złośliwy kod - i raportować to odpowiednim administratorom.

3. Mobilność

Wszystkie rozliczne małe urządzenia mobilne (różne sensory, telefony komórkowe, procesory wbudowane w samochodach itd.) powinny uzyskiwać stały adres IP i móc bezpiecznie łączyć się z siecią.

4. Protokoły i standardy

Internetowi operatorzy i ISP powinni być w stanie lepiej zarządzać routingiem ruchu w sieci i na bazie nowych protokołów sieciowych oferować zaawansowane usługi.

Badania nad nową siecią

Najważniejsze projekty badawcze nad stworzeniem rozwiązań technologicznych "nowego Internetu":

PLANETLAB Princeton University

Budowa nakładki na Internet za pomocą sieci serwerów i specjalnego oprogramowania - obecnie to 630 maszyn w 25 krajach - które wykonują różne funkcje począwszy od wyszukiwania złośliwego kodu aż do optymalizacji ruchu.

EMULAB University of Utah

Laboratorium testowe dla sprzętu i oprogramowania symulujące Internet nowej generacji.

DETER University of Southern Kalifornia

Laboratorium testowe, w którym można weryfikować różne scenariusze ataków sieciowych i sposoby radzenia sobie z nimi.

WINLAB Rutgers University

Tworzenie nowych protokołów i architektur komunikacji bezprzewodowej. Badania nad wieloma aspektami łączności bezprzewodowej - od szybkich modemów aż do zarządzania spektrum częstotliwości.

Trzecia strona Internetu

Działające w USA konsorcjum badawcze o kryptonimie Internet2, grupujące komercyjne laboratoria badawcze i instytucje naukowe, którego zadaniem jest budowanie zaawansowanych technologii internetowych, opracowało rozwiązanie sieciowego uwierzytelniania użytkowników, programów i urządzeń włączonych do sieci. Wykorzystano tutaj koncept trzeciej zaufanej strony i wymiany cyfrowych certyfikatów. Powstał już prototyp o nazwie Shibboleth.

Artykuł przygotowano m.in. na podstawie materiałów "The Internet is Broken", opublikowanych na łamach Technology Review, periodyka wydawanego przez uniwersytet MIT.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200