Como um pequeno provedor de serviços de Internet (ISP) na Pensilvânia pode fazer com que milhões de sites em todo o mundo fiquem offline? Foi o que aconteceu em 24 de junho, 2019, quando usuários em todo o mundo não conseguiram acessar uma grande fração da web. A causa raiz foi uma interrupção sofrida pelo Cloudflare, um dos principais hosts de conteúdo da Internet, do qual dependiam os sites afetados.

A Cloudflare rastreou o problema até um ISP regional na Pensilvânia que acidentalmente anunciou para o resto da Internet que as melhores rotas disponíveis para a Cloudflare eram por meio de sua pequena rede. Isso causou um grande volume de tráfego global para o ISP, que sobrecarregou sua capacidade limitada e interrompeu o acesso da Cloudfare ao resto da Internet. Como Cloudflare observou, era o equivalente na internet a rotear uma rodovia inteira por uma rua de bairro.

Este incidente destacou a vulnerabilidade chocante da Internet. Só em 2017, havia cerca de 14, 000 desses tipos de incidentes. Dado que é de missão crítica para grande parte da vida econômica e social do mundo, a rede não deveria ser projetada para resistir não apenas a pequenos soluços, mas também a grandes catástrofes, e evitar que pequenos problemas se transformem em muito maiores? Órgãos de governo como a Agência da UE para a Segurança das Redes e da Informação (ENISA) há muito alertam para o risco de tais incidentes em cascata causarem falhas sistêmicas na Internet. No entanto, a Internet continua preocupantemente frágil.

Como uma rede rodoviária, a internet tem suas próprias rodovias e cruzamentos que consistem em cabos e roteadores. O sistema de navegação que gerencia o fluxo de dados pela rede é denominado Border Gateway Protocol (BGP). Quando você visitou este site, O BGP determinou o caminho pelo qual os dados do site seriam transmitidos para o seu dispositivo.

O problema é que o BGP foi projetado apenas para ser uma solução temporária, uma solução "boa o suficiente" quando a Internet estava crescendo rapidamente no final dos anos 1980. Em seguida, provou ser bom o suficiente para ajudar a rede a sustentar sua expansão explosiva e rapidamente se tornou parte de todos os roteadores de backbone que gerenciam o fluxo de dados pelos principais caminhos da Internet. Mas não foi construído com a segurança em mente, e os mecanismos para garantir que os caminhos que o BGP envia os dados sejam válidos nunca foram adicionados. Como resultado, erros de roteamento não são detectados até que causem congestionamento e interrupções.

Pior ainda, qualquer pessoa que possa acessar um roteador de backbone (e isso é trivial para alguém com o conhecimento e o orçamento certos) pode construir rotas falsas para sequestrar o tráfego de dados legítimo, interromper serviços e espionar comunicações. Isso significa que a Internet moderna opera usando um protocolo inseguro que é explorado diariamente para comprometer as comunicações dos governos, instituições financeiras, fabricantes de armas e criptomoedas, frequentemente como parte de uma guerra cibernética com motivação política.

Esses problemas são conhecidos pelo menos desde 1998, quando um grupo de hackers demonstrou ao Congresso dos Estados Unidos como era fácil comprometer as comunicações pela Internet. Ainda, pouco mudou. Implementar as soluções criptográficas necessárias acabou sendo tão difícil quanto trocar os motores de um avião em pleno vôo.

Em um problema real de aviação, como os recentes problemas com a aeronave 737 MAX da Boeing, os reguladores têm autoridade para suspender uma frota inteira até que ela seja consertada. Mas a internet não tem autoridade centralizada. Diferentes partes da infraestrutura pertencem e são operadas por diferentes entidades, incluindo corporações, governos e universidades.

A disputa entre esses diferentes jogadores, que muitas vezes têm interesses conflitantes, significa que eles não têm incentivos para tornar sua parte da Internet mais segura. Uma organização teria que arcar com os custos significativos de implantação e riscos operacionais que vêm com a mudança para uma nova tecnologia, mas não colheria nenhum benefício, a menos que uma massa crítica de outras redes fizesse o mesmo.

A solução mais pragmática seria desenvolver protocolos de segurança que não precisassem de coordenação global. Mas as tentativas de fazer isso também foram impedidas pela propriedade descentralizada da Internet. As operadoras têm conhecimento limitado do que acontece além de suas redes devido ao desejo das empresas de manter o segredo de suas operações comerciais.

Como resultado, hoje ninguém tem uma visão completa da infraestrutura de comunicação mais crítica de nossa sociedade. Isso atrapalha os esforços para modelar o comportamento da Internet sob estresse, tornando mais difícil projetar e avaliar soluções confiáveis.

Melhorando a segurança

As implicações diretas dessa situação sombria para a segurança nacional levaram as agências governamentais a intensificar suas atividades para proteger sua infraestrutura crítica de Internet. Por exemplo, o UK National Cyber ​​Security Center (NCSC) lançou recentemente o programa Active Cyber ​​Defense (ACD), o que coloca a segurança do roteamento da Internet entre suas principais prioridades.

Como parte deste programa, minha própria pesquisa envolve mapear a internet em um nível de detalhe sem precedentes. O objetivo é iluminar locais ocultos onde a infraestrutura é particularmente suscetível a ataques e responsável por falhas em cascata.

Ao mesmo tempo, novas iniciativas estão tentando tornar a segurança uma consideração mais rotineira para as pessoas que trabalham para organizações que controlam a infraestrutura da Internet.

À medida que nos tornamos mais dependentes economicamente da Internet, o custo das interrupções aumentará ainda mais. E o advento das criptomoedas, cujas transações são fundamentalmente vulneráveis ​​a ataques de sequestro de BGP, poderia finalmente tornar a resolução desse problema uma prioridade para empresas de infraestrutura de Internet.

Não é exagero dizer que a Internet é atualmente um Velho Oeste cibernético. Mas depois de duas décadas de esforços ineficazes, há uma chance de que os dias de fora-da-lei estejam lentamente chegando ao fim.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.