De vez em quando algum serviço da internet passa por instabilidades, ou cai totalmente, e não é culpa de algum ataque hacker. Esses incidentes, em muitos casos – e cada vez mais frequente – resultam de vulnerabilidades com um sistema básico de roteamento da internet, chamado Border Gateway Protocol.
Os dados precisam viajar por toda parte sem sejam controlados por uma única entidade. Toda vez que você carrega um site ou envia um e-mail, o BGP é o sistema responsável por otimizar a rota que os dados percorrem por essas redes interligadas – é o GPS da internet. E quando isso dá errado, se torna um grande problema.
Há anos existe um lento processo de melhorias e salvaguardas nesse protocolo, mas uma coalizão quer acelerar essas medidas. O grupo Mutually Agreed Norms for Routing Security (Normas Mutuamente Acordadas para Segurança de Roteamento, ou MANRS) lançou uma força-tarefa dedicada a ajudar “redes de distribuição de conteúdo” e outros serviços em nuvem a adotar filtros e verificações criptográficas necessárias para fortalecer o BGP.
“Com quase 600 participantes, acreditamos que o entusiasmo e trabalho árduo dos provedores de nuvem poderá encorajar outras operadoras de rede ao redor do mundo a melhorar a segurança de roteamento para todos nós”, afirma Aftab Siddiqui, líder do projeto MANRS e gerente sênior de tecnologia na Internet Society.
O BGP foi criado em 1989, mas a versão usada atualmente permanece praticamente inalterada desde 1994. Embora tenha escalado surpreendentemente bem ao longo dos anos, certas diretrizes do protocolo não funcionam tão bem quanto há 26 anos. A BGP hoje apresenta risco de interrupções, manipulações e interceptação de dados.
Essa última prática, conhecida como “sequestro de BGP” e tem sido usada por hackers em todo o mundo, incluindo a China, para espionagem e roubo de dados. Por isso, organizações como o Google e a Cloudflare, que fazem parte do MANRS, estão buscando acelerar uma mudança para beneficiar a integridade geral da internet.
Ao mesmo tempo, sempre que um serviço fica instável ou cai, esses incidentes refletem de maneira negativa mal para essas empresas, que dependem de passar uma imagem de confiabilidade. “A dependência da sociedade dessa infraestrutura é muito grande”, afirma Royal Hansen, vice-presidente de segurança engenharia para o Google Cloud.
Uma das principais salvaguardas para o BGP que a força-tarefa promove é o RPKI (Routing Public Key Infrastructure), um banco de dados público de rotas assinadas criptograficamente. Sua adoção universal pode eliminar vazamentos e interrupções nas rotas por meio da validação das organizações que o utilizam. O RPKI está em uso por provedores como AT&T, Telia, NTT, Cogent e RETN. Em novembro do ano passado, o Google concluiu o registro RPKI para mais de 99% das suas rotas.
Via: Wired
Tags: