Na semana passada, três provedores no Chile e um provedor na Califórnia estavam impedindo seus usuários de acessar os sites YouTube, Facebook e Twitter. Tudo indica que o responsável pelo problema foi o programa de censura da internet chinesa, o “Escudo Dourado”, que também impede os internautas chineses de acessarem esses mesmos endereços. O modo no qual a censura chinesa vazou para os outros países você confere na coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Para entender o que aconteceu, é necessário algum fundamento sobre como a rede funciona. Como o nome sugere, a internet é uma ligação de redes e é também uma teia. Seu provedor é uma rede da qual você passa a fazer parte quando se conecta. Seu provedor tem conexão com outros provedores, que têm conexão com outros provedores e assim por diante. No final das contas, todo mundo tem algum meio de chegar a qualquer outro ponto da teia, passando pelos demais provedores.
Porém, antes de chegar no seu computador especificamente, os dados passam pela rede de vários outros provedores.
João está no provedor A. Maria está no provedor B. Os provedores A e B têm conexão com o provedor C, mas não têm conexão direta entre si. Um arquivo que João envia para Maria precisa passar pelo provedor dele (o A), o provedor C, para então chegar ao provedor B da Maria e finalmente no computador dela. Às vezes, uma conexão precisa passar por vários outros provedores antes de chegar ao destino. A situação aqui descrita ainda está bem simplificada.
Cada uma dessas redes de provedores recebe o nome de sistema autônomo (autonomous system – AS). Se você quiser abrir um provedor, você precisa solicitar um bloco de endereços IP para colocar neles os seus serviços e a conectividade dos usuários. Este bloco que você vai receber será um “AS”. É a conectividade entre os vários ASs é que fazem a internet.
Cada AS tem na “fronteira”, como acesso, um dispositivo chamado “roteador”. É ele que sabe onde fica cada endereço IP dentro de sua rede para encaminhar os dados que recebe. Assim, ele tem acesso a tudo que chega e sai. Os IPs de uma AS são na maioria das vezes contínuos.
“Treze” servidores raiz
O sistema de nomes de domínio (DNS) é responsável por traduzir “nomes” como “globo.com” em endereços de internet (IP), porque somente o IP é que realmente pode permitir que um computador acesse outro na internet. O DNS funciona como o famoso “102” (auxílio à lista): você pede um nome, ele retorna um número.
Há aqui duas questões conflitantes. Primeiro, alguém precisa manter a lista. Precisa ser algo “central”. Por outro lado, se for centralizado, a infraestrutura da rede não iria aguentar – são muitos usuários. Por esse motivo, o DNS funciona em camadas. Quando você acessa “globo.com”, você teve que passar por três camadas: a raiz, a “.com” e a “globo dentro da .com”.
A raiz também é conhecida simplesmente como “.”. Tente acessar algum site colocando um ponto depois do .com, como em http://pt.wikipedia.org./. Os navegadores custam remover esse ponto, porque ele está, na verdade, em todos os sites que acessamos.
A raiz funciona com “13” servidores: A, B, C, D, E, F, G, H, I, J, K, L, M (esses são os nomes técnicos). A aspas no “13” é que, embora pareçam ser apenas 13, na verdade eles são muito mais do que isso, porque muitos deles são distribuídos usando um protocolo chamado Anycast.
Em 2006, esses “13” eram mais de 120. Hoje, devem ser ainda mais.
Porém, antes de chegar no seu computador especificamente, os dados passam pela rede de vários outros provedores.
João está no provedor A. Maria está no provedor B. Os provedores A e B têm conexão com o provedor C, mas não têm conexão direta entre si. Um arquivo que João envia para Maria precisa passar pelo provedor dele (o A), o provedor C, para então chegar ao provedor B da Maria e finalmente no computador dela. Às vezes, uma conexão precisa passar por vários outros provedores antes de chegar ao destino. A situação aqui descrita ainda está bem simplificada.
Cada uma dessas redes de provedores recebe o nome de sistema autônomo (autonomous system – AS). Se você quiser abrir um provedor, você precisa solicitar um bloco de endereços IP para colocar neles os seus serviços e a conectividade dos usuários. Este bloco que você vai receber será um “AS”. É a conectividade entre os vários ASs é que fazem a internet.
Cada AS tem na “fronteira”, como acesso, um dispositivo chamado “roteador”. É ele que sabe onde fica cada endereço IP dentro de sua rede para encaminhar os dados que recebe. Assim, ele tem acesso a tudo que chega e sai. Os IPs de uma AS são na maioria das vezes contínuos.
“Treze” servidores raiz
O sistema de nomes de domínio (DNS) é responsável por traduzir “nomes” como “globo.com” em endereços de internet (IP), porque somente o IP é que realmente pode permitir que um computador acesse outro na internet. O DNS funciona como o famoso “102” (auxílio à lista): você pede um nome, ele retorna um número.
Há aqui duas questões conflitantes. Primeiro, alguém precisa manter a lista. Precisa ser algo “central”. Por outro lado, se for centralizado, a infraestrutura da rede não iria aguentar – são muitos usuários. Por esse motivo, o DNS funciona em camadas. Quando você acessa “globo.com”, você teve que passar por três camadas: a raiz, a “.com” e a “globo dentro da .com”.
A raiz também é conhecida simplesmente como “.”. Tente acessar algum site colocando um ponto depois do .com, como em http://pt.wikipedia.org./. Os navegadores custam remover esse ponto, porque ele está, na verdade, em todos os sites que acessamos.
A raiz funciona com “13” servidores: A, B, C, D, E, F, G, H, I, J, K, L, M (esses são os nomes técnicos). A aspas no “13” é que, embora pareçam ser apenas 13, na verdade eles são muito mais do que isso, porque muitos deles são distribuídos usando um protocolo chamado Anycast.
Em 2006, esses “13” eram mais de 120. Hoje, devem ser ainda mais.
Mais de um computador com o mesmo endereço IP. É isso que o anycast permite. Entre todos os computadores que compartilham o mesmo endereço, o anycast “escolhe” aquele que fica mais próximo de você. Literal e fisicamente. Com isso, o acesso fica mais rápido (porque o computador a ser acessado está mais perto) e a carga de acessos fica distribuída entre todos os computadores que compartilham aquele IP. Um endereço IP de um servidor raiz pode estar localizado em mais de um lugar do mundo, ou seja, em vários e diferentes “ASs”.
O servidor raiz I, que é operado por um provedor na Suécia, tem um servidor espelho localizado em Pequim, na China, onde vigora a censura do Escudo Dourado.
Desvio de DNS do Escudo Dourado
Por algum motivo, a China entende que é uma boa ideia realizar a filtragem não apenas nos servidores de DNS do país, mas nas redes inteiras. Os equipamentos que ficam nas “fronteiras virtuais” chinesas inspecionam cada conexão que chega. Se alguma se parece com uma solicitação pelo IP do Facebook, por exemplo, a “rede” em si – e não qualquer computador específico – responde a solicitação com um endereço falso.
Agora, o que acontece quando o Anycast achar que, por algum motivo, o servidor na China é o mais adequado para responder as solicitações? A rede chinesa ficará muito contente em não apenas bloquear qualquer solicitação pelo endereço do Facebook, do Twitter e do YouTube, mas também responder com um endereço falso e inacessível.
Isso significa que os servidores raiz que ficam na rede chinesa estão simplesmente condenados – a qualquer momento um novo site pode ser bloqueado e respostas falsas para outros endereços vão começar a aparecer.
Xiaodong Lee, que é diretor de tecnologia do CNNIC, que abriga a cópia do servidor raiz I em Pequim, disse que o órgão não realiza nenhuma interceptação de conexões. O detalhe, porém, é que várias partes da rede chinesa, e não apenas a do CNNIC, realizam a censura. A situação pode estar totalmente fora do controle do sistema “autônomo” do CNNIC. Um provedor do CNNIC, provavelmente controlado diretamente pelo governo, é que pode estar realizando o desvio das conexões.
O provedor sueco que opera o servidor raiz I disse que o endereço Anycast chinês não está mais sendo enviado para a internet.
O especialista em DNS Hauke Lampe opinou na web que “a China não é um lugar útil para qualquer tipo de serviço de DNS que será acessado de outros lugares (na minha opinião, sua experiência pode ser outra, mas eu desisti)”.
Devido à maneira que o Anycast funciona, não é surpreendente que, às vezes, um endereço de qualquer outro lugar possa ser escolhido como o “mais próximo”. A rede não é infalível. Porém, os servidores raiz devem sempre responder com a mesma informação, independentemente de onde estão. Os servidores chineses simplesmente não podem fazer isso, pois a rede em si se encarrega de censurá-los.
É como se um e-mail que você recebesse fosse antes lido pelo seu provedor, que poderia respondê-lo e apagá-lo sem que você saiba da mensagem recebida. É isso que acontece na China, mas é algo feito em tempo real pelos equipamentos de rede do país. Está fora do controle dos operadores das redes inferiores, porque é bem provável que um AS superior – que dá conectividade aos outros – é que esteja fazendo isso.
Voltando ao nosso exemplo do início da coluna, é como se o provedor C, que fica entre os provedores A e B de João e Maria, estivesse alterando as mensagens que os dois trocam. A e B não podem fazer nada além de achar outro provedor que possa substituir C. E, quem sabe, é mesmo hora do provedor sueco responsável pelo I achar outro lugar para colocar seu servidor chinês.
A coluna Segurança para o PC de hoje fica por aqui. A análise do Pwn2Own, prometida para hoje, fica para a próxima segunda-feira (5). Na quarta-feira (31) é dia de pacotão de respostas. Se algo não ficou claro a respeito do funcionamento da rede, ASs e DNS, fique à vontade para perguntar, na seção de comentários abaixo. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.
O especialista em DNS Hauke Lampe opinou na web que “a China não é um lugar útil para qualquer tipo de serviço de DNS que será acessado de outros lugares (na minha opinião, sua experiência pode ser outra, mas eu desisti)”.
Devido à maneira que o Anycast funciona, não é surpreendente que, às vezes, um endereço de qualquer outro lugar possa ser escolhido como o “mais próximo”. A rede não é infalível. Porém, os servidores raiz devem sempre responder com a mesma informação, independentemente de onde estão. Os servidores chineses simplesmente não podem fazer isso, pois a rede em si se encarrega de censurá-los.
É como se um e-mail que você recebesse fosse antes lido pelo seu provedor, que poderia respondê-lo e apagá-lo sem que você saiba da mensagem recebida. É isso que acontece na China, mas é algo feito em tempo real pelos equipamentos de rede do país. Está fora do controle dos operadores das redes inferiores, porque é bem provável que um AS superior – que dá conectividade aos outros – é que esteja fazendo isso.
Voltando ao nosso exemplo do início da coluna, é como se o provedor C, que fica entre os provedores A e B de João e Maria, estivesse alterando as mensagens que os dois trocam. A e B não podem fazer nada além de achar outro provedor que possa substituir C. E, quem sabe, é mesmo hora do provedor sueco responsável pelo I achar outro lugar para colocar seu servidor chinês.
A coluna Segurança para o PC de hoje fica por aqui. A análise do Pwn2Own, prometida para hoje, fica para a próxima segunda-feira (5). Na quarta-feira (31) é dia de pacotão de respostas. Se algo não ficou claro a respeito do funcionamento da rede, ASs e DNS, fique à vontade para perguntar, na seção de comentários abaixo. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.
0 comentários:
Postar um comentário