A INTERNET É SEGURADA POR CHICLETE E FITA CREPE (react a @AtilaIamarino ) | Tecnologia e Classe

A tecnologia que sustenta a internet e sistemas digitais frequentemente se apoia em estruturas surpreendentemente frágeis. Muitas vezes, a conectividade e a funcionalidade dependem de componentes unidos por meios improvisados, como gravetos, borrachas e cola. Qualquer falha inesperada em um ponto nevrálgico pode provocar um colapso generalizado, um cenário que já se concretizou em diversas ocasiões históricas.

Programadores e desenvolvedores dedicam tempo considerável correndo atrás de prejuízos causados por essas fragilidades sistêmicas. A dependência mútua entre os serviços significa que um pequeno erro em um componente pode paralisar um site ou serviço inteiro. Essa instabilidade é um sintoma da infraestrutura precária da internet, um tema que merece atenção especial.

A internet é sustentada por sistemas tão precários que um erro ou uma pessoa ausente podem derrubar muito, mas muito do que usamos.

Em julho de 2024, ocorreu uma das maiores falhas críticas da história da internet e de sistemas de computador. O resultado incluiu o cancelamento de voos, sistemas hospitalares inoperantes e bancos fora do ar. Mais de 8 milhões e meio de computadores Windows travaram com tela azul. A causa raiz foi uma simples atualização do Falcon, um antivírus da CrowdStrike que possui acesso privilegiado ao sistema Windows.

A estrutura da internet é um misto complexo de iniciativas que variam desde ações voluntárias e não corporativas até iniciativas empresariais extremamente concentradas. Essa concentração faz com que poucas empresas se tornem o gargalo de funcionalidades que são consideradas garantidas na vida cotidiana. Segundo uma estimativa da Security Scorecard, apenas 15 companhias controlam cerca de 2 ter dos produtos e serviços de cibersegurança.

Ao acessar um site como youtube.com.br, o Sistema de Nomes de Domínio (DNS) converte o nome legível para o endereço IP numérico correspondente. Embora muitos servidores realizem essa conversão, os maiores estão concentrados em poucas companhias, como a Verisign e a IEN, esta última com cerca de 400 funcionários. Essa concentração geográfica e corporativa cria um ponto de vulnerabilidade política, onde a negação de acesso à infraestrutura de DNS por uma potência estrangeira poderia dificultar drasticamente a navegação.

Mesmo protocolos de segurança, como o de certificados, dependem da confiança depositada em quem emite e valida esses certificados, e na base de certificados mantida pelos navegadores. Soluções como Web3 e blockchain buscam descentralizar essa confiança, mas os protocolos atuais ainda dependem de terceiros em pontos cruciais da cadeia.

A internet nasceu de um sistema público de comunicação entre cientistas e militares, feito para ser descentralizado e sem aplicação comercial clara. Esse desenvolvimento inicial dependeu de inúmeras soluções de software livre (open source) que viabilizaram sistemas que seriam inviáveis comercialmente. Contudo, essa infraestrutura aberta foi gradualmente ocupada por um modelo que o autor chama de 'ideologia californiana', uma fusão de cultura de compartilhamento com ultra empreendedorismo.

As maiores empresas da história cresceram em parte porque não precisaram pagar pela infraestrutura de telecomunicações construída com grande investimento estatal, que não foi projetada para fins comerciais ou de monitoramento de consumo. Se a rede tivesse sido concebida por uma empresa privada, provavelmente haveria tarifas por cada byte ou transação, restringindo o compartilhamento livre de conhecimento.

Existe uma crítica pertinente sobre o 'Pacto Caracu': desenvolvedores dedicam tempo para manter projetos de software livre, enquanto as corporações lucram bilhões com eles. Os executivos alcançam o auge da tecnologia, enquanto os colaboradores trabalham de graça, recebendo apenas reconhecimento, o que é insuficiente para sustentar a manutenção a longo prazo.

O protocolo que impede que dados sensíveis, como números de cartão de crédito, sejam acessados por terceiros ao navegar em sites seguros é o TLS, que utiliza a biblioteca OpenSSL. Essa biblioteca vital, que sofreu com a vulnerabilidade Heartbleed, era mantida por apenas dois indivíduos, Steve Marquez e Steven Henson, sem um modelo de financiamento adequado para a infraestrutura que suportavam.

A falta de manutenção adequada levou a vulnerabilidades como o Heartbleed, que permitia a leitura de dados da memória do servidor consultado, incluindo senhas e chaves de criptografia. Embora a teoria sugira que 'muitos olhos' garantem a segurança do código aberto, na prática, quem tem interesse e tempo para inspecionar profundamente são aqueles com intenção de explorar falhas, como agências de segurança.

O que nós temos que fazer é juntar várias dessas essas falhas de segurança pra gente poder explorar Elas quando a gente precisar.

A dependência de voluntários se estende a sistemas cruciais que não estão diretamente ligados à segurança, mas sim à funcionalidade básica da tecnologia. O programa GPSD, que traduz dados de posicionamento global para sistemas de navegação em carros autônomos e equipamentos militares, é mantido por Gary Miller, um programador aposentado que o faz por ser mais interessante que jogar Sudoku.

O sistema de fuso horário (tzdata), que sincroniza as horas entre computadores e gerencia a aplicação do horário de verão, é coordenado por um professor universitário da Califórnia como um passatempo. Este sistema, do qual dependem o setor financeiro, transporte e comunicação, só é notado quando falha no celular, indicando que a manutenção de funções críticas reside em interesses pessoais e lazer, e não em obrigações corporativas.

Existe uma mentalidade tóxica na comunidade de software livre que exige um estoicismo moral dos desenvolvedores, como se todos devessem ser voluntários. Contudo, a realidade mostra que quem consegue manter esses projetos são pessoas com tempo livre, seja por aposentadoria ou por estarem em posições acadêmicas com remuneração estável. É fundamental entender o contexto dessas pessoas para expandir a generalização desse modelo, em vez de se considerar superior por usar software livre.

A construção de sistemas modernos assemelha-se à construção civil, onde se utilizam tijolos prontos (pacotes de código). A diferença crucial é que esses códigos são sistemas ativos que exigem manutenção contínua. O caso da montadora Fisker ilustra isso: quando a marca faliu, os sistemas dos carros que permitiam a saída da garagem ficaram inoperantes, transformando veículos caros em meros tijolos inamovíveis, devido à dependência de servidores proprietários.

Códigos críticos podem ser derrubados por motivos aleatórios, como a prisão de Denis Pushkarev, desenvolvedor da biblioteca JavaScript Core JS. Ele foi encarcerado por um acidente de trânsito, e a biblioteca, baixada milhões de vezes, ficou sem manutenção. Mesmo após sua saída, ele abandonou o projeto quando seu filho nasceu, pois as doações voluntárias se mostraram insuficientes para manter uma família e a biblioteca simultaneamente.

Em 2016, a biblioteca Left-pad, um código minúsculo de 11 linhas responsável apenas por adicionar espaços à esquerda de um texto, foi retirada do gerenciador npm pelo seu criador em protesto. Devido à alta reusabilidade de código, metade da internet parou de funcionar, pois sistemas de integração contínua falharam ao tentar instalar dependências inexistentes. Os organizadores do npm precisaram restaurar forçadamente o pacote para restaurar a funcionalidade global.