Gran corte de Internet «muestra que la infraestructura necesita reparación urgente» | La Internet

Se espera que una de las interrupciones de Internet más grandes del mundo sirva como una «llamada de atención» de que la infraestructura de Internet se ha vuelto peligrosamente demasiado centralizada y carece de capacidad de recuperación, advirtieron los expertos en seguridad.

Un error de configuración inexplicable en un solo proveedor de infraestructura, Fastly, que maneja el 10% del tráfico global de Internet, fue suficiente para dejar los principales sitios web y servicios inoperativos durante casi una hora el martes por la mañana.

Los negocios en línea como Reddit, Amazon, Twitch, Spotify y Hulu se han desconectado, al igual que el sitio web de The Guardian, la BBC, el New York Times y CNN. Los gobiernos nacionales también se pusieron al día: gov.uk no estaba disponible, lo que hizo inaccesibles una multitud de servicios gubernamentales, incluido el sitio de reserva de vacunas Covid, así como el sitio web de la Casa Blanca.

Todos los sitios afectados utilizaban Fastly como red de distribución de contenido (CDN), un servicio destinado a proporcionar una mayor fiabilidad y rendimiento a sitios web de alto tráfico.

Una CDN es una red global de servidores, colocada de modo que al menos un servidor esté lo suficientemente cerca para una conexión rápida dondequiera que resida un usuario. Los clientes como The Guardian envían visitantes a la CDN en lugar de a sus propios servidores, entregando contenido más rápido y protegiendo el sitio web de la sobrecarga en caso de un pico de tráfico.

Pero una CDN también puede servir como un único punto de falla: si la red colapsa, también puede bloquear todo el tráfico que va a los sitios web que protege. Cuanto más grandes son las CDN, se crea una concentración de poder en el mercado.

La gran mayoría del tráfico de Internet se enruta a través de una de las tres CDN: Fastly, Cloudflare o CloudFront de Amazon. David Warburton, de la firma de ciberseguridad F5 Labs, dijo que la centralización es relativamente nueva en la historia de Internet y es probable que continúe causando problemas.

«La web en su conjunto estaba destinada a ser descentralizada», dijo. “Al no depender de ningún sistema central, significaba que muchos componentes diferentes podían fallar y el tráfico de Internet siempre podía encontrar la manera de llegar a donde tenía que ir. Sin embargo, lo que hemos visto durante la última década es la centralización involuntaria de muchos servicios básicos a través de grandes proveedores de soluciones en la nube como proveedores de infraestructura y CDN.

Paddy McGuinness, quien fue asesor adjunto de seguridad nacional responsable de seguridad de inteligencia y resiliencia entre 2014 y 2018, dijo que el ataque debe verse como «una llamada de atención» y que los políticos deben expandir el enfoque existente centrado en la seguridad a medida que la tecnología brinda nuevos servicios a el Reino Unido. Público.

«Necesitamos la resiliencia como un objetivo político explícito, especialmente en las nuevas redes que estamos construyendo para brindar servicios a los ciudadanos», dijo el ex informante de Whitehall, que ha trabajado con dos primeros ministros, David Cameron y Theresa May. “Un mantra ‘seguro por diseño y predeterminado’ es bienvenido, pero no es suficiente por sí solo. »

Las agencias de inteligencia GCHQ y su brazo de seguridad cibernética, el Centro Nacional de Seguridad Cibernética (NCSC), trabajando solos «no pudieron evitar la interrupción», argumentó McGuiness, en parte porque una parte clave de su misión era detectar y prevenir ataques hostiles. estados y piratas informáticos, en lugar de garantizar la estabilidad a largo plazo de los servicios esenciales para el consumidor.

El costo de tal falla puede ser enorme. En 2015, cuando la escala de la economía de Internet era solo una fracción de la actual, el costo de las interrupciones del servicio en la nube se estimó en casi $ 300 millones (alrededor de £ 210 millones de libras esterlinas) por año, explica la profesora Rebecca Parry de la Facultad de Derecho de Nottingham. . «La responsabilidad por pérdida de servicio probablemente estará cubierta por el ‘acuerdo de nivel de servicio’ con los clientes de servicios en la nube de pago», dijo Parry, «pero los acuerdos generalmente no cubrirán todas las pérdidas incurridas».

Chris Huggett, de Sungard Availability Services, dijo que es poco probable que un cliente típico de Fastly reciba más de $ 1,000 en gastos reembolsados ​​por la interrupción, aunque sus costos reales podrían ser cientos de veces más altos. “Con el costo promedio del tiempo de inactividad ahora en $ 250,000 la hora, cada minuto cuenta. «

En noviembre de 2020, AWS, el brazo de alojamiento en la nube de Amazon, sufrió una interrupción a media tarde en la costa oeste de los Estados Unidos durante varias horas. El colapso del servicio, que interactúa con aproximadamente el 40% de todo Internet, ha derribado sitios y servicios como 1Password, Flickr, iRobot y The Washington Post.

Meses antes, un accidente en Cloudflare, otro CDN como Fastly, había inutilizado gran parte de la web. Esto se atribuyó a un solo error en un enlace físico entre los centros de datos de Newark y Chicago, que se convirtió en una interrupción que tardó casi dos horas en repararse por completo.

Warburton dijo el martes después de la interrupción de Fastly: “En un modelo de implementación de aplicaciones de Internet tradicional, una falla del servidor o una aplicación configurada incorrectamente puede resultar en la eliminación de un solo sitio web. Como hemos visto hoy, problemas similares con un proveedor de soluciones en la nube pueden acabar acabando con todos sus clientes, lo que lleva no a que un sitio web se desconecte, sino a cientos o miles. El impacto puede afectar las experiencias digitales, los ingresos y la reputación de las organizaciones.

“La ‘re-centralización’ de Internet a través de estas soluciones en la nube ahora está causando los mismos problemas que se suponía que el diseño original de Internet debía evitar a través de la redundancia. Es importante que consideremos un enfoque que nos aleje de puntos únicos de falla o probablemente veremos más problemas como lo hicimos hoy.

Deja un comentario