Quanto può essere fragile l’infrastruttura che regge metà del web? Se pensavate che il problema fossero solo i server che esplodono perché troppi bot la caricano di traffico, preparatevi a rimettervi l’anello al dito.
Recentemente è saltato fuori un segnale d’allarme che ha fatto sobbalzare i monitor di chiunque monitori le zone DNS: il TLD .de sembra essere andato offline, o perlomeno non raggiungibile, con un sospetto colpevole molto specifico: DNSSEC. Per chi non mastica protocolli di rete tutto il giorno, DNSSEC è quel sistema che serve a garantire che la risposta che ricevi dal DNS non sia stata manipolata da qualche tizio in mezzo al percorso. Suona bene, no? Sicuro, protetto, professionale.
Il problema è che quando configuri queste ‘catene di fiducia’ e qualcosa va storto — un record non aggiornato, una firma scaduta o una firma che non torna con la chiave pubblica — il sistema non si limita a dirti ‘ehi, c’è un errore’. No, il sistema decide che la zona è invalida e, di conseguenza, tutto ciò che sta sotto scompare nel nulla. Praticamente, nel tentativo di evitare un attacco man-in-the-middle, abbiamo creato un blackout totale per milioni di utenti. È il classico paradosso della sicurezza: abbiamo costruito un lucchetto così complicato che, se la chiave si incastra un millimetro, rimaniamo tutti fuori di casa.
Da smanettone, la cosa mi fa riflettere su quanto siamo diventati dipendenti da astrazioni che non controlliamo più. Noi che passiamo le notti a far girare script in Python o a ottimizzare il percorso di un utensile su una CNC, siamo abituati al concetto di ‘fail-safe’. Ma qui siamo nel campo del ‘fail-deadly’. Se sbagli un parametro in un file di configurazione di un router, magari perdi la connessione; se sbagli un passaggio nella catena DNSSEC del TLD, la Germania digitale smette di rispondere.
Per noi che amiamo il controllo totale, questo è un promemoria brutale. Non basta che il codice funzioni o che il modellatore 3D sia preciso; bisogna che l’intera infrastruttura sottostante sia resiliente. Questo episodio ci ricorda che la complessità è un debito tecnico che paghiamo con gli interessi sotto forma di instabilità. Spero che i responsabili di Verisign e dei registri tedeschi abbiano già fixato tutto, perché la prossima volta che il .de sparisce, non sarà solo un log su Hacker News a scosso, ma un caos di siti introvabili.
In breve: meno hype sulla ‘sicurezza infallibile’ e più attenzione alla gestione degli errori. Perché la sicurezza che rompe le scatole è solo un altro modo per fare un Denial of Service da soli.
Source: .de TLD offline due to DNSSEC?