O dia em que a internet quase colapsou (e fomos salvos por 500ms de lentidão)

Já pararam para pensar que a infraestrutura global da internet assenta, muitas vezes, em pequenos projetos de código aberto mantidos por um único voluntário não remunerado no seu tempo livre? O canal Veritasium publicou recentemente um vídeo fenomenal que ilustra na perfeição a fragilidade deste ecossistema. O documentário explora a história do movimento open-source e foca-se num dos ataques de engenharia social e cibernética mais pacientes, sofisticados e assustadores de que há memória: o famoso caso do backdoor no utilitário de compressão XZ.

O que torna este ataque tão fascinante (e aterrador) é o nível absurdo de planeamento envolvido. Um ator malicioso, sob o pseudónimo Jia Tan, passou mais de dois anos a ganhar a confiança da comunidade para assumir a manutenção do projeto XZ. O objetivo era claro: comprometer o processo de autenticação do OpenSSH através de uma cadeia complexa de dependências. Utilizando técnicas muito avançadas, como a ocultação de código malicioso em ficheiros de teste binários e a manipulação da memória, o atacante esteve a semanas de distribuir uma atualização que lhe daria uma "chave mestra" para aceder a milhões de servidores em todo o mundo de forma indetetável.

O apocalipse digital só não aconteceu por um verdadeiro golpe de sorte aliado a uma curiosidade técnica obsessiva. Andres Freund, um engenheiro, notou uma anomalia microscópica nos seus testes de rotina: um atraso de apenas 500 milissegundos nas ligações SSH. Em vez de ignorar ou atribuir a falha ao acaso, ele puxou o fio à meada e desvendou a armadilha global mesmo antes do seu lançamento oficial. Este vídeo é um excelente ponto de partida para discutirmos a forma como a indústria consome software livre sem dar o devido suporte aos seus mantenedores. Recomendo vivamente a visualização!

Link para o vídeo: A internet quase entrou em colapso e ninguém percebeu