Zastanówcie się przez chwilę: co jeszcze w waszym domu pochodzi z lat 80.? Magnetowid? Dawno wyrzucony. Stary telewizor? Też nie. A jednak każdy klik, każdy stream na Netflix, każda transakcja w banku przechodzi przez infrastrukturę sieciową zaprojektowaną wtedy, gdy Ronald Reagan był prezydentem USA (bardzo dawno).
Sieć zbudowana na zaufaniu z czasów zimnej wojny
W 1989 roku, gdy powstawał Border Gateway Protocol (BGP), świat wyglądał zupełnie inaczej. Berliński Mur jeszcze stał, a internet łączył głównie uczelnie i instytucje badawcze. Bezpieczeństwo? Nikt się tym specjalnie nie przejmował – w końcu kto miałby chcieć zaatakować kilkadziesiąt połączonych ze sobą komputerów?
Dziś ten sam protokół kieruje ruchem w sieci obsługującej miliardy urządzeń. I nadal działa na tej samej zasadzie: “jeśli ktoś mówi, że kontroluje daną część internetu, wierzmy mu na słowo”.
Efekty? Spektakularne awarie. Gdy Pakistan postanowił zablokować YouTube na swoim terytorium, przez pomyłkę “wyłączył” serwis dla całego świata. Cloudflare, gigant świadczący usługi internetowe, padł ofiarą podobnego błędu, paraliżując dostęp do tysięcy stron.
Rząd USA w końcu się obudził. We wrześniu 2024 roku Biały Dom opublikował plan naprawy bezpieczeństwa routingu internetowego, nazywając problem “priorytetem bezpieczeństwa narodowego”. Również Komisja Komunikacji Federalnej (FCC) zaproponowała nowe regulacje zmuszające dostawców internetowych do walki z lukami BGP.
DNS: książka telefoniczna na sterydach
Pamiętacie jeszcze książki telefoniczne? Te grube tomiszcza pełne numerów, które zostawiał listonosz? Domain Name System działa podobnie – tylko że jest dostępny dla każdego, zawsze i wszędzie.
Każda domena, każde zapytanie, każda próba połączenia – wszystko jest jawne. To tak, jakby wasze wszystkie telefony były na głośniku, a każdy mógł podsłuchiwać, do kogo dzwonicie.
Dla hakerów to prawdziwa kopalnia złota.W 2024 roku DNS stał się jednym z najpopularniejszych wektorów ataków – 88% organizacji doświadczyło co najmniej jednego ataku DNS, średnio siedem razy w roku. Każdy udany atak kosztuje firmę średnio 942 000 dolarów.
W pierwszym kwartale 2024 roku zarejestrowano aż 1,5 miliona ataków DDoS na DNS. To alarmujące tempo wzrostu.
Kiedy zaufanie staje się słabością
Realność ataków przestała być teorią. W 2018 roku hakerzy przejęli ruch DNS Amazon Web Services w ataku na portfel kryptowalutowy MyEtherWallet, kradnąc około 150 000 dolarów. W tym samym roku błędna konfiguracja BGP w nigeryjskim dostawcy MainOne spowodowała, że ruch Google’a przez ponad godzinę był przekierowywany przez Chiny i Rosję.
2024 rok był rekordowy pod względem ataków na infrastrukturę. Chińska grupa Salt Typhoon zaatakowała największych amerykańskich operatorów telekomunikacyjnych, w tym Verizon, AT&T i T-Mobile. Ataki na krytyczną infrastrukturę w USA wzrosły alarmująco – cele obejmowały sieci energetyczne, systemy wodne i transportowe.
Ewolucja vs. rewolucja
Podczas gdy procesory stały się tysiące razy szybsze, pamięci – pojemniejsze, a oprogramowanie – inteligentniejsze, fundamenty internetu pozostały niezmienione. To jak próba jeżdżenia Formułą 1 po drogach z czasów Juliusza Cezara.
Przemysł wie o problemie. Eksperci z firmy badawczej Forescout odkryli trzy nowe luki w popularnym oprogramowaniu routingu BGP, używanym przez takich gigantów jak NVIDIA czy Cisco. Instytut NIST opublikował w styczniu 2025 roku wytyczne bezpieczeństwa BGP, otwarte na komentarze publiczne.
Około 70% globalnego ruchu internetowego w Europie jest już chronione przez certyfikaty ROA (Route Origin Authorization), ale USA pozostają w tyle z 39% – głównie przez kilku dużych operatorów, którzy nie wdrożyli jeszcze nowych standardów.
Co to oznacza dla nas?
Krótkoterminowo – niewiele. Internet jakoś działa, strony się ładują, filmy odtwarzają. Ale każda awaria przypomina nam, jak krucha jest ta konstrukcja.
Długoterminowo – problem narasta. Kanadyjska Agencja Cyberbezpieczeństwa ostrzega, że ransomware pozostanie głównym zagrożeniem dla infrastruktury krytycznej w latach 2025-2026. Mandiant raportuje, że 33% wszystkich ataków w 2024 roku zaczynało się od wykorzystania luk w urządzeniach brzegowych – routerach, firewall’ach i VPN’ach.
Prawdziwy problem pojawi się, gdy hakerzy na poważnie wezmą się za wykorzystywanie tych słabości. Nie mówimy już o pojedynczych atakach, ale o możliwości sparaliżowania połowy internetu jednym, dobrze przemyślanym ruchem.
Nadzieja na horyzoncie
Czy doczekamy internetu na miarę XXI wieku? Pierwsze kroki już się dzieją. Cloudflare uruchomił inicjatywę “Is BGP safe yet?”, monitorującą postępy w zabezpieczaniu protokołu. Rośnie liczba operatorów wdrażających RPKI – standard, który może zweryfikować prawdziwość ogłoszeń routingu.
Czytaj też: UE odpowiada Google i Cloudflare. DNS4EU to europejska alternatywa z ochroną prywatności
Jedno jest pewne – cyfrowa archeologia ma swoje granice, a my je właśnie osiągnęliśmy. Pozostaje pytanie: czy zmiany nadejdą na czas, zanim hakerzy wykorzystają pełny potencjał tych 40-letnich luk?