Resumo
- Em 18 de março de 2025, fontes públicas de análise de rede relataram que rotas BGP ligadas à Coreia do Norte se tornaram inválidas no RPKI após a publicação de uma Autorização de Origem de Rota (ROA) defeituosa, que aparentemente autorizava um /22 enquanto a rede anunciava quatro /24s.
- O incidente é um caso útil de responsabilização porque o mecanismo de segurança de rota funcionou como projetado da perspectiva do validador: redes que rejeitam rotas inválidas reduziram a acessibilidade de rotas que eram operacionalmente legítimas, mas inconsistentes com a nova ROA.
- A falha, portanto, não foi um argumento contra o RPKI. Foi uma evidência de que os dados do RPKI se tornaram infraestrutura compartilhada e devem ser governados com revisão de mudanças, preparação (staging), disciplina de maxLength, monitoramento, reversão e alertas.
- A dependência de modo comum é o principal risco. À medida que mais redes adotam a validação de origem de rota e rejeitam inválidos, um único erro de publicação por parte de um titular de recurso ou do RIR pode ter consequências operacionais mais amplas, porque muitas redes consomem a mesma declaração criptográfica.
- O padrão de reparo deve ser verificável: identificar os prefixos inválidos, corrigir a ROA, medir a recuperação da propagação da rota, preservar a linha do tempo e publicar evidências suficientes para que outros operadores possam auditar seus próprios controles de maxLength e alertas.
Registro de evidências e como é usado
Este artigo trata o registro público como evidência em camadas. Relatos de incidentes, normas, medições de navegadores ou roteamento, materiais regulatórios ou de políticas e orientações atuais de operadores são usados para diferentes afirmações. Fontes de autoria de empresas são atribuídas como posições das empresas. Normas e orientações posteriores são usadas para explicar controles e apresentar expectativas de responsabilização, não para inventar fatos privados ou impor retroativamente obrigações posteriores quando o registro público não apoia essa afirmação.
| # | Registro público | Uso nesta análise |
|---|---|---|
| 1 | Kentik North Korea faulty ROA | Fonte primária de análise de rede pública para as rotas da Coreia do Norte se tornarem inválidas no RPKI em 18 de março de 2025 devido a um ROA defeituoso. |
| 2 | Internet Society Pulse report | Resumo público independente observando que a APNIC assinou uma nova ROA e descrevendo o impacto da ROA defeituosa. |
| 3 | North Korea Internet report | Relatório de monitoramento especializado para a queda de conectividade do AS131279 e o momento da mudança de ROA/SOA. |
| 4 | lazarus.day mirror/report | Relatório adicional de incidente público explicando o maxLength /22 contra quatro anúncios /24. |
| 5 | RIPE Labs real-time routing analysis | Artigo do RIPE Labs revisitando o incidente da ROA defeituosa da Coreia do Norte com contexto de monitoramento BGP. |
| 6 | APNIC cleaning invalid routes | Orientação do registro regional da Internet sobre valores incorretos de maxLength e atualizações de ROA. |
| 7 | RIPE NCC BGP origin validation | Explicação operacional dos estados de validade da ROA e da política de validação de origem de rota. |
| 8 | bgp.tools invalid alert help | Contexto operacional de alerta para um prefixo que se torna inválido no RPKI. |
| 9 | MANRS hunting invalid routes | Artigo do setor sobre monitoramento de discrepâncias entre IRR, ROA e estado BGP. |
| 10 | RFC 6480 | Padrão de arquitetura RPKI para certificação de recursos numéricos. |
| 11 | RFC 6482 | Padrão de perfil ROA para objetos de Autorização de Origem de Rota. |
| 12 | RFC 6811 | Padrão de validação de origem de prefixo BGP definindo resultados de validade. |
| 13 | RFC 7115 | Orientação operacional de validação de origem para roteadores BGP. |
| 14 | NIST SP 800-189 | Orientação governamental para operações de RPKI, validação de origem BGP e segurança de rota. |
| 15 | Cloudflare RPKI explainer | Explicação do operador sobre autorização de rota e propósito do RPKI. |
| 16 | Cloudflare RPKI deployment details | Contexto de implantação do operador para maxLength de ROA e prática de segurança de roteamento. |
| 17 | NRO RPKI program | Contexto da Number Resource Organization para RPKI global entre os RIRs. |
| 18 | LACNIC incorrect ROA guidance | Orientação do RIR explicando ROAs incorretas e verificação. |
| 19 | Learning to Identify Conflicts in RPKI | Contexto de pesquisa sobre conflitos benignos de RPKI, configurações incorretas e incentivos de filtragem do operador. |
| 20 | Kentik BGP explainer | Explicação em linguagem simples de BGP, RPKI e ROAs para contexto do leitor. |
O RPKI tornou o erro visível e consequente
O RPKI existe porque o BGP comum dá às redes muito espaço para acreditar em alegações falsas de acessibilidade. As Autorizações de Origem de Rota permitem que os titulares de recursos digam qual sistema autônomo pode originar qual prefixo e, por meio do maxLength, quão específico o anúncio pode ser. As redes que realizam a Validação de Origem de Rota podem então tratar as rotas como válidas, inválidas ou não encontradas e aplicar políticas. Isso é uma grande melhoria de segurança. O incidente da ROA defeituosa da Coreia do Norte mostra que a melhoria cria uma nova dependência operacional na precisão dos dados de autorização publicados.
A Kentik relatou que, em 18 de março de 2025, as rotas BGP da Coreia do Norte se tornaram inválidas no RPKI devido à publicação de uma ROA defeituosa. Outros relatos públicos descrevem uma autorização /22 com maxLength /22 enquanto a rede anunciava quatro prefixos /24. Sob a lógica ROV, uma rota pode ser inválida mesmo que o AS de origem corresponda quando o prefixo anunciado é mais específico do que o ROA permite. Se os operadores rejeitarem inválidos, a acessibilidade cai. Em outras palavras, o sistema não falhou ao ignorar o ROA. Falhou porque o ROA descreveu o roteamento de produção incorretamente.
Esse é o ponto do modo comum. Antes do RPKI, os filtros de rota e o julgamento de cada rede podiam falhar de maneiras diferentes. Com o RPKI, muitas redes podem consumir o mesmo objeto assinado. Isso é bom quando o objeto está correto: um sequestro de origem errada pode ser amplamente rejeitado. É perigoso quando o objeto está errado: rotas legítimas podem ser amplamente rejeitadas. A fonte compartilhada de verdade se torna um modo de falha compartilhado.
A resposta não é evitar o RPKI. Recusar-se a validar porque as autorizações podem estar erradas mantém o problema antigo de confiança no BGP. A resposta é tratar os dados de ROA como controle de mudanças de produção. Criar o primeiro ROA para um titular de recurso, alterar o maxLength, mover origens ou desagregar prefixos deve ser tratado como uma alteração de roteamento de alto impacto. Precisa de revisão, simulação, monitoramento, reversão e alertas.
Isso é especialmente importante para redes pequenas ou concentradas. A pegada pública da Internet da Coreia do Norte é limitada em comparação com um provedor de hiperescala, o que tornou o incidente mais fácil de analisar. Mas o mesmo padrão pode afetar universidades, governos, bancos, CDNs, operadoras regionais ou redes de serviços de emergência. Um pequeno número de prefixos ainda pode transportar serviços críticos. Um ROA errado pode transformar um controle de segurança em um incidente de disponibilidade.
maxLength é uma decisão de política, não um campo de formulário
O campo opcional maxLength é onde muitos erros de ROA se transformam em interrupções. Um ROA para um prefixo abrangente pode autorizar apenas esse comprimento de prefixo ou pode permitir anúncios mais específicos até um máximo declarado. Se a rede normalmente anuncia /24s sob um /22, mas o ROA autoriza apenas o /22, os validadores veem os /24s como inválidos. Essa parece ser a explicação pública do incidente da Coreia do Norte. O campo não era um detalhe cosmético; codificava se as rotas de produção eram permitidas para existir.
Os operadores às vezes preferem valores estreitos de maxLength porque autorizações excessivamente amplas podem enfraquecer a proteção. Se um ROA /22 permite /24s, então é mais fácil tratar como válidos mais específicos não autorizados usando a mesma origem. Se não permite /24s, o balanceamento de carga legítimo ou a desagregação podem falhar. O valor certo depende da intenção real de roteamento, planos de emergência e monitoramento. Não existe uma configuração de piloto automático universalmente segura.
Isso torna o maxLength uma questão de governança. Quem conhece o conjunto de rotas de produção? Quem aprova a desagregação? Quem mantém os ROAs quando os prefixos se movem, os anúncios mudam ou provedores são adicionados? Quem recebe alertas quando uma rota se torna inválida? Quem pode corrigir o objeto fora do horário comercial? Quem verifica se um ROA recém-publicado corresponde ao BGP antes que as redes dependentes comecem a rejeitar inválidos? Essas perguntas parecem processuais, mas determinam se uma implantação de segurança protege ou quebra a acessibilidade.
A orientação da APNIC sobre limpeza de rotas inválidas e os materiais dos RIRs sobre ROAs incorretas apontam para o caminho prático de reparo: encontrar a rota inválida, inspecionar o ROA, corrigir o maxLength ou a origem e aguardar a convergência dos caches das partes confiantes e da propagação BGP. Essa sequência deve ser ensaiada. Um primeiro ROA para um país, agência ou empresa não deve ser publicado como se fosse uma atualização burocrática de baixo risco.
O problema também pertence à linguagem contratual. Provedores de rede gerenciados, titulares de contas de RIR e equipes de roteamento terceirizadas podem compartilhar a responsabilidade pela criação da ROA. Um cliente pode não saber que um provedor alterou uma ROA até que os usuários relatem falhas de redes validadoras. Os contratos devem especificar quem possui os dados da ROA, quem aprova o maxLength, qual monitoramento existe e quais evidências são fornecidas após uma alteração no estado de validade.
Incentivos de falha aberta e falha fechada são desconfortáveis
O RPKI cria uma tensão de incentivos. Se as redes rejeitam rotas inválidas, ajudam a impedir sequestros e originações incorretas. Se aceitam rotas inválidas, evitam quebrar a acessibilidade quando uma rede legítima publica um ROA defeituoso. O incidente da Coreia do Norte fica nessa tensão. As rotas se tornaram inválidas. As redes que aplicaram a rejeição reduziram a acessibilidade. As redes que foram permissivas podem ter mantido os caminhos disponíveis, mas também preservaram uma fraqueza na segurança de rota.
Essa tensão às vezes é usada como argumento contra a validação estrita. Isso é muito simples. Um controle de segurança que nunca bloqueia nada não pode proteger contra o ataque para o qual foi construído. Mas um controle de segurança que bloqueia o tráfego de produção devido a dados desatualizados ou errados criará pressão para desativá-lo. A resposta sustentável é melhorar a higiene dos dados e os alertas, de modo que rotas legítimas inválidas se tornem raras, rapidamente detectadas e rapidamente corrigidas.
A pesquisa sobre conflitos benignos de RPKI e incentivos dos operadores faz esse ponto em escala. Configurações incorretas persistem, e as redes que rejeitam inválidos podem perder tráfego quando o estado inválido é benigno. Isso cria pressão econômica contra a adoção. A solução não é normalizar dados ruins. É tornar os dados ruins visíveis, fornecer verificações de pré-publicação, alertar os titulares de recursos antes que o estado da rota mude e criar caminhos de correção de emergência.
A validação de origem de rota também altera quem paga pelos erros. Um titular de recurso ou administrador de conta pode publicar um ROA defeituoso. A perda imediata de conectividade pode ser experimentada por usuários e serviços a jusante. Os provedores de trânsito que aplicam ROV podem ser culpados por derrubar o tráfego, mesmo que sua política esteja fazendo o que o modelo de segurança diz que deveria fazer. A parte que criou o objeto ruim pode não receber todas as chamadas de suporte. Essa divisão de custos pode minar a confiança, a menos que as evidências identifiquem a verdadeira fonte da invalidez.
Um registro de responsabilização maduro deve, portanto, evitar a frase preguiçosa "o RPKI causou a interrupção". Mais precisamente, uma autorização imprecisa tornou rotas legítimas de produção inválidas, e as redes validadoras que rejeitam inválidos aplicaram essa declaração. O problema raiz foi uma falha de governança de dados em um sistema de segurança compartilhado.
O monitoramento deve observar o plano de controle e o plano de autorização
O monitoramento tradicional de roteamento observa os anúncios BGP: origens, caminhos, comprimentos de prefixo, retiradas e propagação. O RPKI exige uma segunda camada de monitoramento: o plano de autorização. Uma rota pode mudar de validade sem que o roteador BGP mude seu anúncio. Um ROA recém-publicado, certificado expirado, falha de repositório ou alteração de maxLength pode converter a rota válida de ontem na rota inválida de hoje. Monitorar apenas o BGP não é mais suficiente.
É por isso que serviços como os alertas de rota inválida do bgp.tools são importantes. Um prefixo que se torna inválido no RPKI é um sinal de produção urgente. Pode indicar um sequestro, uma origem errada, uma incompatibilidade de maxLength, um ROA desatualizado, um problema de repositório ou uma alteração planejada que deu errado. O operador precisa saber rapidamente qual caso se aplica. Para uma rede crítica, esse alerta deve acionar alguém com autoridade para alterar a ROA ou o anúncio de roteamento.
A discussão posterior do RIPE Labs sobre análise de roteamento em tempo real e visualização de incidentes aponta para um futuro útil: combinar visualizações BGP, validade RPKI, propagação de rota e evidências de acessibilidade em um fluxo de trabalho. Durante o incidente da Coreia do Norte, observadores externos puderam ver a mudança de validade e a queda na propagação. Um titular de recurso deve ter pelo menos esse nível de visibilidade para seus próprios prefixos antes que o público perceba.
O monitoramento também deve ser pré-alteração. Antes de publicar um ROA, uma ferramenta deve comparar os ROAs pretendidos com os anúncios BGP atuais e sinalizar todas as rotas que se tornariam inválidas. Se o resultado for intencional, o operador deve agendar a alteração de roteamento e a alteração do ROA juntas. Se não for intencional, a ferramenta deve impedir a publicação. Esta é a lógica comum de gerenciamento de mudanças aplicada a dados criptográficos de rota.
As redes do setor público precisam de atenção especial. As agências geralmente dependem de contratados, serviços compartilhados ou upstreams para roteamento. Se a administração do ROA estiver com uma equipe e a continuidade do serviço com outra, um erro de maxLength pode cair entre os limites de propriedade. Um plano de continuidade deve nomear o titular da conta RPKI, o proprietário do conjunto de rotas, o contato de emergência e as evidências necessárias para comprovar a recuperação.
Reparo verificável é melhor que garantia
Um incidente de ROA defeituoso não deve terminar com "corrigido". Deve terminar com evidências. Qual ROA estava errado? Quais prefixos se tornaram inválidos? Qual origem foi autorizada? Qual maxLength foi definido? Quando o objeto foi publicado? Quais coletores de rota viram a queda na propagação? Quando o ROA foi corrigido? Quanto tempo os caches das partes confiantes levaram para convergir? Quais redes ainda rejeitavam a rota após a correção? Esses detalhes permitem que outros operadores aprendam e que os usuários afetados confiem no reparo.
O incidente da Coreia do Norte está documentado externamente, mas não é acompanhado pelo tipo de análise pós-incidente completa que uma grande empresa ou agência pública deve fornecer após uma interrupção equivalente. A análise externa pode reconstruir grande parte do evento, mas as evidências internas responderiam por que o ROA foi criado dessa forma, se existiam verificações, quem o aprovou e o que mudou depois. Esses fatos importam porque a mesma classe de erro pode ocorrer em qualquer lugar.
Para RIRs e provedores de ferramentas, a lição é tornar difícil fazer alterações perigosas de ROA silenciosamente. As interfaces devem mostrar os anúncios BGP atuais, simular resultados de validade, alertar sobre conflitos de maxLength, fornecer orientação de reversão e incentivar alertas. O objetivo não é remover a autonomia do operador. É tornar a consequência de um objeto assinado visível antes que ele afete a acessibilidade global.
Para redes que validam RPKI, a lição é continuar aplicando enquanto melhoram o tratamento de exceções. Os operadores precisam de visibilidade sobre as rotas inválidas que rejeitam, contatos para titulares de recursos e política para avaliação de emergência. Rejeitar inválidos não deve significar ignorar a dor do cliente; deve significar usar evidências para identificar se a rota é maliciosa, equivocada ou desatualizada e, em seguida, pressionar pela correção junto ao proprietário certo.
O resultado final é que o RPKI transforma a confiança no roteamento em dados. Isso é progresso. Mas os dados se tornam infraestrutura quando redes suficientes dependem deles. Um ROA defeituoso pode, portanto, ser um incidente de infraestrutura, não um erro administrativo. A governança tem que acompanhar o poder do objeto assinado.
O controle de segurança se tornou uma dependência de disponibilidade
A validação de origem de rota foi projetada para tornar as redes mais seguras, rejeitando rotas que entram em conflito com a autorização assinada. Esse design é exatamente por que um ROA defeituoso pode causar uma interrupção. O controle não é decorativo; as redes validadoras realmente o usam. Quando uma rota legítima se torna inválida devido a uma declaração errada de maxLength ou origem, as redes que rejeitam inválidos estão aplicando os dados publicados pelo titular do recurso. A interrupção é, portanto, um sinal de que o RPKI se tornou operacionalmente significativo, não um sinal de que é inútil.
Isso importa para a forma como as organizações descrevem o risco. Se os líderes disserem "o RPKI nos quebrou", eles podem desabilitar o validador e retornar a um modelo de confiança mais antigo e mais fraco. Se disserem "nossos dados de autorização de rota não correspondiam ao nosso roteamento", eles podem corrigir o verdadeiro problema. O incidente da Coreia do Norte é melhor entendido como uma incompatibilidade entre o plano de autorização e o plano de roteamento. Os anúncios BGP continuaram a existir. A autorização assinada alterou seu estado de validade global.
Uma dependência de disponibilidade criada por um controle de segurança deve ser governada com a mesma seriedade que qualquer outra dependência de produção. Âncoras de confiança DNSSEC, logs de transparência de certificados, respondedores OCSP, repositórios RPKI e feeds de validação se enquadram nesta categoria. São sistemas de segurança, mas afetam se o tráfego de produção flui. Tratá-los como artefatos de conformidade em vez de infraestrutura ativa convida a surpresas operacionais.
O risco de modo comum cresce com a adoção. Quando apenas algumas redes rejeitam rotas inválidas no RPKI, um ROA defeituoso tem alcance limitado. Quando muitas redes importantes rejeitam inválidos, o mesmo ROA defeituoso pode ter um amplo efeito. Isso não é um argumento contra a adoção. É um argumento para controles rigorosos de publicação. Um mecanismo de segurança compartilhado deve se tornar mais disciplinado à medida que se torna mais bem-sucedido.
O incidente também sugere uma métrica mais cuidadosa para programas de RPKI. A porcentagem de cobertura não é suficiente. Uma rede pode ter alta cobertura de ROA e ainda criar risco se os valores de maxLength estiverem errados, desatualizados ou muito amplos. Uma métrica melhor combina cobertura, alinhamento de validade, revisão de objetos desatualizados, política de maxLength, alertas, saúde do repositório e tempo de correção. O objetivo não é apenas "temos ROAs". O objetivo é "nossos ROAs descrevem com precisão as rotas que pretendemos que a Internet aceite".
Os fluxos de trabalho de contas e RIRs fazem parte da superfície de controle
Os ROAs são frequentemente criados por meio de portais de RIR ou ferramentas delegadas. Isso significa que a interface do usuário, as permissões da conta, o fluxo de trabalho de aprovação e o sistema de aviso fazem parte do controle de segurança. Um validador bem projetado não pode compensar um fluxo de trabalho de publicação que permite que um erro de maxLength de alto impacto passe sem aviso. O incidente da Coreia do Norte mostra por que a criação de ROA deve incluir simulação contra os anúncios BGP atuais antes da publicação.
Um portal pode informar a um operador: se você publicar este ROA, essas rotas atualmente visíveis se tornarão inválidas. Esse aviso não é especulativo. Segue-se diretamente da lógica de validação de origem de rota. Se o operador pretende retirar essas rotas, o aviso ajuda a coordenar o momento. Se o operador não pretendia a invalidez, o aviso evita uma interrupção. Os RIRs e os fornecedores de ferramentas devem tratar essa simulação como uma proteção de segurança, não como uma conveniência opcional.
A propriedade da conta também é importante. Em muitas organizações, a pessoa que pode publicar ROAs não é a mesma que gerencia roteadores ou continuidade de serviço. Um administrador de registro pode estar agindo a partir de uma visão de gerenciamento de endereços, enquanto o NOC vê os anúncios BGP e a equipe de aplicativos vê as interrupções. Se essas equipes não estiverem conectadas, o plano de autorização pode mudar sem que o plano de roteamento se adapte. A solução é o mapeamento de propriedade: cada ROA deve ter um proprietário de roteamento, proprietário de serviço, contato de emergência e cadência de revisão.
As permissões devem ser definidas. Nem todo usuário de conta de registro deve ser capaz de fazer alterações de ROA de alto impacto sem revisão. Alterações que invalidariam rotas atualmente observadas devem exigir confirmação, talvez um segundo aprovador para recursos críticos. Caminhos de correção de emergência devem existir, mas a criação emergencial de objetos perigosos deve ser visível e registrada. Novamente, o ponto não é burocracia. É respeitar o poder operacional de uma autorização de rota assinada.
A orientação do RIR sobre ROAs incorretas e limpeza é valiosa porque normaliza a ideia de que estados inválidos geralmente vêm de erros comuns. Isso é construtivo. A vergonha não melhora os dados de segurança de rota. Avisos claros, melhores ferramentas, exemplos compartilhados e caminhos rápidos de correção sim. O incidente deve motivar RIRs, provedores de serviços gerenciados e titulares de recursos a melhorar o fluxo de trabalho em torno dos dados de ROA, não a recuar em publicá-los.
Os validadores precisam de evidências para tratamento de exceções
As redes que rejeitam rotas inválidas também precisam de uma disciplina de tratamento de exceções. Se um cliente ou serviço público reclamar que uma rota está inacessível porque é inválida no RPKI, o operador validador precisa saber quais evidências justificariam uma substituição temporária. Aceitar rotas inválidas cegamente prejudica a segurança. Recusar-se a ajudar a diagnosticar uma rota inválida benigna prejudica a confiança na implantação. O caminho intermediário é a triagem baseada em evidências.
A primeira pergunta é se a invalidez é causada por incompatibilidade de origem, incompatibilidade de comprimento de prefixo, publicação expirada ou ausente, falha de repositório ou estado do validador. Cada causa aponta para um proprietário diferente. Uma incompatibilidade de origem pode ser sequestro ou migração desatualizada. Uma incompatibilidade de comprimento de prefixo pode ser um erro de maxLength. Uma falha de repositório pode afetar muitos prefixos. Um problema de cache do validador pode ser local. Boas ferramentas devem classificar a invalidez rapidamente.
A segunda pergunta é se a perda de acessibilidade é ampla. Coletores de rota, looking glasses, RIS/RouteViews, monitoramento comercial e relatos de clientes podem mostrar se muitas redes derrubaram a rota ou apenas algumas. Essa evidência ajuda a decidir a urgência e a comunicação. Uma única rota inválida com impacto limitado pode ser tratada através de um chamado comum. Um prefixo de serviço público crítico invalidado em muitas redes validadoras requer escalação imediata.
A terceira pergunta é quem pode reparar a fonte da verdade. Se o titular do recurso publicou o ROA errado, a solução correta é atualizar o ROA, não pedir a cada rede validadora que substitua a política. Se o anúncio BGP está errado, a solução correta pode ser alterar a rota. Se ambos estão mudando como parte de uma migração, a solução é um sequenciamento coordenado. O tratamento de exceções deve empurrar o reparo para o proprietário correto, em vez de normalizar desvios locais.
É aqui que os registros públicos de incidentes ajudam. Quando um incidente conhecido como o ROA defeituoso da Coreia do Norte é documentado, os operadores podem usá-lo como material de treinamento. Eles podem perguntar se seu NOC teria reconhecido a invalidez, se os alertas teriam disparado, se os contatos do registro estavam atualizados e se uma reversão poderia acontecer fora do horário comercial. Um bom incidente se torna um ensaio para o próximo.
A dependência de modo comum exige verificações independentes
Falha de modo comum significa que muitas partes falham da mesma forma porque dependem do mesmo componente ou suposição. No RPKI, o objeto de autorização assinado pode se tornar esse componente compartilhado. Se estiver correto, muitas redes melhoram juntas. Se estiver errado, muitas redes podem rejeitar juntas. Verificações independentes são, portanto, essenciais antes da publicação e após a alteração.
Uma verificação independente é a comparação BGP. Comparar os ROAs pretendidos com os anúncios globais atuais. Outra é o monitoramento em etapas. Publicar de uma forma que permita a observação rápida das mudanças de validade e reversão. Outra é a alerta externa de serviços não operados pelo titular do recurso. Um painel local pode dizer que o objeto existe; um monitor externo pode mostrar que uma rota agora é inválida em toda a Internet pública. Ambos são úteis, e nenhum deve ser o único sinal.
Uma segunda verificação independente é a revisão humana da intenção da política. A rede alguma vez anuncia /24s sob este /22? Ela tem mitigação de DDoS que desagrega? Ela usa vários ASNs de origem durante o failover? Um provedor anuncia em seu nome? Uma migração requer origem dupla temporária? Um ROA pode estar sintaticamente correto e operacionalmente errado se ignorar essas realidades. O revisor precisa entender a intenção de roteamento, não apenas a sintaxe do registro.
Uma terceira verificação é a expiração e a saúde do repositório. Um ROA pode se tornar inválido ou indisponível através de problemas de certificado ou repositório, não apenas de erros de maxLength. Os validadores têm comportamento de cache e modos de falha. Os titulares de recursos devem monitorar se seu repositório RPKI está acessível e se as visualizações das partes confiantes correspondem aos objetos esperados. Um objeto assinado que ninguém pode recuperar não é um controle confiável.
O pensamento de modo comum também afeta a comunicação. Se um ROA defeituoso invalidar uma rota crítica, muitas redes validadoras podem rejeitá-la de forma independente. O titular do recurso precisa de um canal de status público ou contato que explique a correção. Caso contrário, cada provedor pode abrir chamados separados e gastar tempo diagnosticando a mesma causa. Uma nota pública concisa pode reduzir o trabalho duplicado e acelerar a convergência.
O problema de incentivo é solucionável se as evidências melhorarem
A adoção do RPKI enfrenta um problema de incentivo porque os benefícios de rejeitar rotas inválidas são distribuídos, enquanto a dor de uma rota inválida benigna pode ser imediata e local. Um provedor que rejeita inválidos pode ser culpado pelos clientes quando outra pessoa publica um ROA ruim. Um provedor que aceita inválidos pode evitar a ligação de suporte, mas contribuir para um sistema de roteamento global inseguro. Melhores evidências podem reduzir essa tensão.
Se os alertas de invalidez identificarem claramente o ROA responsável, o prefixo afetado, a origem, o maxLength e o provável proprietário, o provedor validador pode explicar o problema e apontar para a correção. Se as ferramentas do RIR avisarem antes da publicação, menos inválidos benignos ocorrerão. Se os titulares de recursos receberem alertas imediatamente, eles podem corrigir antes que muitos usuários percebam. Se os relatos públicos de incidentes normalizarem a limpeza, as organizações ficam menos tentadas a esconder erros. Cada melhoria de evidência reduz o custo da validação estrita.
A aquisição pode ajudar. Grandes compradores devem perguntar aos provedores de trânsito e nuvem se eles rejeitam rotas inválidas e como lidam com eventos inválidos benignos. Eles também devem perguntar quem gerencia os próprios ROAs do comprador, se o comprador tiver espaço de endereço. Um comprador que pressiona os provedores a aceitar rotas inválidas durante cada erro prejudica a segurança de roteamento. Um comprador que mantém ROAs limpos e espera validação estrita melhora o ecossistema.
Reguladores e redes governamentais devem adotar a mesma posição. Os recursos de endereço do setor público devem ter propriedade de ROA, política de maxLength, monitoramento de rota e correção de emergência. As aquisições governamentais podem exigir validação RPKI dos provedores, ao mesmo tempo que exigem fluxos de trabalho de suporte para diagnóstico de rota inválida. Segurança e disponibilidade devem ser gerenciadas juntas, em vez de trocadas sob estresse.
O incidente da ROA defeituosa da Coreia do Norte é um lembrete compacto de que a segurança de rota não se trata mais apenas de manter os atacantes afastados. Trata-se também de manter os dados de autoridade precisos. A declaração assinada tem poder. Esse poder merece controle de mudanças, monitoramento e responsabilização.
A decisão do leitor para a governança de ROA
Um leitor não deve tratar o caso da ROA defeituosa como uma razão para desconfiar do RPKI. A melhor decisão é tratar a governança de ROA como governança de produção. Se uma organização tem espaço de endereço, ela precisa de um proprietário para os dados de ROA, um mapa de anúncios normais e de emergência, uma política de maxLength, simulação de pré-publicação, alertas de invalidez, um caminho de reversão e um contato que possa corrigir objetos rapidamente. Sem esses controles, a organização tem uma política de rota assinada, mas não uma política de rota gerenciada.
Para titulares de recursos, a pergunta imediata é se toda rota visível é coberta por um ROA intencional e preciso. Isso inclui AS de origem, comprimento de prefixo e maxLength. Também inclui casos excepcionais: provedores de DDoS, trânsito de backup, anycast, engenharia de tráfego, janelas de migração e desagregação de emergência. Se o plano de rota e o plano de ROA viverem em ferramentas diferentes com proprietários diferentes, o risco já está presente.
Para redes validadoras, a decisão é rejeitar inválidos enquanto constroem um diagnóstico humanizado. A validação estrita melhora a Internet, mas os clientes precisam de evidências claras quando uma rota inválida é benigna. Os operadores devem ser capazes de explicar a invalidez, apontar para o objeto responsável e ajudar o titular do recurso a corrigir a fonte da verdade. Isso protege a segurança sem transformar cada erro em pressão para desativar a validação.
Para RIRs e provedores de ferramentas, a decisão é tornar difícil publicar alterações perigosas de ROA silenciosamente. Mostrar anúncios atuais. Simular validade. Avisar antes de invalidar rotas ativas. Manter trilhas de auditoria. Incentivar alertas. Fornecer orientação de correção de emergência. Uma boa interface pode evitar uma interrupção de roteamento antes que o objeto criptográfico saia do portal.
O incidente da Coreia do Norte é compacto porque a pegada pública era pequena o suficiente para analisar. A lição é grande porque a dependência é global. À medida que a adoção do RPKI cresce, a qualidade dos dados assinados se torna tão importante quanto a decisão de validar. A Internet deve continuar avançando para a rejeição de rotas inválidas, mas esse futuro exige melhores cuidados com os dados de autoridade que tornam as rotas válidas.
A classe de falha é maior que um país
O exemplo da Coreia do Norte é útil porque é visível, mas a classe de falha não é específica do país. Qualquer titular de recurso que anuncie rotas mais específicas sob uma alocação abrangente pode criar o mesmo problema com um maxLength estreito. Qualquer organização que mova prefixos entre ASNs de origem pode criar incompatibilidade de origem. Qualquer provedor de rede gerenciada que altere ROAs sem coordenar com o NOC pode invalidar o tráfego de produção. O padrão comum é uma declaração assinada que não corresponde mais à realidade operacional.
Isso significa que todo programa de RPKI deve incluir um trabalho periódico de reconciliação. Pegue as rotas visíveis no BGP global. Pegue os ROAs atualmente publicados. Compare origem e maxLength. Sinalize toda rota inválida e toda rota não encontrada que deveria ser coberta. Revise toda autorização excessivamente ampla que permite mais específicos que a rede não pretende anunciar. Essa reconciliação não é uma tarefa única de integração. O roteamento muda. Os provedores mudam. A mitigação de DDoS muda. Fusões, aquisições e migrações para a nuvem alteram os planos de origem. O plano de autorização deve seguir o plano de roteamento.
O melhor resultado de longo prazo é cultural. Os operadores devem se sentir tão desconfortáveis com ROAs desatualizados quanto se sentem com registros DNS desatualizados para serviços críticos ou certificados expirados em endpoints públicos. O objeto assinado é pequeno, mas a dependência pode ser grande. Tratá-lo como infraestrutura viva é a diferença entre uma segurança de rota que ganha confiança e uma segurança de rota que é desativada após o primeiro erro doloroso.
Essa cultura também precisa de um hábito de revisão de mudanças. Uma edição de ROA não deve ser tratada como uma atualização burocrática de registro quando pode alterar a acessibilidade sob validação estrita. O revisor deve perguntar qual rota está ativa agora, qual rota estará ativa após uma alteração de provedor, se mais específicos são intencionalmente autorizados, se alguma origem de DDoS ou backup precisa de autorização temporária e como a organização saberá se o objeto publicado tornou o tráfego inválido. O plano de reversão deve ser tão explícito quanto o plano de mudança.
Se a resposta for "esperar alguém reclamar", os dados assinados não estão sob controle de produção. Provedores de nuvem, registros, operadores de servidores de rota e grandes empresas têm interesse em tornar esse hábito normal, porque a validação estrita funciona melhor quando os dados de autoridade são entediantemente precisos.
O mesmo hábito deve cobrir a transferência de propriedade. Os recursos de endereço se movem por aquisições, atualizações de registro, mudanças de provedor, migrações para a nuvem e projetos de recuperação de desastres. Um ROA que estava correto sob um modelo operacional pode se tornar prejudicial sob o próximo. A governança precisa, portanto, de uma lista de verificação de transferência: quem possui os objetos, quem recebe alertas, quem aprova o maxLength, quem pode revogar autorizações desatualizadas e quem verifica a visibilidade global da rota após a mudança.
O registro da Coreia do Norte é útil porque torna a falha pequena o suficiente para entender. A próxima falha pode envolver um banco, agência pública, cliente de CDN ou serviço de emergência cujo plano de roteamento muda durante o estresse. A autoridade de rota assinada deve estar pronta para esse estresse antes que a validação o aplique.
Conclusão
O padrão de responsabilização é o controle prático unido à evidência pública. O registro mais forte não finge que todos os atores controlaram todos os resultados. Ele identifica quem poderia prevenir a falha, quem poderia detectá-la, quem poderia limitar o raio de explosão, quem poderia notificar as partes afetadas, quem poderia reparar a relação de confiança e quais evidências provam que o reparo alcançou os sistemas e pessoas que dele dependiam.
Limite adicional de evidências
Para um ROA defeituoso que pode transformar a segurança de rota em uma interrupção de modo comum, o limite adicional de evidências é manter separados os fatos confirmados, a inferência baseada em evidências e a informação desconhecida. Essa separação é importante porque um evento envolvendo falha de ROA, interrupção de origem de rota e dependência de modo comum pode ser descrito como um problema técnico, um problema contratual ou um problema de comunicação, dependendo de qual ator está falando.
A análise de responsabilização, portanto, tem que retornar ao controle prático: quem poderia alterar a configuração, limitar a exposição, acelerar a detecção, autorizar a notificação ou provar que o reparo havia alcançado os usuários afetados.
Essa lente adiciona um teste cuidadoso de causa raiz e evento desencadeador. O gatilho explica por que o evento se tornou visível em um momento particular; a causa raiz requer evidências sobre escolhas de design, controle, governança e verificação que existiam antes desse momento. Condições contribuintes, como dependência, delegação, janelas de mudança, contratos, logs e incentivos, devem ser avaliadas sem tratar uma declaração da empresa como a verdade completa ou transformar uma possibilidade em uma conclusão estabelecida.
A mesma disciplina se aplica à falha de detecção, falha de resposta e falha de recuperação. O registro público deve mostrar quando o sinal foi visto, quem tinha autoridade para agir, o que foi dito aos clientes ou reguladores e quais evidências adicionais tornariam a conclusão mais forte ou mais fraca. Enquanto esses elementos permanecerem parciais, a conclusão responsável não é uma acusação extra; é um mapa mais preciso da responsabilidade, incerteza e dos controles de plano de controle e dependência que uma auditoria posterior deve verificar.

