La Resistenza al Telecom Package

Posted by Alessandro Bottoni on 2 aprile 2009 · 5 commenti 

Se verrà approvato nella sua forma corrente il cosiddetto “Telecom Package” sarà la fine di Internet come noi la conosciamo (come pure della libertà personale, della democrazia e dello stato di diritto). Vista l’attuale preponderanza di governi neofascisti (Francia ed Italia) e neonazisti (Austria) in Europa, è altamente probabile che questa nuova forma di leggi razziali venga approvata. In questo malaugurato caso, cosa si potrebbe fare? Qui di seguito trovate qualche idea e qualche informazione.

Il volto del demonio

Secondo la descrizione che ne fornisce Scambio Etico, il Nazi Package prevede:

  1. Sarà possibile disconnetterti dalla Rete sulla base di semplici indizi, raccolti da società private senza autorizzazione della magistratura, che facciano sospettare che tu abbia condiviso contenuti protetti da copyright. Il tuo fornitore di accesso Internet sarà obbligato a collaborare con le società private per fornire i tuoi dati, e sarà costretto a procedere alla sospensione del servizio. Non avrai diritto né alla difesa né ad un equo processo.

  2. Il tuo fornitore di accesso sarà libero di filtrare contenuti, servizi e applicazioni a piacimento. Per fare solo un esempio fra i tanti possibili, diventerà lecito e legale bloccare Skype al fine di promuovere e costringerti ad acquistare un servizio VoIP a pagamento.

  3. Il tuo fornitore potrà applicare “differenziazioni di tariffe”, e farti pagare abbonamenti aggiuntivi per applicazioni e protocolli specifici, ad esempio per e-mail, FTP, newsgroups, chat, peer-to-peer ecc.; potrà inoltre liberamente decidere a quali siti web potrai accedere senza limitazioni, a quali potrai accedere con de-prioritizzazione del traffico (quindi con rallentamento nello scambio dati), e a quali non potrai accedere affatto.

  4. Qualsiasi società privata, per generici scopi di sicurezza di rete, potrà intercettare, memorizzare a tempo indefinito, leggere e analizzare, tutti i dati che invii e che ricevi sulla Rete senza autorizzazione di alcun organismo governativo, inclusa la magistratura.

Come potete vedere, il termine “nazista” per descrivere questa oscenità è ancora largamente eufemistico. Si tratta del peggior attacco alla libertà personale, al diritto di espressione, al diritto alla difesa ed alla riservatezza delle comunicazione che si ricordi a memoria d’uomo. Nemmeno Adolf Hitler e Josef Stalin erano mai arrivati a concepire un simile abominio.

Comunque, è evidente che il problema centrale diventa quello di sfruttare un modesto canale autorizzato (ad esempio un’asfittica connessione a 16 bit/mese HTTP verso un server considerato legittimo) per far transitare tutto il nostro traffico senza che il nostro mortale nemico (cioè l’ISP a cui paghiamo la connessione!) possa accorgersene. Non si tratta di una sfida facile ma… leggete il resto.

Tecnologia dell’oppressione

Per capire come si può sfuggire a queste crudeli SS, armate di doberman e fucile, bisogna capire come funzionano i loro cani da caccia, cioè i firewall. Più in generale,bisogna capire come funziona internet e come si mettono abitualmente in pratica (già adesso) queste odiose tecniche di sorveglianza, intercettazione, filtratura e blocco.

Per poter mettere in atto le politiche (“policy”) previste dallo Stalin Package, è necessario essere tecnicamente in grado di:

  1. Riconoscere il tipo di comunicazione che si vuole filtrare in mezzo a molti altri tipi di comunicazione lecita.

  2. Intervenire selettivamente su quel tipo di traffico per rallentarlo, filtrarlo o bloccarlo.

Per nostra fortuna, l’asino casca subito sul primo punto.

Per come è costruita Internet (che è una rete TCP/IP identica a molte LAN basate su Unix), il traffico è identificato da una o più di queste caratteristiche:

  1. La porta IP utilizzata. Ad esempio la porta 80 viene usata (spesso ma non sempre) per il traffico tra il browser web ed il server.

  2. Gli “header” contenuti nei pacchetti (datagrammi) e che vengono usati proprio per informare il ricevente di quale applicazione usare per leggere i dati in arrivo.

  3. Il tipo di “dialogo” che si instaura tra i due estremi della connessione. Ad esempio, lo scambio di “saluti” che dà inizio ad una connessione FTP. Fa parte di questo tipo di analisi anche la determinazione del fatto che un programma stia agendo da client o da server.

  4. Il contenuto reale della comunicazione.

I firewall di prima generazione (i cosiddetti “packet filter”) sono in grado di esaminare i primi tre elementi senza introdurre ritardi particolarmente gravi nella comunicazione. Per esaminare il contenuto reale della comunicazione è invece necessario un firewall di terza generazione (“deep inspection”) che costa una follia e che rallenta parecchio il traffico.

Il “guaio” è che tutti questi parametri sono mascherabili e/o falsificabili, con maggiore o minore facilità. Di conseguenza, non esiste un modo realmente affidabile di riconoscere un certo tipo di traffico. Come ulteriore conseguenza, non è possibile intervenire selettivamente su un certo tipo di traffico.

Tecniche di evasione

Da diversi anni, infatti, esistono parecchie tecniche che permettono di camuffare una qualunque connessione (ad esempio una connessione telnet) per un altro tipo qualunque di connessione (ad esempio una innocente connessione web). Questo è proprio ciò che fanno moltissime backdoor, diversi rootkit, molti worm e… diverse reti P2P di ultima generazione. Potete vedere un’esempio di questa tecnica leggendo questa pagina di Wikipedia:

http://it.wikipedia.org/wiki/HTTP_tunneling

http://en.wikipedia.org/wiki/HTTP_Tunneling

ATTENZIONE: l’http tunneling è solo UNA delle molte tecniche di questo tipo utilizzate da anni da hacker e malware di vario tipo. In particolare, non fatevi ingannare dal fatto che i firewall normalmente possono impedire ad un programma di accettare connessioni dall’esterno della rete (cioè di agire da server). Anche questa limitazione può essere facilmente superata usando un “reverse HTTP tunnel”. Ne trovate alcune descrizioni qui:

http://dspace.mit.edu/bitstream/handle/1721.1/9086/46894281.pdf?sequence=1

http://www.sans.org/resources/malwarefaq/rwww_shell.php

http://www.securiteam.com/tools/5WP08206KU.html

Questa è anche (in parte) la stessa tecnica usata per il reverse SSH tunneling:

http://linux.byexamples.com/archives/238/ssh-reverse-tunneling/

http://articles.techrepublic.com.com/5100-10878_11-5779944.html?tag=nl.e011

http://www.howtoforge.com/reverse-ssh-tunneling

http://www.marksanborn.net/howto/bypass-firewall-and-nat-with-reverse-ssh-tunnel/

Potete trovare anche alcune applicazioni ed alcuni servizi già pronti all’uso qui:

http://en.wikipedia.org/wiki/Hamachi

https://secure.logmein.com/products/hamachi/vpn.asp?lang=it

http://en.wikipedia.org/wiki/GoToMyPC

https://www.gotomypc.com/en_GB_EUR/entry.tmpl?Action=rgoto&_sf=2

Per capire di cosa stiamo realmente parlando conviene confrontare questa soluzione con le tecniche di evasione abitualmente usate dalle reti P2P più avanzate. Queste reti sono normalmente delle reti “chiuse” (F2F, cioè “Friend-to-Friend”) e cifrate.

Le tecniche di evasione usate dalle reti F2F si basano abitualmente su questi criteri:

  1. Usare una porta diversa da quella che viene analizzata e bloccata. In molti casi la porta cambia continuamente e viene scelta a caso. In realtà, questa tecnica non è realmente necessaria. Vedi oltre.

  2. Cifrare il traffico, in modo che gli header non siano più visibili. (Restano visibili gli header del pacchetto esterno, lo “envelope”, ma questo è irrilevante ai nostri fini).

  3. Cifrare il traffico, in modo che non sia più possibile analizzare il dialogo che avviene tra gli interlocutori.

  4. Cifrare il traffico, in modo che non sia più possibile esaminare il contenuto della comunicazione.

Questo però le lascia ancora vulnerabili a due tipi di “attacco”:

  1. Resta possibile bloccare il traffico in entrata al computer, rendendo impossibile la connessione bidirezionale di cui hanno bisogno queste reti. Questo è un problema ben noto a chiunque usi eMule.

  2. Resta possibile bloccare il traffico cifrato che non appare giustificato da una applicazione di livello superiore (come una connessione HTTP su SSL3.0, del tipo usato per i server bancari).

Ed è qui che entrano in gioco i sistemi di tunneling di cui stavamo parlando. Questi programmi sono in grado di spacciare una comunicazione di tipo A per una di tipo B. Invece di rendere imperscrutabile la comunicazione (e correre il rischio che venga bloccata proprio per questo motivo), si può far passare il traffico sotto gli occhi del firewall “travestendolo” da comunicazione legittima.

Questo è proprio il caso di molte backdoor che camuffano una sessione telnet o FTP da traffico web usando una sequenza di false interrogazioni HTTP cioè (di post e get abilmente forgiate).

Inutile dire che se questa tecnica può essere usata (come viene effettivamente usata) per attraversare un firewall di seconda e terza generazione, può essere usata per aggirare qualunque tipo di filtro e per permettere qualunque tipo di attività.

In particolare, se vengono usate queste tecniche di mascheramento, non è tecnicamente possibile bloccare, filtrare o rallentare in modo selettivo né le reti P2P, né Skype (che è poi una rete P2P particolare), né altri sistemi VoIP, né i sistemi TVoIP, né una banale VPN, né nient’altro. Tutti questi tipi di comunicazione possono essere facilmente camuffati da qualcos’altro e fatti passare attraverso i filtri. In alcuni casi, lo fanno già adesso da soli (lo fa persino Skype: “How does Skype get through Firewalls and NAT Routers?”). In molti altri casi, scrivere il software necessario è relativamente semplice. Se non ci credete, guardate a cosa è già stato fatto sulla base di BitTorrent, dando origine a OneSwarm e ad Anomos. Nell’attesa, è pur sempre possibile far scorrere il traffico di questi sistemi all’interno di un apposito canale cifrato usando i sistemi di tunneling già citati e/o una banalissima VPN.

Anche scrivere le GUI necessarie per rendere “umanamente utilizzabile” il software che ora è alla portata solo degli specialisti è relativamente semplice. Ne è un esempio Galet. Questo programma rende banale la creazione di una VPN punto-punto. Lo stesso compito richiede normalmente uno specialista se si usa software “normale” come OpenVPN o roba simile.

Tra l’altro, proprio le nostre banalissime VPN creano un evidente problema: se noleggio una linea ADSL per usare una VPN (ad esempio per collegarmi da casa al mio server in azienda), il mio ISP viene automaticamente tagliato fuori da qualunque possibilità di controllo. Non può impedirmi di cifrare il canale (perchè mi ha noleggiato la linea proprio per quello scopo) e non può vedere cosa scambio con i miei amici. Non può mettere in atto nessuna delle raccapriccianti malvagità previste dal Pinochet Package.

Se esiste una Giustizia…

Le persone che hanno concepito questo crimine contro l’umanità dovranno essere portate di fronte all’alta corte di Giustizia e fucilate alla schiena (senza processo, come senza processo verranno tagliate le nostre connessioni). In attesa di questa sacrosanta punizione, possiamo fare una semplicissima e velocissima riflessione di carattere legale.

Se rileggete la presentazione del Telecom Package fornita da Scambio Etico, vedrete che ci sono diversi punti che fanno palesemente a pugni sia con la Costituzione della Repubblica Italiana che con la Dichiarazione Europea dei Diritti dell’Uomo che con ogni altro principio di Diritto attualmente conosciuto.

Francamente, credo che sia impossibile mettere in atto una simile oscenità per evidenti ragioni di incostituzionalità.

Conclusioni

Non fatevi ingannare dal fatto che il vostro personale programma P2P, installato adesso sul vostro computer possa avere delle difficoltà ad attraversare il “vostro” firewall aziendale. In questo momento il problema del cosiddetto “traffic shaping” (aka “Quality of Service”) è ancora poco sentito e non tutti i programmi implementano le tecniche che ho descritto. Se il Pol Pot Package verrà approvato, i sistemi come quelli che ho descritto spunteranno come funghi.

Gli unici effetti pratici del Fascist Package sarebbero quindi i seguenti:

  1. Uno sviluppo senza precedenti della tecnologia delle reti cifrate, mimetiche ed anonime. Verrebbero portate “nelle mani dell’utente” come mai prima.

  2. Una separazione senza precedenti tra “svegli” e “tonti”, con i tonti costretti a subire abusi di ogni tipo dai loro fornitori e gli svegli che continuano a fare quello che vogliono esattamente come ora.

  3. Un appesantimento generalizzato del traffico di rete, della infrastruttura tecnica, di quella “umana” e quindi un aumento assolutamente ingiustificato dei costi.

Per questo vi prego ancora una volta di collegarvi al sito di Scambio Etico e di associarvi alla nostra lotta per impedire che venga messa in atto questa mostruosità.

Alessandro Bottoni

alessandro.bottoni@infinito.it

Links:

http://www.p2panonimi.p2pforum.it/

http://sebsauvage.net/punching/

http://www.buzzsurf.com/surfatwork/

http://cyber.law.harvard.edu/publications/2009/2007_Circumvention_Landscape_Report

http://www.hopster.com/

Archiviato in Business, Cronaca, Diritto, drm, filesharing, Internet, politica, sicurezza, Siti web, Sysadmin, Tecnologia · Tagged with , , , , , , , , , , , , , , , , , , , ,

Comments
5 Responses to “La Resistenza al Telecom Package”
  1. yanfry ha detto:
    6 aprile 2009 alle 3:49 PM

    Lo dicevo da quasi due anni (e non sono un genio) che le major spingevano sempre più sui governi europei per approvare legislazioni sempre più restrittive verso la libertà della rete con la “scusa” del p2p: le avvisaglie c’erano ed erano palesi, ormai la rete è chiaramente il luogo che controllato permette il governo sulla popolazione e sull’economia globale e costoro non vogliono lasciarselo sfuggire. Sono con voi, come lo sono sempre stato del resto ;) dobbiamo usare l’arma migliore che abbiamo, quello del “voto” (che ci vogliono convincere non abbia più valore) di milioni di utenti che oggi usano e credono nella rete e non possono permettere che tutto ciò passi sotto silenzio.

    Rispondi
  2. DD ha detto:
    6 aprile 2009 alle 8:53 PM

    carino l’articolo ma alcuni riferimenti come per esempio “governi neofascisti (Francia ed Italia) e neonazisti (Austria) in Europa” sono davvero forzati e abbassano la qualità dell’intervento.

    Rispondi
  3. daniele ha detto:
    8 aprile 2009 alle 7:39 am

    ho letto con abberrante indignazione le votazioni al consiglio europeo porteranno alla chiusura di internet a parere mio l’articolo 21 della costituzione non lo conoscono o non lo vogliono conoscere
    io proporrei una cosa alquanto giusta
    un minuto dopo che la legge sara passata
    dovremmo tutti insieme dare disdetta all’abbonamento ad internet
    cosi poi vederemo le loro leggi di cosa se ne faranno
    buona giornata

    Rispondi
Trackbacks
Check out what others are saying...
  1. » Internet, addio per sempre Sciambola! ha detto:
    20 aprile 2009 alle 3:11 PM

    […]              Fonte […]

    Rispondi
  2. TELECOMPACKAGE & legge ammaza internet « PiediPerTerra ha detto:
    19 giugno 2009 alle 8:00 am

    […] Il blog di Alessandro Bottoni: In reazione il successo del Partito Pirata svedese: Il Partito Pirata svedese ha ottenuto oltre il 7% dei voti ed è riuscito a mandare un suo rappresentante al Parlamento Europeo. Si tratta di un successo del tutto inatteso e del tutto privo di precedenti. Pensate solo che ha fatto meglio dell’UDC! La Resistenza al Telecom Package […]

    Rispondi


Lascia un commento