Alessandro Bottoni

Aprile 2, 2009

La Resistenza al Telecom Package

Archiviato in: Business, Cronaca, Diritto, Internet, Siti web, Sysadmin, Tecnologia, drm, filesharing, politica, sicurezza — alessandrobottoni @ 7:24 am
Tags: , , , , , , , , , , , , , , , , , , , ,

Se verrà approvato nella sua forma corrente il cosiddetto “Telecom Package” sarà la fine di Internet come noi la conosciamo (come pure della libertà personale, della democrazia e dello stato di diritto). Vista l’attuale preponderanza di governi neofascisti (Francia ed Italia) e neonazisti (Austria) in Europa, è altamente probabile che questa nuova forma di leggi razziali venga approvata. In questo malaugurato caso, cosa si potrebbe fare? Qui di seguito trovate qualche idea e qualche informazione.

Il volto del demonio

Secondo la descrizione che ne fornisce Scambio Etico, il Nazi Package prevede:

  1. Sarà possibile disconnetterti dalla Rete sulla base di semplici indizi, raccolti da società private senza autorizzazione della magistratura, che facciano sospettare che tu abbia condiviso contenuti protetti da copyright. Il tuo fornitore di accesso Internet sarà obbligato a collaborare con le società private per fornire i tuoi dati, e sarà costretto a procedere alla sospensione del servizio. Non avrai diritto né alla difesa né ad un equo processo.

  2. Il tuo fornitore di accesso sarà libero di filtrare contenuti, servizi e applicazioni a piacimento. Per fare solo un esempio fra i tanti possibili, diventerà lecito e legale bloccare Skype al fine di promuovere e costringerti ad acquistare un servizio VoIP a pagamento.

  3. Il tuo fornitore potrà applicare “differenziazioni di tariffe”, e farti pagare abbonamenti aggiuntivi per applicazioni e protocolli specifici, ad esempio per e-mail, FTP, newsgroups, chat, peer-to-peer ecc.; potrà inoltre liberamente decidere a quali siti web potrai accedere senza limitazioni, a quali potrai accedere con de-prioritizzazione del traffico (quindi con rallentamento nello scambio dati), e a quali non potrai accedere affatto.

  4. Qualsiasi società privata, per generici scopi di sicurezza di rete, potrà intercettare, memorizzare a tempo indefinito, leggere e analizzare, tutti i dati che invii e che ricevi sulla Rete senza autorizzazione di alcun organismo governativo, inclusa la magistratura.

Come potete vedere, il termine “nazista” per descrivere questa oscenità è ancora largamente eufemistico. Si tratta del peggior attacco alla libertà personale, al diritto di espressione, al diritto alla difesa ed alla riservatezza delle comunicazione che si ricordi a memoria d’uomo. Nemmeno Adolf Hitler e Josef Stalin erano mai arrivati a concepire un simile abominio.

Comunque, è evidente che il problema centrale diventa quello di sfruttare un modesto canale autorizzato (ad esempio un’asfittica connessione a 16 bit/mese HTTP verso un server considerato legittimo) per far transitare tutto il nostro traffico senza che il nostro mortale nemico (cioè l’ISP a cui paghiamo la connessione!) possa accorgersene. Non si tratta di una sfida facile ma… leggete il resto.

Tecnologia dell’oppressione

Per capire come si può sfuggire a queste crudeli SS, armate di doberman e fucile, bisogna capire come funzionano i loro cani da caccia, cioè i firewall. Più in generale,bisogna capire come funziona internet e come si mettono abitualmente in pratica (già adesso) queste odiose tecniche di sorveglianza, intercettazione, filtratura e blocco.

Per poter mettere in atto le politiche (“policy”) previste dallo Stalin Package, è necessario essere tecnicamente in grado di:

  1. Riconoscere il tipo di comunicazione che si vuole filtrare in mezzo a molti altri tipi di comunicazione lecita.

  2. Intervenire selettivamente su quel tipo di traffico per rallentarlo, filtrarlo o bloccarlo.

Per nostra fortuna, l’asino casca subito sul primo punto.

Per come è costruita Internet (che è una rete TCP/IP identica a molte LAN basate su Unix), il traffico è identificato da una o più di queste caratteristiche:

  1. La porta IP utilizzata. Ad esempio la porta 80 viene usata (spesso ma non sempre) per il traffico tra il browser web ed il server.

  2. Gli “header” contenuti nei pacchetti (datagrammi) e che vengono usati proprio per informare il ricevente di quale applicazione usare per leggere i dati in arrivo.

  3. Il tipo di “dialogo” che si instaura tra i due estremi della connessione. Ad esempio, lo scambio di “saluti” che dà inizio ad una connessione FTP. Fa parte di questo tipo di analisi anche la determinazione del fatto che un programma stia agendo da client o da server.

  4. Il contenuto reale della comunicazione.

I firewall di prima generazione (i cosiddetti “packet filter”) sono in grado di esaminare i primi tre elementi senza introdurre ritardi particolarmente gravi nella comunicazione. Per esaminare il contenuto reale della comunicazione è invece necessario un firewall di terza generazione (“deep inspection”) che costa una follia e che rallenta parecchio il traffico.

Il “guaio” è che tutti questi parametri sono mascherabili e/o falsificabili, con maggiore o minore facilità. Di conseguenza, non esiste un modo realmente affidabile di riconoscere un certo tipo di traffico. Come ulteriore conseguenza, non è possibile intervenire selettivamente su un certo tipo di traffico.

Tecniche di evasione

Da diversi anni, infatti, esistono parecchie tecniche che permettono di camuffare una qualunque connessione (ad esempio una connessione telnet) per un altro tipo qualunque di connessione (ad esempio una innocente connessione web). Questo è proprio ciò che fanno moltissime backdoor, diversi rootkit, molti worm e… diverse reti P2P di ultima generazione. Potete vedere un’esempio di questa tecnica leggendo questa pagina di Wikipedia:

http://it.wikipedia.org/wiki/HTTP_tunneling

http://en.wikipedia.org/wiki/HTTP_Tunneling

ATTENZIONE: l’http tunneling è solo UNA delle molte tecniche di questo tipo utilizzate da anni da hacker e malware di vario tipo. In particolare, non fatevi ingannare dal fatto che i firewall normalmente possono impedire ad un programma di accettare connessioni dall’esterno della rete (cioè di agire da server). Anche questa limitazione può essere facilmente superata usando un “reverse HTTP tunnel”. Ne trovate alcune descrizioni qui:

http://dspace.mit.edu/bitstream/handle/1721.1/9086/46894281.pdf?sequence=1

http://www.sans.org/resources/malwarefaq/rwww_shell.php

http://www.securiteam.com/tools/5WP08206KU.html

Questa è anche (in parte) la stessa tecnica usata per il reverse SSH tunneling:

http://linux.byexamples.com/archives/238/ssh-reverse-tunneling/

http://articles.techrepublic.com.com/5100-10878_11-5779944.html?tag=nl.e011

http://www.howtoforge.com/reverse-ssh-tunneling

http://www.marksanborn.net/howto/bypass-firewall-and-nat-with-reverse-ssh-tunnel/

Potete trovare anche alcune applicazioni ed alcuni servizi già pronti all’uso qui:

http://en.wikipedia.org/wiki/Hamachi

https://secure.logmein.com/products/hamachi/vpn.asp?lang=it

http://en.wikipedia.org/wiki/GoToMyPC

https://www.gotomypc.com/en_GB_EUR/entry.tmpl?Action=rgoto&_sf=2

Per capire di cosa stiamo realmente parlando conviene confrontare questa soluzione con le tecniche di evasione abitualmente usate dalle reti P2P più avanzate. Queste reti sono normalmente delle reti “chiuse” (F2F, cioè “Friend-to-Friend”) e cifrate.

Le tecniche di evasione usate dalle reti F2F si basano abitualmente su questi criteri:

  1. Usare una porta diversa da quella che viene analizzata e bloccata. In molti casi la porta cambia continuamente e viene scelta a caso. In realtà, questa tecnica non è realmente necessaria. Vedi oltre.

  2. Cifrare il traffico, in modo che gli header non siano più visibili. (Restano visibili gli header del pacchetto esterno, lo “envelope”, ma questo è irrilevante ai nostri fini).

  3. Cifrare il traffico, in modo che non sia più possibile analizzare il dialogo che avviene tra gli interlocutori.

  4. Cifrare il traffico, in modo che non sia più possibile esaminare il contenuto della comunicazione.

Questo però le lascia ancora vulnerabili a due tipi di “attacco”:

  1. Resta possibile bloccare il traffico in entrata al computer, rendendo impossibile la connessione bidirezionale di cui hanno bisogno queste reti. Questo è un problema ben noto a chiunque usi eMule.

  2. Resta possibile bloccare il traffico cifrato che non appare giustificato da una applicazione di livello superiore (come una connessione HTTP su SSL3.0, del tipo usato per i server bancari).

Ed è qui che entrano in gioco i sistemi di tunneling di cui stavamo parlando. Questi programmi sono in grado di spacciare una comunicazione di tipo A per una di tipo B. Invece di rendere imperscrutabile la comunicazione (e correre il rischio che venga bloccata proprio per questo motivo), si può far passare il traffico sotto gli occhi del firewall “travestendolo” da comunicazione legittima.

Questo è proprio il caso di molte backdoor che camuffano una sessione telnet o FTP da traffico web usando una sequenza di false interrogazioni HTTP cioè (di post e get abilmente forgiate).

Inutile dire che se questa tecnica può essere usata (come viene effettivamente usata) per attraversare un firewall di seconda e terza generazione, può essere usata per aggirare qualunque tipo di filtro e per permettere qualunque tipo di attività.

In particolare, se vengono usate queste tecniche di mascheramento, non è tecnicamente possibile bloccare, filtrare o rallentare in modo selettivo né le reti P2P, né Skype (che è poi una rete P2P particolare), né altri sistemi VoIP, né i sistemi TVoIP, né una banale VPN, né nient’altro. Tutti questi tipi di comunicazione possono essere facilmente camuffati da qualcos’altro e fatti passare attraverso i filtri. In alcuni casi, lo fanno già adesso da soli (lo fa persino Skype: “How does Skype get through Firewalls and NAT Routers?”). In molti altri casi, scrivere il software necessario è relativamente semplice. Se non ci credete, guardate a cosa è già stato fatto sulla base di BitTorrent, dando origine a OneSwarm e ad Anomos. Nell’attesa, è pur sempre possibile far scorrere il traffico di questi sistemi all’interno di un apposito canale cifrato usando i sistemi di tunneling già citati e/o una banalissima VPN.

Anche scrivere le GUI necessarie per rendere “umanamente utilizzabile” il software che ora è alla portata solo degli specialisti è relativamente semplice. Ne è un esempio Galet. Questo programma rende banale la creazione di una VPN punto-punto. Lo stesso compito richiede normalmente uno specialista se si usa software “normale” come OpenVPN o roba simile.

Tra l’altro, proprio le nostre banalissime VPN creano un evidente problema: se noleggio una linea ADSL per usare una VPN (ad esempio per collegarmi da casa al mio server in azienda), il mio ISP viene automaticamente tagliato fuori da qualunque possibilità di controllo. Non può impedirmi di cifrare il canale (perchè mi ha noleggiato la linea proprio per quello scopo) e non può vedere cosa scambio con i miei amici. Non può mettere in atto nessuna delle raccapriccianti malvagità previste dal Pinochet Package.

Se esiste una Giustizia…

Le persone che hanno concepito questo crimine contro l’umanità dovranno essere portate di fronte all’alta corte di Giustizia e fucilate alla schiena (senza processo, come senza processo verranno tagliate le nostre connessioni). In attesa di questa sacrosanta punizione, possiamo fare una semplicissima e velocissima riflessione di carattere legale.

Se rileggete la presentazione del Telecom Package fornita da Scambio Etico, vedrete che ci sono diversi punti che fanno palesemente a pugni sia con la Costituzione della Repubblica Italiana che con la Dichiarazione Europea dei Diritti dell’Uomo che con ogni altro principio di Diritto attualmente conosciuto.

Francamente, credo che sia impossibile mettere in atto una simile oscenità per evidenti ragioni di incostituzionalità.

Conclusioni

Non fatevi ingannare dal fatto che il vostro personale programma P2P, installato adesso sul vostro computer possa avere delle difficoltà ad attraversare il “vostro” firewall aziendale. In questo momento il problema del cosiddetto “traffic shaping” (aka “Quality of Service”) è ancora poco sentito e non tutti i programmi implementano le tecniche che ho descritto. Se il Pol Pot Package verrà approvato, i sistemi come quelli che ho descritto spunteranno come funghi.

Gli unici effetti pratici del Fascist Package sarebbero quindi i seguenti:

  1. Uno sviluppo senza precedenti della tecnologia delle reti cifrate, mimetiche ed anonime. Verrebbero portate “nelle mani dell’utente” come mai prima.

  2. Una separazione senza precedenti tra “svegli” e “tonti”, con i tonti costretti a subire abusi di ogni tipo dai loro fornitori e gli svegli che continuano a fare quello che vogliono esattamente come ora.

  3. Un appesantimento generalizzato del traffico di rete, della infrastruttura tecnica, di quella “umana” e quindi un aumento assolutamente ingiustificato dei costi.

Per questo vi prego ancora una volta di collegarvi al sito di Scambio Etico e di associarvi alla nostra lotta per impedire che venga messa in atto questa mostruosità.

Alessandro Bottoni

alessandro.bottoni@infinito.it

Links:

http://www.p2panonimi.p2pforum.it/

http://sebsauvage.net/punching/

http://www.buzzsurf.com/surfatwork/

http://cyber.law.harvard.edu/publications/2009/2007_Circumvention_Landscape_Report

http://www.hopster.com/

Aprile 1, 2009

Telecom Package

Archiviato in: Business, Copyright/Copyleft, Cronaca, Eventi, Internet, Siti web, Tecnologia, politica, sicurezza, telefonia — alessandrobottoni @ 9:03 am
Tags:

Per una volta nella vita, mi permetto di copiare spudoratamente il testo di qualcun’altro. Quello che trovate qui di seguito è l’accorato appello di Scambio Etico per la lotta al famigerato “Telecom Package”.

Vi prego: diffondete la notizia.

Caro cittadino della Rete,

il Consiglio dei Ministri dell’Unione Europea ha raggiunto un accordo politico su norme e direttive fortemente lesive dei diritti dei cittadini europei e dei consumatori. Tale regolamentazione è inclusa nel Pacchetto Telecom, un complesso sistema di cinque Direttive che influenzerà profondamente le leggi degli Stati Membri dell’Unione Europea, Italia inclusa, per molti anni a venire. L’accordo politico del Consiglio stravolge il contenuto del Pacchetto, che con voto democratico, e con l’appoggio della Commissione Europea, il Parlamento Europeo aveva approvato a larghissima maggioranza nel settembre 2008 con emendamenti che garantivano e tutelavano i diritti fondamentali dei cittadini e dei consumatori.

Il 19 febbraio il Parlamento Europeo darà inizio alla Seconda Lettura del Pacchetto Telecom, e se non avrà la forza di opporsi alla volontà del Consiglio dei Ministri, entro pochissimo tempo le leggi dei Paesi Membri dovranno obbligatoriamente adeguarsi con le seguenti conseguenze:

- sarà possibile disconnetterti dalla Rete sulla base di semplici indizi, raccolti da società private senza autorizzazione della magistratura, che facciano sospettare che tu abbia condiviso contenuti protetti da copyright. Il tuo fornitore di accesso Internet sarà obbligato a collaborare con le società private per fornire i tuoi dati, e sarà costretto a procedere alla sospensione del servizio. Non avrai diritto né alla difesa né ad un equo processo;

- il tuo fornitore di accesso sarà libero di filtrare contenuti, servizi e applicazioni a piacimento. Per fare solo un esempio fra i tanti possibili, diventerà lecito e legale bloccare Skype al fine di promuovere e costringerti ad acquistare un servizio VoIP a pagamento;

- il tuo fornitore potrà applicare “differenziazioni di tariffe”, e farti pagare abbonamenti aggiuntivi per applicazioni e protocolli specifici, ad esempio per e-mail, FTP, newsgroups, chat, peer-to-peer ecc.; potrà inoltre liberamente decidere a quali siti web potrai accedere senza limitazioni, a quali potrai accedere con de-prioritizzazione del traffico (quindi con rallentamento nello scambio dati), e a quali non potrai accedere affatto;

- qualsiasi società privata, per generici scopi di sicurezza di rete, potrà intercettare, memorizzare a tempo indefinito, leggere e analizzare, tutti i dati che invii e che ricevi sulla Rete senza autorizzazione di alcun organismo governativo, inclusa la magistratura.

Per tutelare i tuoi diritti fondamentali, si è formata un’ampia coalizione europea che riunisce le più importanti associazioni in difesa dei diritti digitali e dei diritti dei consumatori. La coalizione comprende 16 organizzazioni non governative e associazioni che si battono per i diritti dei consumatori, con sedi in 22 Paesi Membri dell’Unione Europea e altri Paesi non Membri. Da settimane rappresentanti della coalizione stanno attivamente partecipando a Brussels al fine di tutelare i tuoi diritti. In Italia le organizzazioni che fanno parte della coalizione sono Altroconsumo, Associazione per il Software Libero, Istituto per le Politiche dell’Innovazione, NNSquad Italia e ScambioEtico.

ABBIAMO TUTTAVIA BISOGNO DEL TUO AIUTO, E NE ABBIAMO BISOGNO CON URGENZA.

Ti chiediamo di dedicare qualche minuto del tuo tempo per scrivere un’e-mail, e se ti è possibile telefonare, all’europarlamentare italiano che ritieni ti possa meglio rappresentare in Parlamento Europeo, al fine di sensibilizzarlo sui gravi rischi che il Pacchetto Telecom arrecherà a Internet e a i tuoi diritti fondamentali, fra i quali la libertà di espressione, di informazione, il diritto alla difesa e a un equo processo, e il diritto alla privacy. Se ti è possibile, ti chiediamo di sensibilizzare i tuoi familiari, conoscenti e amici, e se ti capita di scrivere in Internet, di informare tramite interventi nei forum e nei blog.

Se sei un blogger o un giornalista e ne vuoi sapere di più, non esitare a contattare il Portavoce di ScambioEtico Paolo Brini

Ti forniamo il LINK per reperire le e-mail e il numero di telefono di tutti gli europarlamentari italiani, al fine di farti scegliere quello che ritieni più coerente con le tue idee.  Ti forniamo il link al PDF della lettera aperta della coalizione, indirizzata al Parlamento Europeo e a tutti i suoi Membri, in modo da darti tutti i riferimenti normativi che delineano quanto è stato sopra affermato. Per qualsiasi richiesta o necessità, non esitare a leggere e a scrivere in questo forum LINK, che rimarrà sempre aperto e fornirà supporto nonché aggiornamenti sulla Seconda Lettura del Pacchetto Telecom.
Infine, ti forniamo anche una proposta di lettera, che potrà darti lo spunto, se ne avessi bisogno, per cosa scrivere e dire.

“Gentilissimo On. <nome cognome>,

vorrei richiamare la Sua attenzione su alcune serie preoccupazioni che nutro nei confronti del Pacchetto Telecom, che è entrato nello stadio di Seconda Lettura al Parlamento Europeo. Le mie preoccupazioni si riferiscono agli articoli relativi a Internet nel Pacchetto Telecom, e che metteranno a repentaglio sia i benefici economici che Internet sta portando all’Europa, sia i diritti fondamentali quali la privacy e la libertà di espressione.

Io desidero poter accedere a qualsiasi sito web o servizio Internet, alla velocità più elevata per la quale sono disposto a pagare. Non voglio che che gli operatori di rete scelgano per me quali siti web e quali servizi e applicazioni posso utilizzare. Voglio essere in grado di sperimentare nuove applicazioni e protocolli senza dover preventivamente chiedere il permesso agli operatori di rete, e non voglio che il traffico che genero e i contenuti ai quali voglio accedere siano bloccati o limitati dagli operatori di rete. Pretendo inoltre il rispetto della mia privacy, in conformità a quanto ripetutamente raccomandato dallo European Data Protection Supervisor e ribadito dallo stesso in data 9 gennaio 2009 e 16 febbraio 2009 ([4] e [5]).

Mi riferisco specificamente ai seguenti articoli del Pacchetto Telecom [1] e [2], i quali:

1. permetteranno il filtraggio di contenuti, applicazioni e servizi – Direttiva Servizi Universali, Articolo 22(3),
2. consentiranno di applicare un rifiuto di accesso a materiale on-line protetto da copyright attraverso tentativi di imposizione, anche quando tale accesso è legale, per mezzo della “cooperazione” fra fornitori di accesso e “i settori interessati alla promozione di contenuto legale” – Direttiva Servizi Universali, Articoli 33(3), 20(1.b.1), 21(4a); e Direttiva Quadro, Articolo 8(4g),
3. minacceranno la privacy attraverso la memorizzazione e l’elaborazione dei dati personali per “motivi di sicurezza” – Direttiva sulla Privacy nel settore delle comunicazioni elettroniche, Articolo 6(7).

Allo stesso tempo,

1. sono state rimosse le protezioni per gli utenti contro le pratiche discriminatorie, le sanzioni sproporzionate e le restrizioni inique di servizio – Direttiva Quadro Articolo 8 (4g) e Direttiva servizi universali Articolo 32a;
2. sono stati indeboliti i controlli regolatori sulle attività dei fornitori di servizio, che proteggerebbero contro pratiche inique, restrittive o discriminatorie – Direttiva servizi universali, Articolo 22(3).

In qualità di Suo elettore, Le chiedo pertanto di opporsi a [2]:

  • Direttiva Servizi Universali

o Articolo 33(3);
o Articolo 20(1.b.1);
o Articolo 21.3 (c) (modificato nel rapporto Harbour [6])

  • Direttiva sulla Privacy nel settore delle comunicazioni elettroniche

o Articolo 6(7)
come da raccomandazioni EDPS (European Data Protection Supervisor) [4] [5]

e Le chiedo di sostenere [3]:

  • Direttiva Quadro

o art. 8.4(ga) (Emendamento 138) (riproposto come Art. 8.4(fb) nel rapporto ITRE relatrice M.me Catharine                                                                    Trautmann) come da raccomandazioni EDPS [5]

  • Direttiva Servizi Universali

o Art. 32a (Emendamento 166)
come da raccomandazioni EDPS [5] (riproposto nel rapporto IMCO, relatore Malcolm Harbour [6])

Confidando in un Suo appoggio verso i diritti fondamentali dei cittadini europei, Le porgo

distinti saluti
<firma>

Riferimenti:

[1] Conclusioni del Consiglio sulle reti future e Internet, Sessione 2907 su TRASPORTI, TELECOMUNICAZIONI ED ENERGIA, Riunione del Consiglio, Brussels, 27 Novembre 2008

[2] Posizione comune del Consiglio adottata il 16 Febbraio 2009

Articolo 22(3) Direttiva Servizio Universale (DIRETTIVA 2002/22/EC)
Articolo 33(3) ; Article 20(1.b.1); Article 21 (4a) Direttiva Servizio Universale,  (DIRETTIVA 2002/22/EC)
Articolo 6(7) Direttiva sulla Privacy nel settore delle comunicazioni elettroniche, (DIRETTIVA 2002/58/EC)

[3] Gli Emendamenti si riferiscono al testo adottato dal Parlamento Europeo il 24 settembre 2008

Emendamento 138 Direttiva Quadro, (DIRETTIVA 2002/21/EC) Art. 8.4g(a)
Emendamento 166 Direttiva Servizio Universale (DIRETTIVA 2002/22/EC) Art. 32.a

[4] “Second opinion of the European Data Protection Supervisor on the review of Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)”, 9 gennaio 2009, paragrafi dal 76 all’86.

[5] “EDPS comments on some issues in the review of Directive 2002/22/EC (Universal Service)”, 16 febbraio 2009

[6] “DRAFT RECOMMENDATION FOR SECOND READING on the Council common position [...] Committee on the Internal Market and Consumer Protection, Rapporteur: Malcolm Harbour – 23-02-2009″ art. 21.3 (c)

[7] “DRAFT RECOMMENDATION FOR SECOND READING on the Council common position [...] Committee on the Internal Market and Consumer Protection, Rapporteur: Malcolm Harbour – 23-02-2009″, pag. 51, [...] “(21a) The following article shall be inserted: ‘Article 32a)’”

Blog su WordPress.com.