Censorship Resistent Publishing Systems

internet_map

Da quando è scoppiato il caso Wikileaks, almeno due volte al giorno mi viene chiesto come si può creare un mirror di Wikileaks che NON possa essere oscurato né con un mandato di un giudice né con un attacco DDoS. Lo spiego qui di seguito una volta per tutte.

Tecniche di censura

Per censurare (rendere invisibile e/o irraggiungibile) un sito web si possono usare sostanzialmente quattro tecniche:

  1. Si può ordinare all’host di spegnere il server con un ingiunzione di un magistrato. Ovviamente, questo è possibile solo se l’host risiede in un paese sul quale il magistrato ha influenza, in un modo o nell’altro. Tentare di spegnere un server che si trova in Cina usando un’ordinanza di un Giudice italiano è un’operazione senza speranza.
  2. Si può bloccare la risoluzione del nome sui DNS, in modo tale che il nome “www.wikileaks.org” non venga più convertito al suo indirizzo IP. Questo è ciò che si sta facendo proprio in questo momento. In questo caso, il server resta raggiungibile usando il solo indirizzo IP per cui non è un gran problema. Nel caso di www.wikileaks.ch , l’indirizzo IP è 178.21.20.8 . Questa è la tecnica che è stata ustaa anche per oscurare il sito di ThePirateBay l’anno scorso.
  3. Si può bloccare il routing verso quell’indirizzo usando un firewall. Questa tecnica è stata usata per bloccare il traffico da/verso ThePirateBay. Per bypassare questa contromisura è sufficiente usare un proxy come Relakks o come Anonymizer.
  4. Si può seppellire il server sotto una montagna di richieste di connessione senza senso, cioè si può usare un attacco DDoS (Distributed Denial of Service). Questa tecnica è usata proprio in questo momento per oscurare Wikileaks. Per contrastare questa contromisura è necessario creare dei “mirror” (delle “copie”) del sito base. Per questo Wikileaks è stato “clonato” su oltre 1200 altri server.

Sistemi di Pubblicazione Resistenti alla Censura

Nel corso degli anni, sono stati studiati decine di diversi sistemi di pubblicazione resistenti alla censura. Quasi tutti sono basati sulla stessa tecnologia delle reti P2P usate per il file sharing e quasi tutte proteggono l’identità dell’editore/autore in vari modi. Qui di seguito descrivo i tre sistemi più famosi.

Cosa vi serve

In genere, per creare un nodo di una queste reti dovete avere accesso come amministratori di sistema (“root”) ad un server Unix o Linux stabilmente connesso ad Internet. In altri termini, dovete avere o una macchina Unix/Linux in colocazione presso una web farm oppure un VPS (Virtual Private Server) noleggiato presso un host. Ad esempio, con circa 20 US$/mese potete avere un server VPS “entry-level” da Linode:

http://www.linode.com/

Tuttavia, anche il vostro PC Windows di casa può essere usato a questi scopi.

Il sito di Wikileaks è un banale sito web “statico”, per cui NON avete bisogno di un interprete di linguaggio come PHP, Python o Ruby. NON avete bisogno di una macchina LAMP (Linux, Apache, MySQL e PHP). Vi basta un web server.

A questo però dovete aggiungere i servizi necessari alla vostra infrastruttura di rete (elencati nella documentazione).

Il traffico prodotto dipende da cosa ci fate con questa rete e lo spazio occupato su disco è solitamente compreso tra 30/40 Mb e 200/300Mb.

Freenet

Freenet è nata apposta per resistere efficacemente ad ogni tentativo di censura. È una rete P2P anonima il cui principale scopo è quello di creare un unico, vasto e distribuito “contenitore” comune che i suoi utenti possono usare per immagazzinare e pubblicare materiale di vario tipo.

La trovate qui:

http://freenetproject.org/

Qui trovate una descrizione concisa ed attendibile:

https://secure.wikimedia.org/wikipedia/it/wiki/Freenet

e qui ne trovate una più dettagliata, ma in inglese:

https://secure.wikimedia.org/wikipedia/en/wiki/Freenet

Come potete vedere, è un sistema estremamente facile da installare e da usare. È scritto in Java, per cui gira (quasi) dovunque.

Freenet permette di creare dei siti web anonimi e non censurabili, chiamati “freesite”. Per crearli, si usa un apposito strumento chiamato Jsite (http://wiki.freenetproject.org/FreenetJsite).

Questi siti possono essere SOLO siti web statici, cioè formati da sole pagine HTML. Niente PHP e roba simile. Niente database di appoggio.

Freenet è molto, molto lenta. Molto di più di quanto possiate immaginare. Non è in grado di supportare il trasferimento di grossi file. Tuttavia, è perfettamente in grado di pubblicare documenti in formato di testo, come quelli che ci interessano.

Il principale vantaggio di Freenet è che è piuttosto conosciuta e diffusa. Pubblicare qualcosa su Freenet significa ancora renderla visibile. Certo, visibile solo a pochi, selezionati utenti ma ancora visibile. Non è così per molte altre reti, usate solo da tecnici di altissimo livello per scopi sperimentali.

TOR

In questo caso, siamo di fronte ad una specie di “super VPN” o, per dirla in un altro modo, una “VPN di VPN”. TOR, infatti è una rete in cui ogni nodo comunica con quello adiacente creando una piccola VPN a due nodi, separata da ogni altra. In questo modo, ogni nodo può scoprire qualcosa solo dell’identità dei due nodi più prossimi e comunque non è in grado di leggere le comunicazioni che non lo riguardano.

La trovate qui:

https://www.torproject.org/

Qui c’è la descrizione in italiano:

https://secure.wikimedia.org/wikipedia/it/wiki/Tor_%28software_di_anonimato%29

e qui quella in inglese:

https://secure.wikimedia.org/wikipedia/en/wiki/Tor_%28anonymity_network%29

Su TOR è possibile creare degli “hidden services” di vario tipo, tra cui dei siti web. Su TOR sia i client che i server possono essere anonimi ed irrintracciabili.

I siti web di TOR possono essere anche siti web dinamici, cioè basati su un database e su un interprete di linguaggio come PHP, Python o Ruby.

TOR è lenta ma, stranamente, non lenta quanto Freenet e quindi può essere usata (e viene usata) anche per il download dei file. È perfettamente in grado di ospitare un mirror di Wikileaks ed i repository dei suoi documenti.

TOR è meno usata di Freenet per questi scopi ma resta comunque una realtà concreta.

Anonet

Anonet è una infrastruttura di rete generica, cioè è in grado di sostituire Internet in TUTTE le sue applicazioni (posta elettronica, we, instant messaging, FTP, chat, etc.) usando le STESSE applicazioni che si usano abitualmente su Internet.

Attualmente, sia il sito italiano che ospitava la documentazione di Anonet (www.anonet.it , che poi era anonet.wordpress.com) che quello originale inglese (www.anonet.org) sono stati oscurati (con pochissima sorpresa da parte nostra).

Potete trovare la nuova versione di Anonet qui:

http://anonet2.org/

Provvederò quanto prima a pubblicare il materiale in lingua italiana relativo ad anonet su qualche nuovo server.

Anonet è, nello stesso momento, un modello di infrastruttura di rete che chiunque può replicare per i propri scopi ed una implementazione di riferimentoa cui chiunque può collegarsi.

Creare una Anonet richiede una notevole competenza tecnica ed un po’ di strumentazione, per cui è da considerarsi una soluzione “professionale”. Inoltre, Anonet è frequentata solo da pochissimi esperti di settore, per cui non è certo una soluzione per pubblicizzare ampiamente un documento.

In compenso, Anonet è incredibilmente efficace nel rendere incensurabile un documento ed irrintracciabile il suo autore.

Digressione: e-gold

Come avrete notato dalla cronaca di questi ultimi mesi, per Silvio Berlusconi e per molti altri industriali del pianeta è piuttosto facile esportare capitali e/o ricevere pagamenti su conti correnti internazionali.

Viceversa, sembra che questo sia quasi impossibile per una persona scomoda come Julian Assange.

Probabilmente, a questo potrebbe porre rimedio un sistema di “moneta elettronica” ai limiti della legalità come e-gold:

http://e-gold.com/

Questo sistema permette di comprare un certo ammontare di oro sul loro sito e usarlo per effettuare pagamenti verso altri utenti del sistema.

Il giorno che lo staff di Wikileaks si deciderà ad aprire un conto su e-gold ve lo faremo sapere.

Conclusioni

Bene, ora sapete cosa si può fare e dove potete trovare le informazioni necessarie. Buon divertimento.

Alessandro Bottoni

L’immagine di coperrina è una mappa di Internet generata dal progetto OPTE:

http://www.opte.org/maps/

ed è pubblicata sotto licenza Creative Commons.

Comments
7 Responses to “Censorship Resistent Publishing Systems”
  1. lucapost scrive:

    Ho letto che per aggiornare i dati di ciuscun mirror si utilizza l’autenticazione a chiave pubblica con ssh.
    Questo metodo di aggiornamento dei dati è compatibile con le tecnologie come tor e freenet? Per anonet penso di si…

    • Purtroppo no. Sarebbe necessario un gateway tra la rte P2P in uso ed Internet e questa rappresenterebbe una grave lacuna di sicurezza. Bisogna procurarsi i file da un mirror regolare ed installarli a mano.

      • lucapost scrive:

        Forse ho posto male la domanda. Mettiamoci all’interno della rete Freenet (o Tor), uno dei capoccia di wikileaks è in grado di collegarsi al mio nodo Freenet (o Tor) ed accedere al mio server ssh, e quindi aggiornarmi il contenuto del mio mirror?

      • Restando tutti e due all’interno della rete P2P, si. Però bisogna convincere lo staff di Wikileaks ad usare Freenet o TOR.

  2. San Google dice:

    “Censorship Resistent”
    About 94 results

    “Censorship Resistant”
    About 20,500 results

    …e figurati che io avrei detto “Censorship Resilient”
    About 60 results

    Post sempre interessanti, compliments

Trackbacks
Check out what others are saying...
  1. […] Source: Censorship Resistent Publishin… Systems « Alessandro Bottoni […]



Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: