Spegnere la Rete
Ho appena finito di leggere questo articolo:
http://www.ilfattoquotidiano.it/2011/02/09/ma-la-rete-si-puo-spegnere/91050/
Credo che sia il caso di chiarire alcuni dettagli su questo tema (sempre troppo ricorrente sulla stampa).
Si può spegnere la Rete?
No.
Semplicemente e definitivamente no. Non lo si può fare a livello tecnico (fisico), non a livello politico (di potere). Non lo si può fare (e non è MAI stato fatto) nemmeno nelle peggiori dittature perché nemmeno i peggiori dittatori ne hanno il potere. Neanche Berlusconi.
Non la si può spegnere “del tutto” (cioè a livello”fisico”) e non la si può spegnere nemmeno in modo selettivo (cioè a livello di accesso ad uno o più specifici server).
Spegnere la rete “del tutto”
Spegnere del tutto la Rete dovrebbe significare qualcosa come “spegnere la rete telefonica”. Questo è palesemente impossibile non tanto per ragioni politiche (nessuno ha il potere di dare un’ordine del genere, nemmeno nella più cupa dittatura) ma non lo si può fare nemmeno per ragioni tecniche: gran parte dei servizi vitali di un paese è ormai assicurata proprio da quella Rete.
Tra l’altro, separare il traffico legittimo e necessario da quello abusivo e sgradito è impossibile: all’interno di ogni banca, ad esempio, ci sono decine di impiegati che devono poter comunicare tra loro usando la intranet aziendale. Come si potrebbe mai impedire che si scambino qualcosa di sgradito?
Spegnere la rete “in parte”
Allora si potrebbe tentare di spegnere la rete in modo selettivo, cioè impedendo agli utenti di accedere ai servizi sgraditi. Questo è perfettamente possibile e viene fatto ogni giorno, in ogni paese.
Peccato che… non serva assolutamente a niente.
Taroccare i DNS
Il modo più semplice di impedire agli utenti di accedere ad un server (web, di solito) consiste nel disabilitare la risoluzione del suo nome a livello del DNS. In questo modo, il server www.google.com non sarà più accessibile con questo suo nome abituale ma solo attraverso il suo indirizzo numerico (74.125.232.114).
Nulla che possa realmente mettere in difficoltà un utente appena smaliziato.
Questo è ciò che è stato fatto, ad esempio, quando il governo fascista italiano ha voluto zittire il server ThePirateBay.org nel 2008.
Taroccare i router
Visto che bypassare il problema dei nomi è banale, di solito si tenta di rendere irraggiungibile il server anche agendo sui router (firewall), disabilitando la risoluzione delle route per quell’indirizzo o filtrando il traffico.
Anche qui la soluzione è banale: ci si collega (magari con una connessione cifrata) ad un altro server che agisce da “prestanome” (“proxy”) e poi da lì si raggiunge il server di proprio interesse.
Di server proxy ne esistono milioni (quasi tutti commerciali) per cui non c’è che l’imbarazzo della scelta. Io vi consiglio questo:
Bombardare i server
In alcuni casi, è possibile mettere fisicamente le mani sui server sgraditi e dar loro fuoco, sbriciolarli, macinarli e darli in pasto ai cani.
Non serve a niente: da quando si è tentato di rendere irraggiungibile Wikileaks.org, circa un mese fa, il numero delle sue “copie” (i suoi “mirror”) è passato da meno di 200 ad oltre 2000. Decisamente un bell’effetto Streisand.
Ma, allora, cos’hanno fatto il Nepal, la Birmania e l’Egitto?
Ciò che hanno fatto TUTTI questi paesi è stato impedire (con risultati molto parziali) ai propri cittadini di accedere ad alcuni server che risiedevano all’estero, soprattutto Youtube, Facebook e Twitter, e ad alcuni server che risiedevano sul loro territorio, soprattutto i server locali di Google, Yahoo ed alcuni altri motori di ricerca.
Da qui a dire che è stata spenta Internet c’è una bella differenza.
Persino nei momenti più cupi delle più cupe repressioni messe in atto dalle più cupe dittature, al massimo sono stati resi inaccessibili alcune migliaia di server su oltre 400.000.000 (quattrocento milioni) di server totali.
Sono SEMPRE rimasti accessibili tutti i server web non direttamente inseriti nelle blacklist dei governi (decisamente troppi per poter tentare di elencarne alcuni).
Ovviamente, rendere inaccessibili i motori di ricerca ed i principali siti di social networking provoca un certo smarrimento nel pubblico meno preparato. Così come lo provoca il dover ricorrere all’indirizzo numerico (74.125.232.114) al posto del nome convenzionale (www.google.com) quando i governi fascisti (come quello italiano) decidono di intervenire sui DNS (come ha fatto il governo fascista italiano nel 2008 allo scopo di zittire ThePirateBay).
Questo però NON impedisce certo di usare servizi alternativi e non impedisce certo di accedere ai servizi abituali con altri mezzi. Sono sicuro che ricordate tutti molto bene come si è continuato ad accedere per mesi a ThePirateBay.org attraverso il suo indirizzo numerico ed attraverso dei banalissimi server proxy come relakks.com. Anche la recente lezione di Wikileaks dovrebbe aver insegnato qualcosa su questo tema.
E cosa mi dici della Grande Muraglia Cinese?
La Grande Muraglia Digitale Cinese non è altro che una catena di firewall messa “a difesa” della rete interna cinese. Svolge più funzioni tra cui anche quella di impedire agli utenti cinesi di accedere ai server “sgraditi” al governo cinese, sia che essi si trovino sul loro territorio nazionale (caso assai raro), sia che si trovino all’estero.
Come tutti i firewall, è facilissima da scavalcare: basta collegarsi ad un server “gradito” che si trovi all’esterno della Muraglia (e vi posso garantire che ce ne sono milioni, gestiti da emigrati cinesi) e poi da lì andare a spasso liberamente sotto mentite spoglie. L’unico vincolo è che, ovviamente, la connessione tra l’utente ed il server esterno deve essere cifrata e quindi attira parecchio l’attenzione dei controllori. Per questo esistono migliaia di appositi server che creano un tunnel cifrato tra l’utente ed il server proxy camuffandolo da servizi di altri tipo (chat, download/upload video, voip, etc.). Abusando un po’ il termine, vengono chiamati “tunnel steganografici”.
L’unico modo di opporsi a questo tipo di elusione consiste nell’usare firewall molto sofisticati e costosi che praticano la cosiddetta “packet inspection” per verificare che una comunicazione sia proprio ciò che dice di essere. Di firewall come questi non ce ne molti in giro, neanche in Cina.
E com’è andata la storia del Superbowl?
La questione del Superbowl è andata esattamente nello stesso modo della storia di ThePirateBay e di molti altri servizi di streaming video “pirata” sgraditi agli operatori commerciali locali: hanno disabilitato la risoluzione dei nomi a livello di DNS e la risoluzione delle route sui router, rendendo inaccessibili i server dai canali abituali.
I server in questione, come quello di ThePirateBay, sono rimasti comunque accessibili dall’esterno della rete controllata dai censori per cui, in realtà, sono rimasti accessibili a chiunque, anche dalla rete USA, usando un banale proxy come relakks.com o anonymizer.com .
Le reti off-Internet
La moda del momento consiste nel creare reti che, pur usando i normali cavi telefonici, non facciano uso di nessuno dei servizi di Internet (DNS, Router, etc.) e che quindi risultino sia invisibili che invulnerabili a qualunque tipo di censura e/o di attacco.
Un modo banalissimo di creare reti di questo tipo (su scala geografica, con connessioni punto-punto limitate solo dalle dimensioni del Pianeta Terra) consiste nell’usare una banalissima coppia di vecchi modem analogici e un banalissimo programma per la creazione di BBS come quelli che trovate qui:
http://en.wikipedia.org/wiki/List_of_BBS_software
A questi server ci si può collegare usando un banale emulatore di terminale come uno di quelli che trovate qui:
http://en.wikipedia.org/wiki/List_of_terminal_emulators
Contrariamente a quello che ormai comunemente si crede, infatti, le reti telefoniche (TUTTE le reti telefoniche) NON sono affatto “digitali”. Più esattamente, le reti telefoniche NON sono reti “a pacchetto”, cioè di tipo “packet switching”. Ciò che è “packet switching” è la Internet (la “Rete direti”) che viene costruita sopra la rete telefonica. L’operatore telefonico poi usa questa rete a pacchetto anche per trasportare il proprio traffico voce grazie a tecnologie VoIP (come Skype, per capirci). La rete telefonica sottostante, tuttavia, è tuttora (per molte buone ragioni) una rete analogica (a “commutazione di circuito” o “circuit switching”). Più esattamente, è analogica la connessione che ci interessa: quella tra il vostro telefono ed un qualunque altro telefono della rete.
Di conseguenza, è TUTTORA possibile piazzare due modem analogici (US Robotics) alle due estremità di una connessione e far parlare tra di loro due computer come, ad esempio, un server di BBS basato su OpenTG ed un client.
Se non ci credete, ragionate su questo punto: come diavolo fa il vostro vecchissimo FAX, che è in realtà un banalissimo modem analogico, a lavorare sulla vostra nuova e scintillante connessione ADSL?
Semplicemente, i due modem (analogico e ADSL) convivono sulla stessa linea e lavorano su frequenze diverse, separate dallo “splitter” che avete dovuto installare sulle prese.
Dato che solitamente chi ha una ADSL ha anche un abbonamento voce a forfait (qualcosa come 19,90 € al mese per telefonare a tutti i telefoni fissi italiani, senza limitazioni di connessione), si può creare una BBS senza incorrere in NESSUN costo aggiuntivo.
E la BBS si può estendere su tutto il territorio nazionale restando invisibile, impenetrabile ed invulnerabile a qualunque tipo di analisi, di censura o di attacco. Le sue connessioni (solitamente cifrate), infatti, sono completamente separate da Internet. Sono comunicazioni telefoniche punto-punto che NON passano attraverso nessun server che possa facilmente intercettarle od esaminare i loro contenuti.
Capito adesso come si scambiano la musica i ragazzini più svegli?
(Scusa Umberto, non ce la facevo a non dirlo…)
Le reti wireless
Ovviamente, è possibile creare reti off-internet anche usando connessioni punto-punto di tipo wireless, come le Wi-Fi, le Wi-Max ed altri tipi di connessione radio. L’unico limite è la fantasia.
Le connessioni satellitari
Nei paesi oppressi dalle più cupe e violente dittature, come la Padania, vengono utilizzati anche dei telefoni satellitari (usati come modem) o delle vere connessioni satellitari per bypassare i controlli.
Basta comprare il ricevitore e l’abbonamento all’estero durante una vacanza…
Conclusioni
Insomma, no: non si può impedire alla gente di comunicare ed alle notizie di scorrere, neanche volendolo.
Alessandro Bottoni
L’immagine proviene da Flickr ed è coperta da licenza Creative Commons:
flickr.com/photos/roberto_ferrari/143025068/sizes/l/
Comments
9 Responses to “Spegnere la Rete”Trackbacks
Check out what others are saying...-
[…] This post was mentioned on Twitter by ninux.org, Luca Postregna. Luca Postregna said: Spegnere la Rete: http://t.co/B3ejFzf […]
-
[…] Spegnere la Rete […]
Alessandro Bottoni 
Nei tuoi articoli citi molto spesso le vpn di relakks.com. Ho provato a carcare informazioni su questo genere di servizi, in particolare ho trovato alcuni articoli che parlano di vulnerabilità legate alle vpn basate su pptp, come quella di relakks.com.
L’argomento è trattato anche sulla homepage del sito https://www.ipredator.se/?lang=en
LP
ps: e dopo anche questo articolo leggerai ancora il fatto quotidiano? :P
Nessun sistema digitale può essere completamente invulnerabile, nemmeno le VPN (e non solo Relakks). Tuttavia, riuscire a sfruttare le vulnerabilità note non è sempre cosa facile. Personalmente, credo che il livello di sicurezza aggiuntiva che offre una sistema come Relakks vada già molto oltre le reali esigenze di quasi qualunque utente. In pratica solo i militari ed i servizi segreti possono avere realmente bisogno di un livello di sicurezza più elevato di quello fornito da questo e da molti altri sistemi.
Riguardo a “Il Fatto Quotidiano”, posso solo dire che, pur non essendo esente da critiche, resta comunque uno dei rarissimi giornali che dice a questi stronzi che ci opprimono che sono proprio degli stronzi che ci opprimono, non dei politici che ci governano.
Purtroppo temo che il tuo post sia un po’ troppo ottimista. Tagliare fuori un paese dal resto della rete internet non è particolarmente complesso, noti i punti di collegamento con l’esterno. In un paese come l’Egitto, questi sono in mano a una manciata di provider.
Anche in Italia non sono poi così tanti: una volta “spenti” i 5-6 grossi provider e chiusi i nodi pubblici di interscambio, il 90% degli utenti sarebbe di fatto isolato. Tieni presente che, per la natura stessa dei protocolli, è impossibile mantenere segreto un collegamento disponibile a tutti.
Per quanto riguarda la censura “mirata”: sarà più o meno sempre possibile aggirarla (si tratta, dopo tutto, di una classica “corsa agli armamenti”) per un utente dotato di pazienza, intelligenza e conoscenze tecniche. Il punto è che l’utente comune di solito ha al massimo un paio di queste doti. E’ per questo che i sistemi di censura sono così efficaci, nonostante l’imperfezione tecnica.
La difesa contro questo genere di problemi non può essere di natura tecnica, ma necessariamente deve essere di natura politica e legale.
Sempre a riguardo di relakks e servizi simili, peccato che molti firewall blocchino un sacco di porte escludendo dunque la possibilità di utilizzare tali servizi. Sarebbe interessante se siti come relakks permettessero direttamente la creadione di tunnel ssh, connessioni molto spesso permesse anche da molti firewall.
LP
C’è già chi si sta ponendo questo problema e sta cercando una soluzione.
Va poi detto che, in genere, uno dovrebbe usare l’ADSL di casa propria per queste cose e l’ADSL di casa /non/ è filtrata da nessun firewall…
hai qualche link a riguardo?
Salve a tutti, cosa ne pensate di NETSUKUKU?
Mi piacerebbe avere le vostre opinioni in merito.
Saluti.