Tagliare i cavi di Internet



Arturo scrive:

“Purtroppo temo che il tuo post sia un po’ troppo ottimista. Tagliare fuori un paese dal resto della rete internet non è particolarmente complesso, noti i punti di collegamento con l’esterno. In un paese come l’Egitto, questi sono in mano a una manciata di provider.

Anche in Italia non sono poi così tanti: una volta “spenti” i 5-6 grossi provider e chiusi i nodi pubblici di interscambio, il 90% degli utenti sarebbe di fatto isolato. Tieni presente che, per la natura stessa dei protocolli, è impossibile mantenere segreto un collegamento disponibile a tutti.”

Dal commento di Arturo al mio articolo “Spegnere la Rete”:

https://alessandrobottoni.wordpress.com/2011/02/09/spegnere-la-rete/

Rispondo qui di seguito in un nuovo articolo per ragioni di spazio.

L’Omino della Telecom

In realtà, “tagliare i cavi” ”alla boia d’un Giuda”, è tutt’altro che facile. Per capirne le ragioni bisogna mettersi per un attimo nei panni di chi deve effettuare questa ipotetica operazione, cioè l’Omino della Telecom (intendendo con questo termine il tecnico della società di telefonia che fornisce i cavi usati per la comunicazione a livello fisico e che quindi è l’unico che può effettivamente svolgere questo compito).

Una mattina di Febbraio l’Omino Telecom, accompagnato da due gorilla in uniforme, bussa alla porta di uno dei più grossi provider di connettività italiani, ad esempio I.Net. E qui cominciano subito i primi guai: da qualche tempo I.Net è parte di British Telecom:

http://www.globalservices.bt.com/CampaignDetailAction.do?Record=welcome_to_bt_inet_visitor_campaign_all_it&fromPage=Furl

Quindi, se tagliate un cavo scatenate un incidente internazionale di alto livello perché mettete al tappeto, tra gli altri, anche una parte rilevante dei servizi delle banche e degli istituti finanziari della City londinese.

L’Omino Telecom, però, non può fermarsi di fronte a questi “dettagli” perché l’Orco Brutto e Cattivo che domina il suo paese tiene in ostaggio sua figlia e minaccia di trasformarla in una consigliera regionale se lui non obbedisce.

Di conseguenza, l’Omino Telecom si avvicina ad uno dei server che agiscono da terminale di connessione e alza la scure in direzione dei cavi. A questo punto, uno dei due gorilla che lo accompagna ha un lampo di intelligenza e lo ferma.

Gorilla: “Cosa ci passa là dentro?”

Omino Telecom: “Boh!”

Gorilla: “E se ci passa del traffico bancario? Magari proprio quello del Boss che sta spostando i suoi sudati risparmi ad Antigua in vista della fuga?”

Omino Telecom: “Mmhh… forse è meglio sentire il capo…”

L’Omino Telecom telefona all’Orco Brutto e Cattivo per chiedere cosa deve fare.

Omino Telecom: “Ha detto di mettere giù la scure. Lì sopra ci passano quasi certamente anche i SUOI dati… Bisogna tagliare i cavi uno ad uno.”

Gorilla: “Sarà un lavoraccio….”

L’Omino Telecom apre la scatola del server e comincia a studiare la matassa di cavi che ne esce.

[Qui, ovviamente, sto usando una metafora: nella realtà si troverebbe di fronte a degli switch software sul pannello di controllo di un router/firewall]

Omino Telecom: “Che faccio? Lo taglio questo qui? Questo cavo giallo?”

Gorilla: “Dove va?”

Omino Telecom: “Boh! Collega la macchina 74.86.212.11 alla macchina 212.76.84.91.”

Gorilla: “ E chi cazzo sono?!”

Omino Telecom: “E che cazzo ne so?! Uno dei due indirizzi è stato concesso in uso da IANA ad un’azienda di Hosting, una certa Aconet. L’altro è di una società di servizi, una certa HTG.”

Gorilla: “Stanno in Italia?”

Omino Telecom: “Boh! Le aziende a cui sono stati concessi gli indirizzi sono entrambe delle multinazionali che hanno sedi un po’ dovunque. Avrebbero potuto assegnare gli indirizzi a qualunque macchina di qualunque loro sede. Potrebbero persino averli noleggiati ad altre aziende loro clienti.”

Gorilla: “Quindi non possiamo nemmeno sapere se una delle due macchine sta davvero in Italia o se solo il loro traffico passa da qui, magari facendo un giro del cazzo tra i server europei.”

Omino Telecom: “Esatto. Posso provare a seguire il cavo ma… appena entra nel muro è finita.”

Gorilla: “Vabbè ma possiamo vedere il traffico che ci passa sopra!”

Omino Telecom: “No, è una VPN cifrata. Queste qui sono quasi tutte VPN…”

Gorilla: “Ah! E come si fa a sapere che cosa ci passa sopra, chi è collegato?”

Omino Telecom: “Bisogna avere accesso ad uno dei server che gestisce la VPN, cioè uno dei server interni di una delle due aziende.”

Gorilla: “Ottimo! Andiamo da una di queste due aziende!”

Omino Telecom: “Cioè da chi, esattamente? Come ti ho detto, so solo a chi hanno assegnato gli IP. Bisogna parlare con le aziende assegnatarie e vedere a chi hanno noleggiato gli IP a loro volta. Poi ci vuole una visura camerale per scoprire dove ha sede l’azienda noleggiatrice, con chi bisogna parlare e via dicendo. Ovviamente, sempre che l’azienda sia in Italia e non sia necessaria una rogatoria internazionale.”

Gorilla: “OK, facciamolo! Dopo tutto noi siamo il Potere Brutto e Cattivo. Ogni resistenza è inutile.”

Omino Telecom: “OK, allora tu prendi quel milione e mezzo di cavi lì. Il tuo collega prende quegli altri due milioni là ed io mi cucco questo cinque milioni di cavi qui. Ad una media di un paio di giorni a cavo, dovremmo farcela prima che l’universo imploda nuovamente. Finiti questi, possiamo passare agli altri sette od otto provider italiani.”

La Censura selettiva

Come dovreste aver capito a questo punto, “spegnere la rete”, od anche solo “spegnere uno dei provider che la gestiscono” è sostanzialmente impossibile. NON si possono “tagliare i cavi” alla boia d’un giuda. Sulle reti NON esiste il concetto di “dentro” e “fuori”. Non esiste il concetto di “frontiera” e quindi non esiste una linea sulla quale tagliare i cavi. Bisogna per forza intervenire in modo chirurgico tagliando alcuni (3 o 4, non 300 o 400) “cavi” in mezzo a qualche milione. Insomma, si ricade subito nella casistica della “Censura Selettiva”.

Agire in modo selettivo però significa anche sapere con precisione chi gestisce cosa. Questo è tutt’altro che facile in un ambiente, come il nostro, in cui le aziende sono spesso incapsulate una nell’altra come scatole cinesi, in cui un’azienda noleggia indirizzi IP ai suoi clienti, fornisce servizi di infrastruttura ad altri e via dicendo. Già dopo pochi passaggi diventa un gioco infernale di visure camerali, analisi di topologie di rete, richieste di informazioni alle polizie straniere ed imperscrutabili congiunzioni astrali.

Arturo, a questo proposito fa notare:

“Per quanto riguarda la censura “mirata”: sarà più o meno sempre possibile aggirarla (si tratta, dopo tutto, di una classica “corsa agli armamenti”) per un utente dotato di pazienza, intelligenza e conoscenze tecniche. Il punto è che l’utente comune di solito ha al massimo un paio di queste doti. E’ per questo che i sistemi di censura sono così efficaci, nonostante l’imperfezione tecnica.”

Anche questo NON è vero:

http://www.relakks.com/

Basta avere questa informazione e pochi euro al mese per risolvere il proprio personale problema di accesso alla rete. E di proxy cifrati anonimizzanti come questo ce ne sono migliaia su Internet.

Fornire soluzioni pacchettizzate, usabili anche da utenti incompetenti, è il cuore del business nel nostro settore (I&CT). Noi non facciamo altro da mattina a sera, da anni.

Conclusioni

Arturo scrive:

“La difesa contro questo genere di problemi non può essere di natura tecnica, ma necessariamente deve essere di natura politica e legale.“

In realtà, quello che cerco di dire nel mio articolo è proprio che questo ormai non è più vero. È già da un pezzo che la politica (il Potere Brutto e Cattivo) NON è più in grado di intervenire su queste cose.

Lo si è visto molto bene nei casi di ThePirateBay e di Wikileaks. Chi si trovava in Egitto la settimana scorsa probabilmente può dirvi come stavano le cose sulla sua rete in quel caso.

Il Potere ha ormai perso questa guerra. L’ha persa nel momento in cui, per avidità, ha permesso ad Internet di diventare parte integrante dei SUOI loschi traffici, mescolandosi alle legittime occupazioni di noi popoli oppressi. A questo punto districare la matassa è ormai impossibile ed i loschi traffici degli oppressori diventano la miglior garanzia possibile di continuità di servizio per noi oppressi.

Alessandro Bottoni

L’immagine ritrae il tappeto di cavi di una normale server room aziendale. Ne potete vedere altre sul sito da cui proviene questa:

http://www.dotcom-monitor.com/blog/index.php/2010/08/server-cable-hell-15-of-the-worst-wiring-jobs-ever-2/

Per quanto sono riuscito a capirne, sono immagini di pubblico dominio.

Comments
4 Responses to “Tagliare i cavi di Internet”
  1. Arturo scrive:

    Non avevo assolutamente in mente una distruzione “fisica” delle infrastrutture. Se ho ben interpretato i post di Renesys, nessun cavo è stato tagliato in Egitto e i collegamenti internazionali che passano da lì sono rimasti del tutto indisturbati. Tuttavia, tutti i provider egiziani hanno smesso di annunciare al mondo gli indirizzi IP dei loro clienti. Questo è uno scenario _completamente_ diverso da quello delle censure di twitter, facebook o simili viste in altri paesi.

    Quindi, per quello che ho capito io, la risposta alla domanda “Si può spegnere la Rete”, nel contesto di un paese come l’Egitto, è incontestabilmente “sì”.

    Ci sono cose che mi sfuggono? Mi pare che tutte le fonti di informazione (vedi arstechnica, renesys, i quotidiani, i media indipendenti, etc) abbiano riportato questo fatto, il tuo blog è il primo dove leggo che in realtà la rete sarebbe stata disponibile.

    Lo scenario di cui stiamo discutendo è quello in cui un governo, in modo legittimo, ordina ai provider che operano sul proprio territorio di isolarlo dal resto del mondo. Ci stiamo chiedendo:
    1) se questo ordine è tecnicamente eseguibile. In presenza di un ordine legittimo, un’azienda è tenuta a mettere al lavoro i propri tecnici per adempiere. Non lavoro presso un provider, quindi non posso sapere se la situazione è effettivamente caotica come descrivi nel tuo post, ma mi parrebbe strano scoprire che gli ISP italiani non sono in grado di gestire le proprie tabelle BGP. Ciò che è accaduto in Egitto prova che i provider egiziani ci riescono. Non immediatamente, magari, ma nel giro di una giornata sì.
    2) se è possibile controllare la corretta esecuzione dell’ordine. Per la natura stessa del protocollo BGP, che per funzionare distribuisce la propria tabella, direi proprio di sì.

    Cosa c’entrino le banche inglesi poi non l’ho proprio capito. Nello scenario di cui abbiamo discusso al massimo resterebbero isolate le filiali italiane. O pensi che tutto il traffico della City passi da Roncobilaccio?

    Se questo scenario ti sembra irreale, pensa al sistema delle intercettazioni telefoniche. E’ difficile intercettare le telefonate? Sì che lo è. E’ difficile e dispendioso per la stessa azienda di telecomunicazioni. Basta questa motivazione tecnica a escludere l’esistenza delle intercettazioni? Ovviamente no. La legge lo prevede, e, se l’azienda vuole continuare a operare sul territorio italiano, si deve adeguare.

    • Nemmeno io pensavo ad una distruzione fisica. Si tratta di una metafora. Le operazioni avvengono via software, ovviamente.

      Il problema, come cercavo di spiegare nel mio articolo, è che bisogna sapere cosa tagliare.

      Tagliare tutto il traffico, alla cieca, è un’operazione assurda ed autolesionistica in un ambiente, come il nostro, che dipende dal traffico Internet anche per operazioni che, apparentemente, non hanno nulla a che fare con Internet. Che lo si faccia tagliando i cavi o manipolando le tabelle di routing, cambia poco. Il risultato finale è la paralisi di un sistema che rappresenta, di fatto, il sistema nervoso del paese. Una nazione “normale” non può reggere più di qualche ora in queste condizioni.

      Se il blackout deve essere prolungato, la situazione deve essere gestita in un altro modo, selezionando i server da zittire e lasciando intatti gli altri. Scoprire qual’è il traffico che deve restare illeso in mezzo ad una mattanza del genere è un’operazione molto complessa, per le ragioni (soprattutto legali e burocratiche) che ho già spiegato, e quindi si ricade nella necessità di fare indagini, prendere decisioni, etc. Una procedura che richiederebbe secoli per essere messa in atto. Anche qui, il fatto che si possa intervenire sulle tabelle di routing, e non su dei cavi, è di poco aiuto.

      Poter dare ordini, ed avere una infrastruttura in grado di eseguirli, non basta. Bisogna essere in grado di dare ordini razionali ed eseguibili. E’ questo che non è più possibile fare.

      Non vivo in Egitto e quindi non conosco i dettagli della loro operazione ma, da quello che se ne legge in giro, non mi sembra affatto che si sia trattato di un caso di “blackout” indifferenziato della rete. Piuttosto, sono stati resi inaccessibili i server “generici” e/o quelli più fastidiosi per il governo (soprattutto i blog ed i siti di social networking) usando esattamente la stessa tecnica che ha usato il governo italiano per zittire ThePirateBay ed esattamente con gli stessi risultati (più apparenti che reali). Per forza di cose, una enorme quantità di server ha dovuto restare raggiungibile (banche, polizia, ospedali, etc.). Si è quindi ben lontani da un blackout totale e prolungato.

      Che il pubblico abbia percepito questa situazione come un blackout totale è fuor di dubbio ma credo che la realtà sia stata ben diversa. Il blackout è durato (per forza di cose) poche ore e questo forse non ha dato tempo ai loro “hacker” di esplorare le alternative. In caso contrario, probabilmente avrebbero trovato in fretta i “buchi” di una simile cortina.

      Personalmente sono convinto del fatto che anche in quelle condizioni estreme, molte delle tecniche già note e già sperimentate da noi per altri motivi abbiano funzionato lo stesso. Su questo punto, però, la certezza può venire solo dagli egiziani. Un esempio banale sono le intranet delle multinazionali, come le banche. Basta passare attraverso una di queste Intranet per attraversare le frontiere e, francamente, non c’è governo al mondo che riesca ad impedirlo. Si può impedire agli egiziani (od a chiunque altro) di approfittarne per qualche ora ma non in eterno. E non si possono spegnere le Intranet e le extranet delle banche e di altri operatori perché da esse dipende la vita economica del paese. E’ lo stessa situazione di “commistione di interessi” che citavo nel mio articolo.

      Riguardo alle banche inglesi, la mia non è mica una battuta: per ragioni economiche e logistiche una parte rilevante dei sistemi di tutte le grandi aziende risiede in posti assolutamente insospettabili, spesso in paesi lontani. Si pensi ai call center di assistenza tecnica, per esempio, sempre più spesso dislocati in Albania, in India e via dicendo anche se servono USA, UK e Italia. Oppure, si pensi ai concentratori di dati dei servizi legati alle carte di credito. Se il paese lontano “butta già la rete” alla vigliacca, rischia seriamente di buttar giù l’economia di altri paesi, con tutte le conseguenze del caso.

      • Arturo scrive:

        E’ appunto questo che volevo sottolineare: le ragioni per cui in Italia non è prevedibile che venga mai ordinato un blackout di Internet sono legali, politiche, economiche, NON tecniche. Più che altro, è sommamente improbabile che in Italia si arrivi a uno scenario di quasi-guerra civile come è stato in Egitto.

        PS: continui a ripetere che il blocco della rete non è stato efficace in Egitto, ma non citi alcuna fonte e mi sta venendo il dubbio che tu non ne abbia alcuna.
        Qualche spunto:
        http://readonly.labs.ripe.net/Members/rbarnes/visualizing-the-egyptian-disconnection
        – l’eccellente blog di renesys, che ha seguito tutta la vicenda: http://www.renesys.com/blog/
        – i forse più accessibili articoli di arstechnica: http://arstechnica.com/search/#egypt

      • Il problema è tecnico, prima che politico: è necessario che la somma autorità politica del paese sia in grado di dire ai suoi sgherri quali fili tagliare. O, in alternativa, i suoi sgherri devono essere in grado di deciderlo da soli, sulla base di qualche principio guida.

        E’ proprio questo che è quasi impossibile, al giorno d’oggi. Nessuno è più in grado di sapere con certezza a chi appartengono i cavi e cosa ci gira sopra senza prima dover svolgere indagini tecniche, legali e burocratiche molto lunghe e complesse.

        Ovviamente, “cavi” sta per “connessioni”. La solita metafora…

        Sul fatto che in Italia non si possa arrivare ad una guerra civile, non sarei così ottimista.

        Come ho già detto, non ero in Egitto al momento del blocco e quindi non posso portare prove a sostegno di quello che penso ma la mia impressione personale è che il blackout abbia riguardato solo la “Internet visibile”, cioè quella destinata agli utenti finali (e magari agli operatori economici), mentre la Internet nel suo complesso non sia stata affatto “spenta”. Meno che mai quelle sezioni di Internet vitali per il funzionamento delle istituzioni del paese e forse nemmeno quelle sezioni che, a causa di accordi e contratti con entità straniere, non sono sotto il diretto e totale controllo del governo.

        JMHO, ovviamente

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: