Splitting

Quando vado a visitare, che so io, il sito di Grillo, che pure vive di pubblicita’, ottengo lo stesso risultato. Anche le aziende italiane, quando arrivo con un browser tedesco da un IP tedesco, non mi mandano su un sito in tedesco (1)  e il sito risulta utilizzabile quasi solo da italiani.

Lo stesso capita per i siti di grandi aziende italiane: quasi sempre si tratta di utenza domestica.

Ora, se esaminiamo i vantaggi e gli svantaggi di una segmentazione di Internet, scopriamo quasi subito una cosa:

1. Esistono solo una dozzina di “Over The Top” la cui area di interesse e’ planetaria, e sono TUTTI statunitensi: Google, Amazon, Twitter, Facebook, e cosi’ via.
2. Esistono poche grandi macroaree linguistiche: cinese, hindu, inglese, spagnolo, arabo, ognuna con circa un miliardo di utenti.
3. Esistono alcune aree minori di interesse economico, come siti in russo, tedesco, francese , italiano, giapponese, che si aggirano attorno alle centinaia di milioni di utenti.

Cosa ci dice questo? Ci dice che internet e’ GIA’ segmentata: non sul piano del trasporto, non sul piano del routing (uhm…. non ci giurerei) non sul piano del protocollo (nonostante IPv6 sia molto piu’ usato in asia) , ma sul mero piano dell’utilizzo quotidiano.

Ma il punto grave e grande e’ questo: TUTTO IL BUSINESS che beneficia  della “piattezza” di Internet, o quasi, e’ business americano. Questo significa che la “piattezza” di internet e’ una condizione il cui mantenimento e’ convenienza quasi esclusivamente americana. Se domani la UE sviluppasse il suo IP-UE, con indirizzi di 40 Bit anziche’ 32 (2), a rimetterci sarebbero SOLO gli americani: i siti web europei potrebbero stare in strutture a datacenter con un doppio stack e dual homing, mentre l’utente se ne starebbe al sicuro in una rete nazionale irraggiungibile dall’esterno. 

Chi ci rimetterebbe? Gli USA. Il business locale rimarrebbe invariato, o quasi. Gli utenti italiani, che (a parte Amazon, Google, etc) girano quasi esclusivamente siti italiani, non vedrebbero grandi cambiamenti. In definitiva, per raggiungere gli OVER-THE-TOP, basterebbe dotare la rete di qualche proxy verso l’esterno, o solo verso Google, Amazon, etc.

Che vantaggi avrebbe questa cosa?Supponiamo di voler spiare la vostra email. Purtroppo, essa va da un’azienda che lavora con un  protocollo europeo verso un’altra che lavora con un protocollo europeo. Se piazzate un dispositivo MIM dentro la rete europea, ma volete ricevere una copia del traffico attraverso internet, il traffico che avete generato come copia estorta dovra’ in qualche modo uscire dalla rete europea. Ma come? Per uscire dalla rete europea il traffico dovrebbe passare attraverso dei proxy che sono a livello 7, cioe’ proxy applicativi: in che modo pensate di fare uscire il traffico passando per dei proxy che lasciano uscire solo il traffico per una dozzina di siti americani, e magari lo sniffano pure?

Supponiamo che vogliate attaccare un utente europeo con politiche di Social Engineering, o mediante phishing: il vostro problema e’ che a risolvere il nome sui DNS ci deve pensare per forza un DNS europeo: poiche’ gli indirizzi da restituire saranno a 40 bit anziche’ a 32, non riuscirete a portare il browser della vittima su un sito della vostra rete esterna. A meno che non lo convinciate a passare per il proxy di frontiera, che potrebbe anche avere dei pregiudizi verso il vostro attacco.

Adesso andiamo a fare il classico DDOS: voi raggranellate in tutto il mondo un gruppo foltissimo di computer zombie, che faranno una bella GET / o una POST / a qualche sito. O mandate miliardi di richieste al DNS, o altre cose che si fanno nei DDOS. Sfortunatamente, la rete bersaglio non parla lo stesso protocollo IP: quello che succedera’ e’ che il vostro picco di traffico impattera’ sui proxy in ingresso, che fanno passare il traffico dall’esterno verso l’interno, e solo se e quando lo si consente. Anche usando una mole tale da mandare in crash i proxy in ingresso, gli utenti che stanno “dentro” la rete europea, non se ne accorgerebbero: vedrebbero che non ricevono piu’ traffico da siti extraeuropei, ma dentro tutto sarebbe calmo.

Come vedete, i vantaggi superano vastamente gli svantaggi: una volta resa incompatibile la rete europea, o quella nazionale, si piazzano delle batterie di proxy in ingresso (per far entrare un insieme selezionatissimo di sorgenti) e alcuni proxy di uscita, che a loro volta fanno passare solo traffico verso alcuni siti – da concordarsi tra governi. Una volta segmentato il mercato, a rimetterci sono quasi solo gli “Over The Top”.

Ma adesso andiamo ad un livello sotto: Immaginiamo che nasca un IP Francese, con indirizzi a 40 bit piu’ un byte per indicare la regione della francia, e uno italiano, con indirizzi che sono sempre 4 campi, ma vanno da 0 a 511 anziche’ da 0 a 255.

Ora, entrambe le nazioni si trovano a dover creare un ecosistema completo per l’interno, e una serie di proxy forward (per leggere l’esterno da dentro) e una serie di proxy reverse (per leggere l’interno da fuori). Che cosa succede se il governo francese e il governo italiano a quel punto trovano un accordo? Che fanno una bella batteria di proxy che trasformano il pacchetto IP-IT in IP-FR, e viceversa.

A questo punto, come e’ possibile per un americano spiare quello che si dicono italiani e francesi? Nelle rispettive reti nazionali si troverebbero con i problemi detti sopra, ma il problema piu’ grave sarebbe che l’unico punto in comune dei due flussi sarebbe il datacenter sulle alpi , che traduce IP-IT in IP-FR !

Adesso mi starete dicendo che si tratta di una soluzione TROOOOPPO drastica. Richiede investimenti enormi, una nuova infrastruttura, ed occorre costruire daccapo tutti i router, avere delle patch in ogni sistema operativo, eccetera. verissimo. Anche se diverse aziende nazionali brinderebbero ad una decisione simile (per cui, non diamo per scontato che sia impossibile: Siemens e Infineon premono per questo, e non credo che in STM sarebbero infelici di una cosa simile) , possiamo pensare ad una versione “MILD” di questo split.

Come?

Gli algoritmi di crittazione.Sinora il mondo sta usando algoritmi di crittazione che sono stati scelti da NSA, sotto forma di appalti.  Quindi, se andate su un sito web https, o mandate posta criptata, usate quelli. Se non usaste quelli, il sito stesso vi apparirebbe come illeggibile, o non riuscireste a leggere la posta, o a stabilire una VPN aziendale.

Adesso supponiamo per ipotesi che da domani un paese decida che SSL/TLS non sono piu’ consentiti, e che il nuovo sistema di crittazione e’ consentito solo con algoritmi scelti da un appalto locale. Questo permette SOLO e soltanto ad UNA autorita’ nazionale di certificazione di rilasciare certificati validi in quel dato paese.  Sara’ compito dei provider BLOCCARE sin dall’handshake (con diverse tecniche) tutte le altre forme di crittazione.

Ecco che avete usato una forma di splitting piu’ delicato. Prima farete lavorare i militari con questo. Poi le aziende appaltatrici dovranno dotarsene. Poi tutta la PA se ne dota. Poi la imponete a Confindustria e ai suoi membri. Infine lo imponete come posta certificata. E alla fine, con ampio preavviso, bloccate tutto il resto.

Da questo momento in poi, solo e soltanto sistemi che usano le stesse librerie di crittazione potranno parlare con voi. E voi potete anche ordinare che da IP che non sono nazionali, QUEL traffico non venga passato se non per alcuni proxy: sara’ compito di Google comprare un certificato italiano (ok, sono 100 sacchi, ce la fara’) , il che richiede di avere il datacenter in Italia.

E’ una strategia piu’ “delicata” , meno costosa, ma inizia a segmentare parecchio, se pensate che SSL/TLS e IPSEC sono usatissimi. Quando volete, come governo potete chiudere la partita dicendo, con una seconda legge, ” non e’ piu’ legale alcun traffico in chiaro. DOVETE crittografare, e potete farlo SOLO con l’algoritmo nazionale”.  End of story.

In questo caso lasciate tranquillo il protocollo IP, tutta l’infrastruttura, ma iniziate ad usare una Diofantea di ordine 11 per crittare(3), e da quel momento i vostri utenti non parlano piu’ con tutti gli altri, se non attraverso dei proxy, ai quali imponete le pratiche che volete. Se volete che google vada piu’ lento di gogol (il prodotto di Mediaset <grin>) , dovete solo fare tarpitting sui proxy, e sorprendentemente gogol diventera’ piu’ veloce di google (almeno per gli utenti italiani).

Lo stesso dicasi per SMTP e HTTP: sono protocolli che non sono vecchi, sono antichi. Sono cosi’ antichi che sanno di Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn.

Esistono gia’ proposte di modifica di http, anche da parte di google o di altri, e anche SMTP andrebbe rivisto un pelino. Sinora non si fa perche’ la base di applicazioni esistenti e’ enorme, ma…. maaaaa…. se NON vogliamo garantire la compatibilita’, e anzi VOGLIAMO segmentare, possiamo solo prendere i protocolli piu’ usati e cambiarli: agli ISP sara’ affidato il compito di non consentire piu’ i vecchi protocolli sul territorio nazionale.

Anche in questo caso, inizierete prima coi militari e con le loro reti, poi passerete alla PA, quindi vi estenderete ai fornitori della PA, per poi andare verso Confindustria e le grandi aziende, e infine i loro fornitori (PMI) si adegueranno. Fatto questo, darete un anno all’utenza domestica per adeguarsi scaricando il browser nazionale. (4)

Anche in questo caso, toccate poco l’hardware , ma andate lavorare sul software installato. Siccome ormai i sistemi di distribuzione massiva sono diffusi (pensate agli update del sistema operativo dei cellulari), se da domani vogliamo che Apple distribuisca solo quel che pare a noi, blocchiamo i suoi server stranieri e consentiamo solo l’update da sistemi  che ci piace e che parte dal nostro territorio.

Perche’ insisto tanto su questa cosa? Perche’ come vedete, anche se richiede investimenti, una politica di questo tipo ha diversi “pro” che possono DAVVERO tentare i legislatori locali:

• Le perdite sono in gran parte dal lato USA.
• La rete nazionale cade sotto il completo controllo governativo.
• Le aziende locali lavorano per produrre il nuovo stack di servizi/software.
• Le aziende straniere sono “caldamente invitate” a muoversi dentro i vostri confini nazionali.

la vera sfiga e’ che, se gestito bene, NON riesco a vedere i “cons” per le singole nazioni. Una volta piazzati dei proxy sul bordo, la rete “interna” non perde niente dell’esterno: gli utenti possono ancora uscire dai confini nazionali, sebbene attraverso dei proxy che trasformano i protocolli.E anche gli stranieri possono ancora vedere i siti nazionali, passando da appositi proxy reverse: cosa si perde?  Niente.

Cosi’, se insisto tanto e’ per una ragione: gli americani stanno giocando col fuoco. Stanno mettendo tutti gli altri paesi nelle condizioni di voler fare uno split della rete nazionale, nelle condizioni in cui ci possono SOLO guadagnare, e nelle condizioni in cui ci rimettono solo aziende statunitensi.

Per quanto tempo ancora grandi aziende che fanno IT in europa, come Bull o Siemens, riusciranno a non imporre ai politici una simile idea e’ poco chiaro ed imprevedibile, ma con condizioni di disoccupazione del genere, basta che il boss di una realta’ IT rilasci su un giornale l’idea, e qualche politico la fara’ sua.E allora in che modo contesterete una cosa che ha SOLO dei pro, nessun cons, e come se non bastasse presenta tantissimi modi  diversi per implementarla?

E quanto tempo passera’ prima che qualcuno porti questa idea alle orecchie giuste?

Magari, e non lo sappiamo, questa idea e’ GIA’ arrivata alle orecchie giuste…  e chi arrivera’ per ultimo si trovera’ a perdere un sacco di soldi nel ritardo del suo IT.

Uriel