Una censura cinese in Italia?

La “grande muraglia” cinese non e’ costituita da semplici dispositivi di intercettazione, ma e’ strutturata in diverse fasi, che hanno obiettivi molto diversi.

C’e’ una funzione di intercettazione e deep inspection che si svolge principalmente sulla rete di accesso. La rete di accesso , per intenderci, e’ il primo tratto della rete, che e’ locale (e quindi fisicamente in mano al governo) e viene fornita dall’ ISP. Diciamo che e’ la prima rete che le vostre informazioni transitano. Se facciamo un paragone con il traffico automobilistico, e’ il tratto che fate con l’auto dal vostro garage sino ad imboccare l’autostrada. Terro’ l’esempio per i meno tecnici.

In questa fase, sapere dove voglia andare l’automobile e’ assai difficile. Possiamo chiederlo , ma osservando il suo comportamento solo durante la fase iniziale non abbiamo idea di cosa fara’ successivamente : certo potra’ imboccare l’autostrada che porta verso il posto A, ma in autostrada potra’ poi cambiare idea, e specialmente, che cosa fara’ dopo aver raggiunto il posto A?

In termini tecnici questo significa che non sappiamo bene se la destinazione sia quella definitiva, o se si tratti di un proxy. Cosi’, ovviamente se l’autista e’ cosi’ stupido da dirci dove voglia andare e poi mantenere la parola e’ ok, ma siccome non ci fidiamo – e questa e’ la base del problema – allora ci guadagnamo molto di piu’ a sapere cosa diavolo trasporti.

Cosi’, tutta una serie di malware, spyware, sia a livello di PC sia a livello di router, andrano a cercare nel pacchetto per vedere se ci sono contenuti strani. Allo stesso modo, se il nostro eroe decide di criptare E2E, da un lato cripta il contenuto, ma dall’altro entra direttamente nella lista dei sospetti, da sorvegliare in seguito con altri mezzi polizieschi.

Lo scopo di questo pero’ non e’ quello di censurare i contenuti online, dal momento che agire su chi visita il sito e non sul sito e’ molto dispendioso. Quindi in realta’ se il sito cinese e’ in Cina agiranno sulla rete di accesso DEL SERVER piuttosto che su quella dei singoli utenti. Anche il data center in qualche modo accede alla rete, e sebbene probabilmente sia collegato direttamente ad un backbone, il collegamento avviene direttamente sul suolo cinese.

Lo scopo dell’intercettazione pura del singolo utente attraverso la rete domestica di accesso e’ piu’ quello di sapere a grandi linee come usa la rete, cosa ci scrive se e’ in chiaro, e compilare una lista di sospetti. Questo e’ fattibile in Italia? Per pochi sorvegliati viene gia’ fatto, estenderlo e’ una questione di costi.

Sempre a questo livello di ISP avviene il controllo del DNS, che in Italia e’ blando, tanto da permettere di usare altri DNS, ma siccome gli altri DNS usano sempre la stessa porta (53), e’ relativamente semplice, anche in Italia, redirigere tutto il traffico per la porta 53 , qualsiasi destinazione iniziale abbia, verso un dns controllato. In Italia non si fa, tantevvero che potete aggirare il controllo antigambling semplicemente cambiando DNS. Se i vostro ISP redirigesse il traffico UDP (raramente anche TCP) per la porta 53 sul PROPRIO dns, non potreste farci nulla.

Certo alcuni DNS stranieri potrebbero cambiare porte, ma qui entra in gioco DPI/IX, e quando ci si accorge che il pacchetto contiene una query al DNS, la si ridirige al dns locale, che risponde col record locale. In Cina e’ pratica comune, in Italia non si fa.

Quanto costerebbe farlo?

Se parliamo solo di ridirigere la porta standard DNS (53) sul DNS locale sempre e comunque, il costo e’ molto basso, a parte la capacita’ del DNS stesso. Bastano due righe sul firewall. Poco costoso e fattibile in tempi brevi. Basta la decisione. Si puo’ eludere con tunnel SOCKS5, che pongono il DNS dall’altro lato del tunnel, e sistemi analoghi come le VPN.

Se occorre anche fare analisi di protocollo , tapping e re-routing, parliamo di poche centinaia di migliaia di euro per ISP tra TAP, analizzatori  e tutto quanto, piu’ un lavoro improbo per gestire lo switching iniziale in modo da far passare sempre tutto per gli analizzatori di protocollo. La seconda difficolta’ che ho menzionato peggiorerebbe la qualita’ della rete, introdurrebbe latenze enormi e la renderebbe sensibile a vistosi DDOS, nel momento in cui tanti iniziassero ad iniettare pacchetti UDP con query del dns, avendo la certezza di colpire sempre gli stessi sistemi. In definitiva per renderlo stabile occorrerebbe pensare ad una redistribuzione geografica dei DNS, e a tutta una serie di rimappatura dello switching ATM per far passare il traffico per i tap e gli analizzatori. Fattibile ma non banale, per cui , spesa o non spesa, occorre qualche anno per mettere in piedi la baracca, IMHO.

In entrambi i casi, pero’, qualsiasi tecnologia di tunnel criptato riesce a porre il DNS dall’altro capo del tunnel, quindi se si pensa di farlo contro il terrorismo od organizzazioni eversive questo non funziona moltissimo. Se fatto estensivamente puo’ causare danni alle DarkNet, anche se dopo una riorganizzazione tecnologica aggirerebbero il problema.

Il secondo stadio della censura lo potete fare sui carrier. Qui entra in gioco un potere poco conosciuto, ovvero quello delle aziende che fanno i backbones. In Cina ovviamente ci sono aziende locali create ad hoc. Spesso il governo lascia fare i backbone che hanno l’altro capo all’estero solo all’azienda cinese, e permette agli operatori stranieri di costruire i bakbones che sono contenuti per intero dentro la nazione. In questo modo sembra che il mercato sia aperto, ma in realta’ il governo controlla tutto.

Questo non serve tanto ad agire sui contenuti, perche’ analizzarli sul backbone introdurrebbe una quantita’ di latenze catastrofiche, ma consente di agire oscurando servizi mediante la manomissione del routing (BGP Blackhole, e cosi’ via). In questo caso il “potere” del controllo consiste in due capacita’. Se una sottorete interna subisce un attacco dall’esterno, e’ possibile escludere la rete attaccante in tempi brevi (superabile distribuendo molto l’attacco) , e se qualche contenuto offensivo compare all’estero, e’ possibile impedire che gli utenti lo raggiungono, manipolando una piccola quantita’ di configurazioni.

Inoltre, questo permette una terza capacita’, il “BGP magnet” o “BGP Traffic Attraction”. Consiste nell’offrirsi alla rete come la via piu’ breve tra due punti. Ora, capite che se io mi dichiaro come il punto piu’ breve tra Washington e New York, esiste la seria possibilita’ che un pochino di traffico faccia un giro “geograficamente lungo” per passare dai miei routers. Non sto li’ a menzionare i dettagli e problemi affini, come le  Bogon Routes (http://www.cymru.com/BGP/bogons.html ) o l’indirizzamento delle reti IX, ma il punto e’ che il traffico puo’ essere manipolato facilmente inserendo in un multicast considerato affidabile delle rotte maligne.

Questo tipo di controllo , effettuato sui carrier a scopi di censura, tende effettivamente a controllare l’altro capo della connessione dell’utente,  e ha lo scopo di controllare che cosa gli utenti possano vedere e cosa no. Poiche’ i siti informativi e i giornali sono in gran parte in chiaro, l’analisi dei contenuti e’ semplice e il blackhole puo’ essere davvero veloce.

In Italia e’ possi bile farlo? Tecnicamente e’ possibile tutto, ma non vi sono infrastrutture dedicate, i carrier sono diversi e specialmente al sud l’infrastruttura sta in piedi con lo scotch e le figurine dei calciatori. Un simile mostro andrebbe costruito da zero. A quel punto la domanda e’: chi si opporrebbe?

Principalmente si opporrebbero i finanzieri, che non amano essere spiati ed avere limiti, e soffrono molto (sul fast trading) i problemi di latenza sul trasporto. Questa cosa implicherebbe la costruzione di diverse reti con policy separate, ma avrebbe sempre il rischio di troncare il traffico di enti molto potenti. In secondo, troverebbe la resistenza dei carriers, dal momento che la rete e’ un grafo, e un controllo simile comporterebbe il controllo di traffico di altre nazioni. In ultimo, un governo che blacklista reti e singoli IP senza avvisare pone il problema della stabilita’, per cui il governo cinese puo’ farlo perche’ dispone di una rete relativamente nuova con buone performance. Se in Italia buttate fuori un AS senza avvisare nessuno, la rete vi oscilla per giorni e giorni a seconda della quantita’ di traffico coinvolta e sono facili backout globali.

In questo senso, per agire in quel modo in italia occorrerebbe un ripensamento sulla rete dei carrier. E’ facile immaginare che l’introduzione di ulteriori latenze potrebbe avere effetti abbastanza evidenti.

In USA questo viene gia’ fatto, anche se non ha come bersaglio la liberta’ di opinione , ma le leggi vigenti permettono al governo una infrastruttura di sorveglianza di quel tipo , che potra’ gia’ essere usata dopo l’approvaione della SOPA. In Germania, Francia e Inghilterra simili filtri si possono gia’ implementare senza che la rete ne soffra molto. Il problema e’ che nel mondo occidentale e’ il mondo della finanza ad opporsi all’idea che si introducano incontrollabili latenze o improvvisi blackout di rete. Al pirata basterebbe far partire un attacco diffuso da un AS per farlo blacklistare, ma il blacklisting potrebbe poi impattare altri membri di quello stesso AS: Questo richiederebbe ad ogni ente di possedere un proprio AS; ma oggi gli AS IPV4 sono esauriti, etc etc.

L’ultimo blocco della “Grande Muraglia”, il piu’ facile da capire, e’ quello che si svolge a livello di contenuti. In questo caso, tutto si affida ad operatori umani potenziati da appositi software. Il nostro operatore ha un software che “punta” su un certo numero di siti e se li spazzola. Quando avviene un picco di traffico, intervengono persone “schedate” su un forum o arrivano molti nuovi utenti, e l’argomento e’ “hot” si accende un allarme e un operatore umano arriva a dare un’occhiata.

A quel punto gli operatori hanno diverse strategie che vanno dal portare confusione nel thread, deridere l’elemento pericoloso sino a farlo fuggire, denigrarlo con fatti personali ibparazzanti, rendere illeggibile il thread, sino a chiuderlo con il solito sigillo della polizia cinese.

Il pro e’ che gli operatori umani si adattano facilmente all’argomento e all’oppositore, i contro sono che servono molti operatori, in Cina si parlano molte lingue inintelleggiili tra loro, e che occorre un apparato di spionaggio molto sofisticato per reperire immediatamente informazioni spiacevoli o calunniose contro il dissidente.

Questo e’ fattibile in Italia? Essenzialmente non solo e’ fattibile, ma esiste una combinazione di fattori gia’ in atto, capace di realizzare un complesso di attori che, sebbene non siano un apparato organico, si comportano esattamente come quello cinese.

Innanzitutto la carenza di reale competizione tra aziende, la delirante copertura legale a qualsiasi cosa sia reputazione, ed un concetto stravolto di “Onore” portano le aziende a continui auditing in rete. Sebbene questo passi normalmente sotto il nome di “Web Reputation”, un’azienda italiana che si veda oggetto di commenti negativi da parte di utenti ha facile gioco di inviare la letterina dell’avvocato.

A questo si uniscono le strutture di controllo dei partiti. Anche escludendo mediaset e le sue infrastrutture di Web Reputation , il PD ha quasi diverse migliaia di dipendenti, i quali frequentano forum politici online di vario tipo, e diverse strutture su base volontaria fatte da militanti, il cui incarico dichiarato e’ quello di fare propaganda, ovvero di rendere impossibile la comunicazione efficace di concetti sgraditi al PD. Ci sono poi i militanti cattolici , che esercitano lo stesso controllo mascherati da gruppi di attivisti come il MOIGE, come sedicenti gruppi di lotta contro la pedofilia, come gruppi contro la diffamazione dei cattolici, e via dicendo.

Ogni partito ed ogni gruppo, se abbastanza grosso, si orgaizza per badare alla propria “Web Reputation”. Questo e’ normale ovunque , ma non ovunque si innesta in una classe di poliziotti quasi analfabeti , una polizia postale competente a malapena quanto un early user, una magistratura ed una avvocatura proni privi di alfabetizzazione informatica , e ad una classe di giudici che non solo non hanno competenza verticale (1) ma non hanno nemmeno un centro di “expertise” unificato e standardizzato cui rivolgersi, preferendo una eterogenea massa di sedicenti periti dalle dubbie capacita’ professionali.

Una causa in materia di IT si conclude quasi sempre con la condanna dell’imputato, dal momento che:

1. Per i giudici basta un romanzetto senza vere prove tecniche per costituire una buona accusa. Se ci sono due stampate, allora la prova e’ provata, senza nemmeno sia necessario stampare informazioni rilevanti. Spessissimo basta scrivere l’accusa e poi corroborarla di stampate a casaccio per dire di aver provato qualcosa. Molto spesso le stampate sono prese da computer di casa dei magistrati o dei poliziotti, e il giudice medio non riesce ad accorgersi nemmeno del fatto che l’accusato usi un MAC e nelle stampate ci sia windows.
2. La difesa porta in campo necessariamente prove informatiche, di fronte alle quali i giudici si sentono incompetenti. Ma nella cultura paranoia del giudice, questo e’ visto come un tentativo di confusione, e viene ignorato come atto di astuzia della difesa. La difesa non puo’, di fatto, portare prove tecniche a favore perche’ i giudici non solo non capiscono le prove, ma si irritano nel constatare di essere incompetenti, considerando offesa personale il semplice fatto che qualcuno vada sul tecnico, come se nel farlo si volesse sottolineare l’incompetenza del giudice.
3. L’accusa parte spesso dalla polizia postale. Sebbene il livello di competenza degli elementi migliori della polizia postale non consentirebbe loro di vendersi come consulenti Junior sul mercato – se lo consentisse non starebbero certo allo stipendio che prendono – e la Costituzione predichi la terziarieta’ del giudice, la polizia postale arriva di solito con un romanzetto fatto di copia incolla dai giornali e da google, piu’ una o due dichiarazioni ove si dice “che a loro avviso non esistano dubbi su quanto avvenuto”, e una stampata di qualche file fatta dal prompt di MSDOS, che ci vuole sempre e se c’e’ quella il giudice e’ convinto. Se la postale scrive cose tipo (visto sul serio) che il computer essendo collegato con un cavo alla presa telefonica sulla parete era evidentemente in grado di condividere i contenuti con le reti telematiche mondiali” (modem=server , insomma)  il risultato e’ che il giudice crede sempre alla polizia postale. Eventuali periti, sino a professori universitari, chiamati a contestare vengono visti come “di parte”, mentre la postale, pur lavorando per l’accusa, e’ vista sempre come neutrale.
4. La maggior parte dei giudici ritiene che se l’imputato e’ accusato di qualcosa, allora avra’ fatto qualcosa. Se l’accusa insiste molto col GIP e scrive molto, il processo si fara’, a prescindere da cosa scriva. Se sei sul banco degli imputati, allora sei almeno un poco colpevole, quindi l’assoluzione e’ lenta , mentre la condanna e’ veloce, il che spinge gli avvocati a chiedere una condanna breve, senza galera e con poche conseguenze anziche’ insistere. Il giudice preferisce una condanna lieve molto rapida, che aumenta le proprie metriche di produttivita’ senza esporlo a molti ricorsi e a possibili reprimende, piuttosto che una accurata disamina che dimostrerebbe l’innocenza dell’imputato: tanto, pensano, se e’ davvero innocente e riceve molto danno da una piccola condanna, fara’ ricorso e sara’ assolto in appello.
5. La polizia postale e’ giudicata dal numero di inchieste avviate, di perquisizioni condotte, di materiale perquisito, a prescindere dal giudizio finale. Questo crea una naturale collaborazione tra chi denuncia un reato informatico e chi fa partire la perquisizione. Inoltre, gli agenti ricevono elogi dal ministero sulla base degli articoli usciti sul giornale. Se le inchieste di qualche unita’ finiscono spesso sui giornali, dando lustro all’unita’, gli agenti ricevono elogi formali, utili ai fini di carriera.
6. Sebbene la sentenza sia pubblica, la divulgazione pubbica degli atti del processo, come le perizie e il dibattito, sono molto difficili da mettere in rete. Potrei facilmente sputtanare alcuni “consulenti” ed alcuni “tecnici del tribunale” mettendo online gli atti dei processi cui ho fatto da perito, ma e’ vietato. Le corbellerie dei tecnici dell’accusa, cioe’, non possono finire su blog ed affini.

Ora, nella situazione in cui l’accusa vince quasi sempre, un processo e’ una tortura lenta e costosa, ed esistono moltitudini di persone disposte a denunciare, il risultato e’ una grande quantita’ di denunce, corroborate dalla buona volonta’ della polizia postale a farvi finire sul giornale con accuse orrende.
Sebbene questo non sia un apparato organico e la legge italiana in teoria predica di evitare queste dinamiche, la somma di questi fatti singoli ottiene lo stesso identico meccanismo repressivo vigente in CINA. LA differenza e’ che il governo cinese non ci tiene ad apparire democratico, quindi costruisce un apparato del genere in maniera ufficiale.

Il governo italiano non puo’ costruire un sistema repressivo come quello cinese, ma vuole ottenere lo stesso risultato. Quello che fa e’ allora lasciare che le numerose tessere del gioco si organizzino “spontaneamente” a formare un insieme che risulta fare la stessa cosa nello stesso modo, ma non e’ possibile dimostrare che la volonta’ politica fosse quella.

Il politico, cioe’, stimola i suoi militanti a controllare il web e i giornali e a sporgere denuncia. Poi legifera in modo che la polizia sia premiata per il numero di inchieste AVVIATE. Poi legifera in modo che ai giudici convenga condannare sempre. Poi organizza la giustizia in modo che a nessun giudice convenga specializzarsi davvero. La SOMMA di queste istanze separate fa si che il sistema sia oppressivo quanto quello cinese, ma se dovessimo accusare il governo italiano di aver costruito un sistema repressivo, ci troveremmo al massimo con una somma di incompetenze.

La politica italiana costruisce gli apparati repressivi semplicemente organizzando le singole funzioni di ogni processo in maniera separata; solo la somma dei malfunzionamenti delle singole parti produce la repressione, non e’ possibile dire che un singolo apparato sia repressivo, Avendo in mente la repressione che vogliono come risultato generale, non faranno altro che spezzettarla,  che organizzare “casualmente” i singoli malfunzionamenti perche’ ottengano il risultato sperato, senza che sia possibile dimostrare la presenza di un apparato organico di repressione.

Se andiamo ad analizzare per quale motivo la repressione italiana sia simile a quella cinese, troveremo che alla fine ogni ente ha obbedito a direttive che sembrano costruite come direttive normali, criticabili o meno. Solo osservando il comportamento generale del sistema si realizza che la somma delle interazioni dei singoli regolamenti risulti in un sistema cinese; i singoli regolamenti, presi da soli, non sembrano avere intento simile a quelli del governo cinese. Ma il legislatore ha una visione di insieme, e quando vuole costruire un apparato repressivo si limita a spezzettarlo tra le diverse funzioni dello stato, in modo che un insieme di funzioni apparentemente democratiche si sommino causando un sistema nel complesso repressivo.

In questo senso, quindi, il sistema cinese e’ gia’ in atto in Italia. La differenza non sta nelle sue capacita’, potenziali o meno, ma nelle intenzioni e negli iniziatori: il governo italiano non teme rivolte come Tien An Men, almeno per ora, per cui non ha interesse a reprimere come quello cinese. Tuttavia, ogni qualvolta si manifesti su internet qualcosa che per qualche motivo infastidisca un partito od un politico, sebbene per motivi cosi’ diversi da evitare il paragone con la Cina, il sistema che si attiva e’ nel risultato assolutamente analogo a quello cinese.

E costruito diversamente , ha scopi diversi – anche se analoghi – e condizioni di attivazione differenti, ma all’atto pratico puo’ mandarvi la polizia a casa per aver espresso la vostra opinione, sbattervi in galera e togliervi gli strumenti di lavoro, e questo senza avere qualsiasi prova o indizio valido ai fini di processo, se non addirittura avendoli fatti creare dai denuncianti stessi come commenti sul forum da chiudere, o dalla polizia stessa, che in caso sia sgamata si giustifichera’ dicendo che loro possono infiltrarsi e provocare, ma si guardera’ bene dal dire ai giudici che quelli erano loro a meno di non essere sgamati, eccetera eccetera.

Quindi si, manca la censura sui due strati di rete – accesso e carrier – ma per quanto riguarda i contenuti, il sistema cinese – mutatis mutandis – ce l’avete gia’.

Uriel

(1) Giudicano oggi un caso di abigeato e domani un caso di informatica.