Una delle piu' grosse minchiate che ho letto in questi giorni e' la notizia secondo la quale la Russia avrebbe approvato una legge che la stampa descrive come "la Russia si disconnette da Internet". In realta' le cose NON stanno proprio cosi'. E semmai e' il contrario. Andiamo a vedere perche'.

Se domani un ministro serio chiamasse una serie di esperti di rete e chiedesse loro "quali sono i punti deboli di Internet che potrebbero essere usati contro il nostro paese? E come possiamo mitigare i danni, o impedire l'attacco? " avrebbe probabilmente la stessa risposta  che ha avuto Putin.

Il primo problema e' BGP. Spiegarlo e' "diversamente semplice", ma ci provo.

Forse non vi siete mai chiesti in che modo i dati che escono dal vostro computer possono trovare il server di destinazione, dall'altra parte del mondo, e specialmente come possano capire in che modo arrivarci.

Quando siete in auto avete un navigatore. Il navigatore contiene la mappa ed e' in grado di calcolare una rotta. Ma nei pacchetti IP non potete mettere un navigatore: del resto, se anche lo metteste, quale mappa inserireste? Qualcuno dovrebbe darvi una mappa aggiornata.

Allora immaginate che no, il navigatore non e' nella vostra auto. Ma quando uscite dal vostro isolato c'e' una specie di colonnina, che la vostra auto interroga, e tale colonnina gli dice "vai a Trissino? La prima a destra". Poi passate un altro quartiere, la vostra auto incontra una colonnina (ce ne sono in tutte le strade che portano fuori e dentro al quartiere) e chiede di nuovo: "Per Trissino?" E la colonnina "la prima a sinistra". E cosi' via.

Internet e' organizzato circa in questo modo, solo che al posto di "quartiere" dovete scrivere "Autonomous System". Dentro il quartiere la rotta viene fatta da "colonnine" (che si chiamano routers) che vengono configurate localmente da chi ( di solito un'azienda TLC) gestisce quell' Autonomous System. Per uscire, invece, ci sono dei router "particolari" che hanno una mappa globale di Internet. Ma non hanno una mappa di ogni indirizzo IP, che sarebbe troppo onerosa da gestire. Hanno una mappa degli Autonomous System e delle reti (insiemi di indirizzi) che essi contengono.

Perche' il BGP e' un problema? Immaginate che ci sia un ristoratore che desidera avere molti camionisti a passare di fronte alla sua trattoria, verso l'ora di pranzo. O un distributore di benzina che vuole far passare piu' traffico per la sua strada. Sarebbe comodo che potessero convincere le colonnine di essere "la via piu' breve tra A e B", non e' vero?


Ecco, adesso immaginate che a Pechino ci sia un ristorante, "Da Wung, Involtini Primavera & Servizi Segreti". Il quale possa improvvisamente annunciare che il suo ristorante A PECHINO sia la rotta piu' breve tra  Milano e Genova. Quello che succede e' che tutti i veicoli che da Milano vogliono andare a Genova improvvisamente fanno una "breve" deviazione attraverso Pechino, e passano davanti al ristorante cinese dei servizi segreti.

BGP e' cosi' "credulone", come protocollo, che praticamente crede a chiunque annunci qualsiasi cosa. Ma non solo: anche quando ci fossero autorita' preposte all' addressing e alla ripulitura degli annunci (cosa che non e', se non in maniera blandissima: le autorita' sotto si occupano di distribuire gli IP, ma il BGP e' nelle mani di altri) , sono quasi tutte concentrate nelle mani di paesi che ... non sono la Russia. Il piu' potente e' lo IANA , l'ente di allocazione degli indirizzi IP, che poi e' stato "regionalizzato", e abbiamo allora APNIC, ARIN, RIPE NCC, LACNIC, and AFRINIC.  

Ora, come vedete la Russia dipende dal RIPE (https://www.ripe.net/ ) , ente che si trova ad Amsterdam. Morale della storia: se la Russia vuole degli indirizzi IP da assegnare ai suoi utenti, (intendo degli indirizzi IP che vengano fatti transitare nel resto del mondo) allora deve chiederli al RIPE, che poi valida le rotte in modo che il vostro pacchetto vada, che so io, da Trissino a Mosca.

Bene.

Che cosa succede se i rapporti tra Russia e West Europa diventano davvero tesi? Beh, innanzitutto il RIPE potrebbe togliere dagli annunci ogni rotta russa riassegnando gli IP a qualcun altro. Oppure potrebbe "chiedere" ai RIS di cambiare le proprie tavole BGP. Eccone una lista.

Solo RRC13 , a Mosca, e' sotto il controllo russo.(https://www.msk-ix.ru/en/company/) . 

Ma il RIPE ha dato il peering al RRC13 nel 2005,

https://www.ripe.net/publications/news/industry-developments/ris-palo-alto-california-moscow-russia

E come lo ha messo su potrebbe toglierlo in caso di conflitti. E riprendersi gli IP, segnalando un outage delle rotte attuali.

Oppure, assegnando gli IP a qualcun altro, potrebbe portare a diffondere messaggi BGP che di fatto "rubano" il traffico:

Si tratta di esempi estremi, ma alla fine dei conti, e' assolutamente vero che la Russia non controlla niente come un IP Registry regionale, cosi' come la Cina non controlla APNIC, che ha sede in Australia.

E' come se dicessimo che un tizio in Olanda possa fermare tutte le automobili italiane, o spegnere la corrente al paese, o rendere inaccessibili le autostrade, o bloccare gli acquedotti. Ora, a noi gli olandesi piacciono un sacco, ma... se domani ci litighiamo?

Ecco, questo e' il senso del primo provvedimento di Putin: fare in modo che le mappe degli AS russi siano completamente svincolate da RIPE: continueranno a ricevere gli aggiornamenti e ad applicarli, ma , come dice un (saggio) proverbio russo, "fidarsi, ma anche verificare".

In realta', la Russia non si sta "sconnettendo" da Internet: si sta attrezzando perche' una decisione presa ad Amsterdam non possa devastare la rete interna.

E' chiaro che RIPE NCC potrebbe comunque "isolare" la Russia sfruttando il peering col resto del mondo, ma dopo l'applicazione delle regole di Putin tale provvedimento non danneggerebbe  il traffico tra Mosca e San Pietroburgo. Sarebbero ugualmente tagliati fuori, ma l'economia domestica potrebbe proseguire.

Un'altra cosa che non potra' piu' succedere e' che qualcuno "convinca" i routers russi che la rotta piu' breve tra Mosca e San Pietroburgo e' Ramstein, o Pomezia. La regola implementata dai russi e' che quando esiste una rotta domestica, essa sia automaticamente la prescelta, e l'unica possibile. Inoltre, hanno ordinato ai provider russi di attrezzarsi perche' esista SEMPRE una possibile rotta domestica. In questo modo, quando un russo parla con un altro russo, sa che il traffico passa per la Russia.

Al contrario, in questo momento voi non sapete di preciso che strada facciano i pacchetti IP. Se siete nel nord italia probabilmente credete che tutto il traffico tra voi e questo blog (che si trova fisicamente in Germania) avvenga in Europa. Ma non e' cosi': se il "Ristorante Cinese da Wung, Involtini Primavera & Servizi Segreti" ha messo in giro la voce che Pechino e' la rotta piu' breve tra Italia e Germania, potrebbe succedere che voi stiate leggendo il blog passando per Pechino.

https://nakedsecurity.sophos.com/2018/10/30/china-hijacking-internet-traffic-using-bgp-claim-researchers/
https://arstechnica.com/information-technology/2019/06/bgp-mishap-sends-european-mobile-traffic-through-china-telecom-for-2-hours/

Come vedete, la mossa di Putin di prendere il controllo del BGP e' ASSOLUTAMENTE sensata, competente, ed e' la cosa che si sentirebbero rispondere tutti i ministri competenti in Europa, se solo si degnassero di sapere cosa sia Internet e quanto utile sia.

Putin non ha fatto nulla di speciale: QUALSIASI capo di stato che chieda ad un comitato di esperti quale sia la cosa peggiore che un ente straniero potrebbe fare per devastare la rete domestica si sente rispondere "il protocollo BGP e' IL problema".

Ma andiamo avanti. Adesso il nostro capo di stato ha messo al sicuro BGP, e chiede ai suoi esperti: "dopo BPG , esiste qualche parte dell'infrastruttura Internet che e' cruciale, e' anche parzialmente sotto il controllo di enti stranieri, e potrebbe essere usata per disabilitare la rete russa?"

Il comitato di esperti SICURAMENTE risponderebbe: certo. Dopo Il protocollo preferito di Cicciolina (BGP) , sicuramente sarebbe il sistema di DNS.

Si tratta dei famosi Doman Name Servers, che sono organizzati in gerarchie composte da domini, e se ci fate caso potete comprare un dominio .it anche da un provider americano. Ma che succede se l'italia litiga con gli USA e gli USA bloccano il dns del vostro provider? Eh, succede che il vostro sito italiano scompare.

Ma c'e' di peggio: i name servers seguono una gerarchia, cioe' quando si cerca di capire dove sia un dominio, se non e' in cache o non e' servito localmente, si chiede ad altri DNS, fino a terminare la corsa presso i ROOT DNS.

https://www.iana.org/domains/root/servers

Ora, e' chiaro che se io fossi Putin mi cagherei sotto: questi signori possono decidere, domani, che ".ru" non esiste. E se questo succede, allo scadere delle cache nessun ".ru" sarebbe piu' raggiungibile, tranne quelli allocati direttamente sui DNS dell'azienda telefonica per cui avete un abbonamento.

A parte i nomi coinvolti nella lista, non so se notate ma questa lista e' "vagamente occidentale" . Il piu' "neutrale" e' netnod, in Svezia. Cogent si trova a Washington, Verisign a Reston, in Virginia, e il WIDE Consortium si trova a Tokio.

Ora, se voi foste cinesi , indiani o russi, accettereste questa situazione? Accettereste che infrastrutture cruciali del vostro paese vengano gestite per intero da paesi occidentali, se non da enti MILITARI del piu' probabile avversario?

E' chiaro che questa situazione non e' tollerabile per nessun paese, ripeto nessuno, che ambisca ad avere una politica geostrategica indipendente dall'occidente.

E' inutile illudersi. Qualsiasi primo ministro di una potenza non occidentale qualsiasi, prima o poi si trovera' sulla scrivania un "dossier DNS" e un "dossier BGP".

Perche' non puo' essere diversamente.

Qualsiasi tecnico decente avra' consigliato UN MILIONE DI VOLTE ai governi di Cina, Russia, Turchia, India, Brasile, Pakistan, e tutti quanti non vogliano trovarsi nel black out in caso di conflitto, di TOGLIERE agli americani il controllo dei DNS, e di togliere ad enti stranieri il controllo del BGP.

Perche' tutti, ripeto tutti, ripeto tutti i mass media occidentali non spiegano che la mossa di Putin e' la stessa che hanno fatto i cinesi (ma secondo voi si lasciano controllare i DNS -anche-  da una ditta di Tokyo?) , che hanno fatto gli indiani e probabilmente dozzine di altri paesi.

In parte (molto in parte) lo hanno fatto anche in Germania:

https://www.e-mail-made-in-germany.de/

Ma nessuno ha gridato "la Germania vuole disconnettersi da Internet".

https://www.united-internet.de/unternehmen/verantwortung.html

Il problema e' che Putin ha annunciato questa cosa, e pur di non rispondere al pubblico del fatto che usando internet STIAMO USANDO UN' INFRASTRUTTURA AMERICANA, cercano di mettere tutto sul piano della "censura". Putin vuole censurare internet. Aha.

Mentre chi (=gli USA) ne detiene un ferreo controllo, invece, cosa vuole fare?

Putin ha semplicemente chiesto ai suoi esperti come proteggere l'infrastruttura russa dal peggio. E gli esperti gli hanno risposto menzionando i due pericoli che OGNI tecnico avrebbe menzionato: BGP e DNS.

Le pecorelle indifese che vogliono entrare nel pieno di questo secolo senza farsi troppe domande, semmai, siamo noi europei.

E' chiaro che agli USA questa mossa non piaccia. Ed e' chiaro che non piacerebbe nemmeno se la si facesse a livello di UE. E quindi troveranno sempre il modo di vendervela come "censura".

Cosi' come e' chiaro che nella stampa di tutta Europa nessuno vuole sollevare il problema della "governance" di Internet: meglio discutere di improbabili "carta di identita' social" , che distoglie l'attenzione dal problema vero.

Putin lo ha fatto, e a quel punto l'accusa era gia pronta (e scontata): censura. E voi ci crederete come boccaloni.

Sino a quando non andrete su google a cercare qualcosa che ricordate benissimo. Ma non la trovate. E vi rendete conto che se non c'e' su google non esiste, e quello che ricordate voi rimane senza prove: non potete dimostrare di aver assistito ad un tale evento perche'  Google non lo indicizza nella prima pagina.

E allora vi chiederete "ma non e' censura, questo?".

Ecco, in quel caso, provate a cercare su Yandex.