#405 – Come si blocca Internet in tutto un Paese

L’idea di questa puntata me l’hanno data i conduttori di Ci vuole una scienza, il podcast del post che parla di scienza per tutti gli abbonati, lo fa bene e riesce, molto meglio di me, a parlarne anche a chi non è del mestiere di tutti gli argomenti.
Io cerco di farlo nel sottoinsieme della tecnologia.
Per quel podcast e per Altre indagini vale la pena essere abbonati al Post.
Torniamo all’idea.
Per la seconda volta in pochi mesi in Iran il governo del paese ha attivato il blocco totale di Internet.
La popolazione non ha accesso a nessun servizio che sia erogato da server che siano su territori al di fuori da quel paese.
Alla faccia della rete Internet libera e accessibile.
In questa puntata cercherò di rispondere alla domanda “ma come fanno a bloccare la rete in questo modo?”
Mi asterrò dal commentare tutto quello che riguarda la guerra, questo è un podcast tecnico, ma credo abbiate già una vaga idea su come la penso.
Questa puntata mi è venuta un po’ lunga.

— Stacco Donatori

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Edoardo
Ivan
Giorgio
Se volete far parte di questo elenco e sostenere economicamente il podcast potete farlo passando dalla pagina sostienimi.pilloledib.it.
Con 3€ al mese potete avere accesso alle puntate mensili extra riservate ai sostenitori, se donate in modo diverso da PayPal mi dovete scrivere perché non ho i vostri contatti.
Da 6€ in su compilate il form e arrivano i gadget.
Ehiweb è il miglior operatore internet fisso e mobile per casa e azienda che possiate trovare, ve lo garantisco. Se fate un abbonamento tramite il link sponsorizzato sul sito o dite che vi ho mandato io, mi scrivete e a servizio attivo vi mandi i gadget. Avete anche diritto a 6 puntate extra per sostenitori.
Potete sempre usare i link sponsorizzati di Amazon, voi spendete niente in più, a me arriva una piccolissima percentuale di quello che avete speso.
Qualsiasi cosa abbiate scelto, grazie!
Senza sostenitori, questo podcast non potrebbe esistere.

Abbiamo già affrontato più volte in questo podcast come funzionano le reti e che giro fanno i pacchetti, non vi faccio la lista delle puntate qui a voce, sarebbe solo tempo inutile, nelle note cerco di ritrovare tutte le puntate alle quali potete fare riferimento.
Essenzialmente, se cercate di raggiungere una risorsa al di fuori della vostra rete di casa o dell’ufficio, per conoscerne l’indirizzo usate il servizio DNS, che converte il nome in indirizzo IP e poi, tramite molti protocolli e regole di routing, il pacchetto esce tramite il vostro router, viene preso in carico dal vostro provider che, usando varie regole di interconnessione con altri provider o con dei nodi di interscambio, lo inoltra verso i link migliori per farlo arrivare a destinazione.
I protocolli di rete fanno in modo che il pacchetto sia inoltrato sui link corretti, che venga recapitato e che l’eventuale risposta venga consegnata a voi, per chiudere il giro dei messaggi.
In teoria quando si cambia Paese non ci sono dogane e controlli e il percorso cambia in base ai link migliori disponibili in quel momento.
Per andare da Roma a Londra non è furbo passare per Shanghai, ad esempio, a meno che sia l’unica via possibile a causa di guasti o sovraccarichi delle altre strade.
Pensiamo la cosa in piccolo.
A casa vostro figlio ha combinato una marachella e lo volete punire. La punizione prevede che non possa più accedere ad Internet.
Avete bisogno però che funzioni la rete interna, per la stampante, per accedere al NAS, per spostare le foto dal telefono al computer e altre cose di uso quotidiano.
L’azione più facile che si possa fare è staccare il cavetto che porta la connessione Internet al router di casa.
Avete isolato tutta la casa dal resto del mondo, lasciando attivi i servizi interni.
Sicuramente vostro figlio perde l’accesso alla connessione, ma nascono subito delle criticità.
Ad esempio non potete più fare le call di lavoro, fare la spesa online o fare i bonifici.
Vostro figlio, con l’aiuto di qualche compagno compiacente, avrà una SIM dati non in vostro controllo e la farà franca.
Potreste fare una cosa più fine, senza staccare il cavo del gestore, creando due reti separate per voi e per lui e imponendo dei filtri molto aggressivi sulla sua navigazione.
Potete imporgli un servizio tipo NextDNS che rifiuta di risolvere i nomi dei siti ai quali non volete che lui acceda, potete fare in modo che le chiamate ad altri server DNS vengano redirette sui server DNS che volete voi, se avete un router evoluto.
Potete anche fare in modo, attenzione, è finzione e nella realtà è illegale, di disturbare le frequenze del telefono cellulare in modo che non possa usare SIM esterne per accedere ad Internet.
Vostro figlio potrebbe iniziare a usare una VPN o la rete Tor. A questo punto, oltre al router, sarebbe necessario comprare dei dispositivi che analizzano i pacchetti in modo che se identificano del traffico non desiderato, li possano bloccare.
Questo controllo si chiama DPI, Deep packet Inspection, controllo profondo dei pacchetti.
L’attività diventa oltremodo faticosa, impegnativa e costosa.
E siamo solo a casa nostra.
Immaginate in un intero Paese.
In Iran si stima ci siano oltre 93 milioni di persone.
Bloccare completamente Internet per tutti è una sfida tecnologica affatto semplice.
Ma ci sono riusciti per ben due volte in pochi mesi, in modo, purtroppo, eccellente.
Ci arriviamo.
In Italia abbiamo molti provider.
Ogni provider è collegato a tutti gli altri provider per quel che riguarda il traffico nazionale.
Tutti i provider sono collegati ai nodi di interscambio per uscire dal Paese e arrivare sulle rotte internazionali.
Ai provider e ai nodi di interscambio sono collegati i servizi nazionali ai quali noi accediamo, come ad esempio i siti delle banche, lo streaming della RAI e tutti gli altri servizi che hanno base sul territorio.
La sto semplificando parecchio, ovviamente.
Tutti pensiamo che Internet sia una cosa che esiste in un mondo diverso da quello fisico, ma, come vi ho già raccontato molte volte, ogni servizio che usate sulla rete funziona grazie a uno o più server che sono accesi in uno o più datacenter costruiti da qualche parte.
Quel “da qualche parte” indica un terreno che deve sottostare alle leggi di qualche Paese.
Magari non sono tutti datacenter e alcuni sono sottoscala o sottotetti, ma siamo sempre lì.
Sul territorio nazionale ci sono anche servizi di aziende non Italiane, che hanno enormi vantaggi ad avere una presenza sul territorio.
Si chiamano POP, Point of Presence, e permettono a questi servizi di rispondere da vicino, invece che dall’altra parte del mondo.
Ci sono anche le CDN che assolvono allo stesso scopo.
Se cercate google.com non vi risponde un server negli USA, ma un server in Italia, che io sappia anche indicativamente da che rack è un dettaglio del mio lavoro.
La stessa cosa vale se chiedete un film a Netflix o a Disney Plus o se chiedete la risoluzione dei nomi al DNS di CloudFlare. Difficile che queste richieste escano dal territorio italiano.
Ci saranno comunque richieste che avranno la necessità di uscire dai confini nazionali.
In questo caso i pacchetti passeranno, a seconda di quello che decidono i gestori del traffico, dal MIX di Milano, dal Namex di Roma o dai cavi del mediterraneo che partono dalla Sicilia, per citare i più importanti.
Se un giorno il Governo italiano volesse bloccare Internet come in Iran o come potrebbero fare Russia e Cina ad esempio, dovrebbe fare un enorme lavoro di coordinamento tra provider e nodi di interscambio.
I provider dovrebbero fare DNS trasparent poroxy, girando tutte le chiamate ai DNS nazionali, che verrebbero avvelenati, in modo da dare risposte di siti irraggiungibili per tutti i siti eccetto la piccola whitelist dei servizi nazionali, tutti i nodi di interscambio dovrebbero essere bloccati e si dovrebbe lavorare in modo assai pesante sul protocollo BGP, quello che annuncia sulla rete globale chi è dove.
Se tutte le risorse Italiane smettessero di essere annunciate, nessun pacchetto dall’esterno potrebbe più arrivare in Italia e avremmo risolto l’isolamento.
A parte le connessioni satellitari, le VPN, il DNS via HTTPS o via VPN e molti altri sistemi per svicolare da questi blocchi.
Il protocollo BGP potrebbe essere la cosa più complessa da comprendere.
Vi faccio un esempio reale.
Qualche tempo fa, era il 2021, tutti i servizi Facebook hanno smesso di funzionare, nessun utente nel mondo accedeva a Facebook e a tutti i servizi ad essi correlati, come Instagram e Whatsapp.
Il problema era una configurazione sbagliata del protocollo BGP, Border Gateway Protocol.
Facebook ha smesso di dire al mondo “ehi, io sono qui e mi potete raggiungere a questi indirizzi”, di fatto sono scomparsi dalla rete mondiale, esattamente come se avessero staccato il cavo della connessione.
Con i cavi, se ne stacchi uno ne hai altre decine, con il BGP, scompari e basta.
In Italia dovrebbero smettere di annunciare tutti i servizi e gli indirizzi IP di ogni provider.
Nessun pacchetto arriverebbe più da noi.
Al momento non mi pare che il Governo sia attrezzato per operare un blocco su così vasta scala in tempi ragionevolmente brevi, soprattutto perché questi enti non sono direttamente dipendenti dal Governo.
Anche se fosse, ci sarebbe un problema enorme con i servizi che dipendono in modo stretto da Internet, come tutta la parte finanziaria, la parte istituzionale, i trasporti e molto altro.
Generare uno shutdown totale con lo scopo di isolare le persone dai mezzi di informazione esteri genererebbe problemi talmente gravi a tutti gli altri livelli che non è una cosa di fatto praticabile.
Volendo, potrebbero usare il sistema del Piracy shield per bloccare determinati IP in pochi minuti, bloccando l’accesso a molte testate giornalistiche o servizi di comunicazione, ma sarebbe un blocco facilmente aggirabile. Infatti il pezzotto non è mai morto, da quando questo ignobile sistema è attivo.
Dopo tutte queste parole, come fanno in Iran a bloccare la connessione senza mandare allo sfascio il Paese finanziariamente e a gestire una guerra?
Lo so che forse pecco di scendere un po’ troppo nel dettaglio, ma fa parte delle caratteristiche di questo podcast. Se sono stato troppo difficile, scrivetemi alla mail [email protected]
Negli ultimi anni sono stati fatti molti investimenti nell’infrastruttura di rete, non cadete nel tranello che è un Paese non in Europa o in America del Nord, indi per cui, non hanno le tecnologie o le capacità che possiamo avere noi.
Hanno realizzato di fatto due enormi reti nazionali.
Quella dei servizi e delle istituzioni e quella della popolazione. Sono divise e vengono gestite in modo completamente separato.
Hanno una divisione simile anche sulle SIM della rete mobile. Quelle bloccabili e quelle con il lasciapassare.
Come se a casa vostra aveste la vostra rete e quella degli ospiti.
Essendo di fatto una dittatura, il controllo sugli ISP, Internet Service Provider, quelli che da noi possono essere Ehiweb, Vodafone, TIM, è pressoché totale e diretto.
In più i nodi di uscita sono pochi e gestiti dalla dittatura.
Da noi sono enti terzi, non collegati direttamente ad entità del Governo, per controllarli servono delle leggi specifiche.
Quando vogliono spegnere Internet ordinano ai nodi di interscambio di bloccare tutto il traffico in uscita, ma solo quello relativo alla rete della popolazione.
In questo modo si ha effettivamente quello che viene definito killswitch, un interruttore che ferma tutto.
Questa chiusura lascia libera la rete separata dei servizi statali, senza i quali l’economia collasserebbe in pochi minuti.
A questa chiusura si può sommare l’avvelenamento del DNS, in Inglese DNS poisoning, in modo che le utenze non sappiano neanche dove andare a cercare gli indirizzi IP da raggiungere, leggerebbero solo pagine false di siti chiusi o pagine istituzionali.
Potrebbero essere reindirizzati a siti istituzionali di propaganda o messaggistica controllata dallo Stato, un po’ come avviene già in Russia.
Possono inoltre decidere di fare come ha fatto facebook nel 2021, ma di proposito. Manomettono il protocollo BGP ed ecco che l’intera rete dell’Iran scompare da Internet.
In questo caso qualche pacchetto può uscire, ma sicuramente non troverà la strada per rientrare.
Come si può cercare di svicolare? Con due tecnologie che usiamo tutti: le VPN e le connessioni TOR.
Tutti i pacchetti hanno al loro interno delle parti di dati che identificano che tipo di pacchetti sono.
Magari è complesso identificarne il contenuto, ma si può sapere qual è la destinazione e si può intuire che tipo di pacchetti sono.
Per alcuni è facile, come traffico FTP o uno streaming video.
Per altri ci si può provare e spesso ci si azzecca.
Questa analisi di ogni singolo pacchetto si chiama DPI, Deep Packet Inspection, Ispezione profondo dei pacchetti e prevede che i dispositivi di rete analizzino ogni singolo pacchetto che passa per cercare di identificarlo. Se corrisponde a un pattern non desiderato, viene scartato.
E magari viene cercata la fonte, c’è sempre il mittente, per andare a prendere la persona.
Per evitare questo ci sono protocolli di offuscamento.
La DPI è costosa in termini di dispositivi e capacità di calcolo, ma quando hai bloccato tutto il traffico nazionale, ne resta poco da controllare.
Inoltre, se il tuo scopo è bloccare le connessioni, non badi a spese.
Restano le connessioni satellitari.
Abbiamo già parlato di Starlink.
Nei Paesi dove è registrato come provider i dati tornano a terra tramite apposite stazioni e da lì entrano nel giro dei provider standard.
In Italia ne abbiamo una in Lombardia e una in Puglia, ad esempio.
Nei Paesi dove non è accreditato, lo si usa come pirati e i dati atterrano altrove, superando il blocco nazionale.
Per bloccare questo tipo di connessione i Pasdaran vanno in giro con dei sistemi che disturbano il segnale radio delle antenne di Starlink, impedendo loro di funzionare.
E sicuramente la gente non vuole essere colta in flagrante mentre usa una connessione non ammessa.
Bloccare Internet in un Paese è una violazione di una libertà fondamentale delle persone, è un modo per tenere la popolazione sotto controllo e per evitare che si sappia come questa popolazione vive e viene trattata.
La rete è nata per essere aperta e senza ingerenze statali, dovrebbe essere così per più di un motivo.
Stiamo vedendo perché è male che sia sotto il controllo dei Governi.

Oltre ad ascoltare il podcast ogni settimana potete interagire con me e con la community usando vari canali.
Trovate tutti i link nelle note di ogni episodio, il gruppo Slack, gli account Social e la mail, potete scegliere il canale che preferite.
Leggo tutti e se siete educati rispondo.
Pillole di Bit è anche una newsletter che esce il martedì con gli stessi contenuti del lunedì, la potete inoltrare agli amici che “eh, ma io io l’audio non lo ascolto”, problema risolto.

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo Slack e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.

Grazie per avermi ascoltato

Ciao!