| HT news
| ConnettivitàNuova Zelanda: il protocollo BGP per filtrare la rete
di Stefano Bellasio
In Nuova Zelanda è attivo da tempo un programma completo per la scansione e la censura di quei siti Internet che rientrano nella blacklist governativa e che solitamente, afferma il governo, riguardano contenuti con immagini di bambini. Si tratta di una buona iniziativa da questo punto di vista, ma il sistema sembra avere diverse falle, sia a livello organizzativo sia a livello pratico: la prima di queste riguarda proprio la partecipazione al programma, gli ISP sono liberi di non aderire a questa normativa e attualmente solo due di questi hanno accettato quanto imposto dal governo del paese.
Molto curiosa anche la scelta utilizzata per il filtering: si chiama WhiteBox ed è una appliance basata su Unix prodotta da una piccolissima azienda svedese, la Netclean. Come si legge direttamente sul sito web della compagnia, WhiteBox lavora in maniera molto semplice:
"The NetClean WhiteBox fetches a blocklist and converts it into a list of IP-addresses. These addresses are announced via BGP to the ISP-routers with the intent of redirecting this traffic via the NetClean WhiteBox. A deep packet inspection device matches the requests in the traffic against the blocklist, and if there is a match, a blockpage is displayed instead of the requested page, otherwise, the traffic is forwarded to the destination unaltered. From a network point of view, the WhiteBox is installed as a router which announces suspected IP-numbers through BGP to the core network."
In sostanza tutto il traffico viene analizzato tramite Deep Packet Inspenction, viene "annunciato" ai router BGP e questi devono poi reindirizzarlo tramite la Whitebox in modo tale che questa posse porre dei "sigilli" sulle pagine web, facendo apparire un avviso. La decisione del governo ha fatto però scoppiare un vero e proprio caso e sono diversi anche i motivi per cui il filtro non funziona a dovere, basta infatti avere una pagina che utilizza HTTPS perchè questa non possa essere "intercettata", o ancora basta utilizzare un diverso protocollo perchè il filtro smetta di funzionare: email e file sharing sono ad esempio del tutto sicuri e non filtrati.
Il problema di fondo rimane comunque anche nel caso di utilizzo di altri protocolli: per ora non avviene un'analisi su di essi, ma il traffico passa comunque dai router dell'ISP e potrebbe in futuro essere analizzati per alcuni IP, senza alcun avvertimento.
Techliberty.org.nz spiega molto chiaramente il punto di vista sulla quesitone, chiedendo la rimozione immediata del programma. Inquietante anche il fatto che i siti inclusi nella blacklist non possano essere resi pubblici.