Anche Tumblr vittima del CNCPO
Come notato da Gualtiero e da altri utenti italiani di Tumblr, a partire dalla versione 329 del 13 febbraio 2012 la blacklist di siti che il CNCPO ritiene contengano materiale pedopornografico elenca il dominio 25.media.tumblr.com, uno dei bucket S3 Akamaizzati che contengono tutte le immagini di Tumblr.
Per la precisione la blacklist ordina di bloccare una singola immagine, però le direttive del CNCPO permettono di bloccare un intero dominio se non è tecnicamente possibile una censura più mirata, e che io sappia per vari motivi tutti gli ISP italiani non sono interessati a fare diversamente.
Questo genere di danno collaterale non è una novità, infatti da tempo sono censurate parti di siti di image hosting come radikal.ru, fastpic.ru o fapomatic.com. La scelta di elencare solo uno specifico URL, che non è la norma, mostra anche che il CNCPO è ovviamente a conoscenza del fatto che Tumblr è un sito di primaria importanza e largamente contenente cose legali.
Per questo motivo da ieri moltissimi visitatori italiani non vedono buona parte delle immagini dei blog di Tumblr, e ovviamente il sito è già pieno di post che spiegano come configurare name server alternativi... Chissà a lungo termine che impatto avrà questo sulle prestazioni di Internet per chi lo fa (addio ai nodi locali ottimali delle CDN, eccetera).
Tra l'altro è impossibile capire l'origine del malfunzionamento se non si ha qualche competenza tecnica: per come è gestita la censura dalla maggior parte degli ISP (o praticamente tutti?) si riceve solo un errore che indica che l'immagine non esiste. Mi chiedo che impatto ha questo sul customer care di Tumblr e degli ISP italiani.
Per evitare questo problema ho configurato il server che devo gestire a questo scopo in modo che, quando necessario, invii una immagine che mostra la pagina di avvertimento pubblicata dalla Polizia.
Aggiornamento del 14 febbraio: il dominio è stato rimosso dalla blacklist odierna. Ipotizzo che abbiano prevalso ragioni di opportunità visto che l'URL di ieri esiste ancora. Ovviamente non ne conosco il contenuto, ho solo verificato che il server risponde 200 a una richiesta HTTP HEAD.
Ultradns, qmail e libero.it
Da alcuni giorni Ultradns e Libero stanno dando anche loro un piccolo contributo alla doverosa eradicazione di qmail in Italia.
Dopo la separazione delle attività del portale libero.it da Wind, per motivi ignoti è stato deciso di fare gestire i name server autorevoli in outsourcing da Neustar/Ultradns, uno dei principali soggetti nel mercato dei servizi di DNS.
Da alcune settimane Ultradns ha iniziato a implementare progressivamente sui propri name server una discutibile tecnica che rende leggemernte più complicato usarli per attacchi ad amplificazione, e che prevede di rispondere REFUSED alle query per ANY fatte con UDP (mentre funzionano regolarmente via TCP, che non è falsificabile).
dig +norec @n1.libero.it libero.it any
Questo in teoria non dovrebbe causare problemi, visto che le query per ANY normalmente sono usate solo per debugging e nessun software le fa direttamente, però come sappiamo bene qmail è speciale. Le usa per canonicalizzare un eventuale CNAME del dominio di destinazione (una pratica abolita un decennio fa dall'Internet civile in seguito alla pubblicazione di RFC 2821 nel 2001) e quindi quando queste query falliscono genera l'utile messaggio:
deferral: CNAME_lookup_failed_temporarily._(#4.4.3)/
Ho verificato che in pratica il funzionamento di qmail dipende dal resolver utilizzato. BIND prima tenta una query ANY ai server autorevoli, e subito risponde SERVFAIL al client, ma in seguito risponde comunque con i record imparati grazie alle altre query normali per quella label. Unbound continua a fare query per ANY e quindi non risponde mai. Non ho verificato PowerDNS, ma uno degli sviluppatori mi ha detto che stanno implementando un workaround.
Per ulteriori informazioni consiglio di leggere le discussioni in merito sulle mailing list dns-operations e oss-security.
Non c'entra niente, ma è curioso notare anche che la zona it.net non ha più record NS:
dig +norec @dns.it.net it.net ns
Per concludere il freak show segnalo che gli MX di libero.it hanno associati 56 diversi record A. Non è un'idea bellissima, ma di norma non crea problemi visto che il server autorevole non è obbligato a metterli tutti nella additional section quando risponde a una query per gli MX. Però lunedì mattina stranamente i name server di UltraDNS lo facevano, causando di conseguenza troncamento e obbligando i resolver a ripetere la query su TCP. Ma i server non rispondevano al mare di query TCP, e quindi la posta per il dominio non funzionava più.
Aggiornamento: ho appena controllato, e dopo qualche giorno di normalità oggi una query per gli MX restituisce di nuovo l'additional section completa. Ma almeno ora TCP funziona...
dig +norec @n1.libero.it libero.it mx
Legge elettorale, infantilismo e voto utile
Prima che ciascuno dichiari la propria strategia per le prossime elezioni, dovrebbe per prima cosa chiarire quale scopo vuole raggiungere con il proprio voto. Io intendo votare con l'obiettivo di avere un parlamento che decida il più vicino possibile alle mie posizioni.
Trovo infantile votare per premiare o punire un certo partito o candidato, e non mi sembra utile essere rappresentato perfettamente da qualcuno che però nei fatti non ha potere decisionale, e che in compenso indebolirebbe uno schieramento non perfetto ma a me sicuramente più vicino degli altri risultati che ci si possono ragionevolmente attendere.
Questo discorso è valido senza bisogno di citare partiti: una volta nota la legge elettorale e le possibilità di raccogliere voti di ciascuna coalizione, il resto è una conseguenza logica.
Osservatorio sulla censura di Internet in Italia
Negli ultimi mesi non ho più documentato sul blog i casi di censura di Internet in Italia perché sono diventati troppi per segnalarli in questo modo.
Per questo motivo ho sviluppato il sito http://censura.bofh.it/, che intende documentare in modo definitivo lo stato della censura di Internet in Italia.
Prova di disconnessione da Telecom Italia
Martedì 11 ho coordinato un esperimento in cui buona parte delle reti italiane hanno disattivato per qualche ora le proprie interconnessioni dirette con Telecom Italia. Lo scopo era verificare in anticipo gli effetti delle nuove politiche di peering di Telecom Italia, che ha preannunciato l'intenzione di disconnettere unilateralmente quasi tutti gli altri operatori.
Numericamente, hanno partecipato quasi tutti. In pratica, la quantità di traffico spostata è stata comunque piuttosto piccola rispetto al totale. Non sono emersi problemi seri, ma come previsto il traffico di alcuni operatori è passato per l'estero.
Giovedì ho presentato i risultati del test al technical meeting di TOP-IX.
Telco contro over-the-top: si avvicina la resa dei conti
Da sempre gli incumbent hanno l'ossessione di fare pagare a quelli che chiamano over-the-top (le aziende come Google, Facebook, Apple e simili) il privilegio di fornire ai propri clienti i servizi richiesti da loro richiesti. Di solito questo è giustificato suggerendo che le tariffe pagate dai clienti per accedere a Internet non siano sufficienti a sostenere lo sviluppo della rete. (Anche volendo prendere per buona questa spiegazione, allora la colpa sarebbe della continua corsa al ribasso dei prezzi dell'accesso fatta dalle telco stesse...)
Negli ultimi giorni ha avuto un certo risalto nella stampa di settore la proposta fatta da ETNO (il club delle telco europee) nell'ambito del processo di revisione del trattato di ITU sulle International Telecommunications Regulations, che prevede di formalizzare questa filosofia imponendo a chi genera traffico di pagare i prezzi stabiliti da chi lo riceve.
È una idea aberrante per più motivi, che sarebbe lungo approfondire, ma mi stupisce la sorpresa generale visto che non sarebbe una grossa novità. Già adesso i fornitori di accesso, appena possono, cercano di fare pagare entrambi i lati per il traffico che trasportano. Più o meno lo fanno Comcast negli USA e DT in Germania, e secondo fonti affidabili anche Telecom Italia sta per provarci, chiudendo la maggior parte dei propri peering.
Fa riflettere che le stesse pratiche apparentemente siano sempre state accettate dai commentatori finché sono il risultato del "libero" mercato degli operatori di accesso dominanti o oligopolisti.
Trovo interessante anche lo spin "Europa contro Stati Uniti" che è stato dato all'iniziativa: se è vero che i grandi over-the-top sono tutte aziende statunitensi, la voglia delle telco di "tassarli" è globale.
Ancora censura: islamisti
Ieri la Procura della Repubblica di Cagliari, tramite la locale DIGOS, ha disposto il sequestro preventivo in via d'urgenza, inteso quale oscuramento, ovvero mediante l'inibizione degli accessi dal territorio nazionale di cinque blog su temi islamisti, nell'ambito di un procedimento penale per il reato di addestramento ad attività con finalità di terrorismo anche internazionale (270 quinquies c.p.) di cui ha dato notizia anche la stampa.
Questo caso si differenzia dagli altri perché è stato chiesto il sequestro in via d'urgenza, cioè senza la preventiva approvazione di un giudice.
Inoltre, sono mischiati nello stesso provvedimento siti italiani e stranieri, contribuendo quindi alla confusione che da un po' si fa in Italia tra sequestro e censura. I siti censurati sono:
- http://blog.libero.it/islamnur/
- http://blog.libero.it/islamitalia/
- http://ummusama.wordpress.com/
- http://abulbarakat.wordpress.com/
- http://islamo-il-monoteismo.over-blog.com/
I casi precedenti:
- The Pirate Bay
- Venditori di sigarette
- Venditori di abbigliamento
- gallinaro.angelfire.com (questo era così irrilevante che non ricordo nemmeno di cosa parlava)
- bakekaincontri.com (Annunci erotici)
- gaxetaveneta.com (giornalismo d'inchiesta o attacco a un avversario politico?)
- pornhub.com (pornografia amatoriale)
- btjunkie.org (motore di ricerca)
- Altri venditori di abbigliamento
- vajont.info (diffamazione verso un parlamentare)
- privateoutlet.com (e-commerce)
The Limoncelli Test: 32 Questions for Your Sysadmin Team
Ancora censura: e-commerce
Con il Provvedimento n. 23349, pubblicato nel bollettino N. 8 del 12 marzo 2012, l'Autorità Garante della Concorrenza e del Mercato ha disposto che gli ISP italiani impediscano l'accesso al sito privateoutlet.com e a una serie di sottodomini e altri domini collegati, per un totale di 12.
Il provvedimento prevede che l'AGCM si avvalga della collaborazione della Guardia di Finanza per notificarlo ai provider, ma non l'ho ricevuto e quindi non so cosa sia stato richiesto esattamente. È interessante notare che alcuni ISP hanno filtrato anche l'IP del sito, nonostante che questo non mi sembra sia esplicitamente previsto dal provvedimento.
I casi precedenti:
- The Pirate Bay
- Venditori di sigarette
- Venditori di abbigliamento
- gallinaro.angelfire.com (questo era così irrilevante che non ricordo nemmeno di cosa parlava)
- bakekaincontri.com (Annunci erotici)
- gaxetaveneta.com (giornalismo d'inchiesta o attacco a un avversario politico?)
- pornhub.com (pornografia amatoriale)
- btjunkie.org (motore di ricerca)
- Altri venditori di abbigliamento
- vajont.info (diffamazione verso un parlamentare)
Localismi e democrazia applicati ai treni
E se 2000 abitanti del centro di Milano si incatenassero nella metropolitana per chiedere l'abolizione di Area C? E se, per protestare, tutti i giorni parcheggiassero i loro SUV sulle rotaie dei tram? Che si fa, ci arrendiamo al diritto della minoranza di fare il cazzo che gli pare?
Si sta discutendo di costruire una ferrovia in Val di Susa, non di diritti civili. Quindi una maggioranza, tra l'altro molto larga, ha il diritto di prendere una decisione e poi è dovere dello Stato farla rispettare nell'interesse di tutti i cittadini.