Il Control Engine di Cisco, ispezionando i pacchetti, funge anche per altri scopi: "Permette agli operatori di
fare pagare a parte alcuni servizi, in base al traffico generato dagli utenti, distinto dal resto grazie al Control Engine. Oppure apre la porta al marketing intelligence - l'ispezione dei pacchetti permette ai provider di capire quali sono le abitudini dei propri utenti in Internet". Si aprono allora anche
problemi di privacy. Questo tipo di marketing intelligence non ne è forse una violazione?
A spingere gli operatori in questa direzione si sommano altri fattori: "Il traffico P2P, complice la diffusione dell'Adsl flat, è ormai arrivato a livelli critici e forse sta cominciando ad aggredire risorse di banda preziose per i provider. Oggi quasi tutti gli operatori usano un network comune per gli utenti consumer e business; il pubblico che scarica in massa ha già cominciato forse a
togliere risorse alle aziende. Se un'applicazione di trading online zoppica perché la banda è poca, per i provider sono guai". Insomma, sembra che quest'estate in Italia si stia arrivando a un punto di rottura nei rapporti tra utenti P2P e operatori.
La tecnologia, del resto, è già pronta: il control engine di Cisco riesce a identificare il traffico di sharing (e, di conseguenza, limitarne la priorità) tramite una
stateful inspection sui pacchetti. Così è possibile capire
a quale applicazione sono associati.
Ci sono tuttavia vari tipi di software P2P; certuni, che usano un set di port standard di comunicazione, possono essere
filtrati in modo semplice, a livello di router o di firewall. "Altri, come Winmx, sfruttano invece la tecnica del port hopping: cambiano in automatico le porte usate appena si accorgono che quelle tradizionali sono bloccate", spiega
Fabio Bolognesi, Security Consultant presso Inet ed "uno dei maggiori esperti italiani di sicurezza delle reti", come lo definisce Quintarelli. La stateful inspection riesce a scovare anche il peer to peer che si serve del port hopping; "per esempio", spiega Bolognesi, "molto spesso la tecnica di incapsulare traffico P2P su http o altro. In questo caso torna utile la stateful inspection: controllerà il contenuto dei pacchetti per vedere se quello che transita è traffico lecito ai fini del protocollo http. Se no, filtra il traffico".
Altri software P2P, come eMule o Kazaa, usano signature standard. Le piattaforme di stateful inspection, alla stregua degli antivirus, hanno un database aggiornato di signature P2P e così possono rilevare quelle "impronte" nei pacchetti. "Se all'interno del pacchetto c'è un match con la signature utilizzata da un software P2P,
il traffico ne viene bloccato", dice Bolognesi. "Questo - aggiunge - è possibile anche tramite vari sistemi di Intrusion Prevention System (IPS) e software di Content Filtering (vedi Websense) che hanno moduli software opzionali per controllare/bloccare P2P, IM (instant messaging) eccetera". L'esercito che rintuzzerà il P2P ha insomma le armi affilate. E i provider si preparano a metterlo in campo, per la prima volta, ufficialmente, anche in Italia.
Alessandro Longo