Psiphon, il web proxy contro la censura

Atteso per gli inizi di dicembre un nuovo servizio utile in tutti quei contesti in cui il web surfing viene filtrato da privati o dalla censura di stato. Ecco come funziona

Roma - La censura del web è un fenomeno endemico: realtà come la Cina, l'Arabia Saudita, l'Egitto e persino l'Italia applicano con disinvoltura lucchetti telematici alle informazioni considerate lesive dello status quo o invise agli apparati di potere particolarmente influenti. Per gli utenti più smaliziati, tuttavia, esiste la possibilità di evitare il bavaglio e consultare il web attraverso l'offuscamento della connessione o l'utilizzo di "ponti con l'esterno" che facciano il lavoro di ricerca su commissione. Dal primo dicembre, nella rosa dei software libera-rete entrerà un nuovo, promettente nome: psiphon.

Sviluppato presso il Citizen Lab dell'Università di Toronto, psiphon appartiene alla categoria dei web proxy che si offrono di scandagliare il network globale dietro richiesta dell'utente. Scopo dichiarato del progetto è dare la possibilità a quegli utenti dei paesi con l'accesso alla rete censurato, di sfruttare i proxy server presenti nelle nazioni non interessate dal problema. Diversamente da altri servizi di proxy e di camuffamento delle connessioni, psiphon basa il suo funzionamento sul concetto di "network di fiducia" per distribuire gli indirizzi dei server d'uscita, rendendo i suddetti più difficili da individuare e bloccare.

Elemento fondamentale di questo network fiduciario è uno psiphonodo: ogni psiphonodo distribuisce il proprio indirizzo agli utenti fidati in quei paesi in cui vige il regime censorio. Accedendo allo psiphonodo ed effettuando il login, l'utente avrà accesso ad una connessione protetta su protocollo HTTP. Nessun download, nessuna installazione di software aggiuntivo: una piccola barra degli indirizzi apparirà nella parte altra della finestra del browser, e le richieste degli indirizzi in essa digitati verranno redirette attraverso lo psiphonodo come accade con un normale proxy web. Per aumentare la sicurezza, la sessione viene cifrata fino al momento della disconnessione.
Ogni psiphonodo gira in maniera indipendente: se ne viene bloccato uno, gli altri continuano a funzionare senza problemi. Il principio del trust network, grazie al quale la distribuzione degli indirizzi dei proxy viene effettuata all'interno di un numero ridotto di persone, dovrebbe comunque incrementare le chance dei nodi di passare inosservati. La struttura del servizio, che invia URL differenziati ad ogni utente connesso dovrebbe infine garantire la privacy delle sessioni: qualora un orecchio troppo curioso fosse in ascolto sulla linea, l'investigazione degli indirizzi IP condurrebbe ad una pagina web innocua, senza traccia persino dello schermo di login.

Stando a quanto riporta Ars Technica, il free social networking di psiphon sarà disponibile sia per Windows che per Linux, con una versione Mac rilasciata a breve distanza dalle prime due. Il software verrà distribuito con licenza GPL e supporterà solo il caching del traffico web, escludendo, almeno per le release iniziali, servizi quali il VoIP e l'instant messaging a-là Google Talk o Windows Live Messenger.

Psiphon non è certo il primo strumento pensato per combattere la censura del web: già in passato si sono registrati tentativi come Peekabooty, di cui si sono infine perse le tracce nei meandri di SourceForge.net. Ed esistono servizi correntemente sviluppati quali la rete di tunnel virtuali di Tor, sostenuta tra gli altri dalla Electronic Frontier Foundation, e la darknet svedese di Relakks, capace di offuscare tutto il traffico di rete e non soltanto la navigazione sul web.

Il principio dei network fiduciari lontani da occhi e orecchie indiscreti di psiphon è sicuramente interessante, ma c'è qualcuno che si chiede quanti dei presunti "censurati del web" desiderino effettivamente servirsene: un report del 2005 redatto dalla Chinese Academy of Social Sciences sostiene che molti cinesi si affidano volentieri alle fonti di informazione interne piuttosto che a quelle straniere, e che l'80% della popolazione crede che Internet debba essere controllata per combattere fenomeni come la pornografia, la violenza e la piaga dello spam.

Insomma, ben pochi abitanti della nazione asiatica pare siano disposti a diventare dissidenti e ad usare strumenti come psiphon: dati e tesi da prendere con le molle, vista la fonte da cui arrivano, ma che mettono in dubbio l'utilità concreta, almeno per la maggioranza della popolazione, del nuovo servizio di camuffamento e di circonvenzione dei filtri.

Alfonso Maruccia
35 Commenti alla Notizia Psiphon, il web proxy contro la censura
Ordina
  • http://en.wikipedia.org/wiki/Chinese_Academy_of_So...

    organo statale della PRC . non molto attendbile , probabilmente
    non+autenticato

  • - Scritto da:
    > garantisce Wakko.

    Rotola dal ridereRotola dal ridereRotola dal ridere
    Te non c'hai un razzo da fare alle 3 di notte eh...
    Andiamo a nanna va...Occhiolino

  • Ma che ci insegni almeno a configurare privoxy
    non+autenticato
  • - Scritto da:
    > Ma che ci insegni almeno a configurare privoxy

    Bé, su linux i file di config sono in /etc/privoxy, su Win non so.

    Abilita questa opzione nel file config:
    forward-socks4a / localhost:9050 .

    (nota che c'è un punto alla fine, questa riga piazzala verso la fine del file)
    Questo serve a dire a privoxy di usare Tor, ovviamente Tor deve essere in funzione.

    Commenta la riga
    jarfile jarfile

    di modo che diventi
    #jarfile jarfile

    in questo modo non ti tiene cookies che potrebbero rivelare i siti che hai visitato in caso qualcuno si impossessi del tuo disco.

    Cerca la sezione
    debug   1    # show each GET/POST/CONNECT request
    debug   4096 # Startup banner and warnings
    debug   8192 # Errors - *we highly recommended enabling this*

    e falla diventare
    #debug   1    # show each GET/POST/CONNECT request
    debug   4096 # Startup banner and warnings
    #debug   8192 # Errors - *we highly recommended enabling this*


    Questo eviterà che privoxy memorizzi l'indirizzo dei siti da te visitati nel suo logfile.

    Mi pare sia tutto per il file config, il resto delle opzioni di default dovrebbe andare bene... io comunque non so che opzioni di default ci sono nella versione windows.

    Poi, per evitare che qualcuno usi le debolezze di Flash per scoprire il tuo IP reale devi dire a privoxy di filtrare (eliminare) i file flash.

    Apri il file default.action e cerca la sezione Defaults. Cambia la riga
    -filter{shockwave-flash} \

    in
    +filter{shockwave-flash} \


    Questo mi pare sia tutto, non lo ricordo di preciso perché noi linari non dobbiamo reinstallare le cose ogni 3 giorni come i winari ed è da un bel pezzo che ho configurato privoxy.

  • - Scritto da: Wakko Warner

    sei un grande Sorride
  • Dimenticavo...
    di tanto in tanto è bene controllare i log di privoxy (su linux sono in /var/log/privoxy) per assicurarsi che non stia loggando cose che non dovrebbe.

    È anche bene provare ad eseguire privoxy con Tor spento e verificare che nel browser compaia un errore quando si cerca di visitare delle pagine, questo per verificare che privoxy usi Tor come punto di uscita.

    Naturalmente ricordarsi di:
    - Azzerare la history (imporla a 0 giorni)
    - Eliminare tutti i cookies e dire a firefox (se usi firefox) di non accettare cookies se non da determinati siti che specifichi di volta in volta [tanto poi alla fine vedrai che non saranno tantissimi]
    - Svuotare la cache e impostarla a 0 in dimensione (per impostare queste cose cerca in about:config browser.cache.disk.enable e mettilo a false, browser.cache.disk.capacity impostalo a 0, lascia invece la cache in memoria attiva)

    Vai poi nel "Pannello di Controllo di Flash" che trovi qui http://www.macromedia.com/support/documentation/en...
    e disabilita tutto ciò che potrebbe rivelare dati sulla tua navigazione. Per esempio digli che non permetta ai siti di memorizzare nulla sul tuo disco (sono come dei cookies... ma di flash).

    Ricordati che se hai la GoogleToolbar (quella ufficiale di Google) dotata di PageRank oppure la Alexa Toolbar l'indirizzo di ogni sito che visiti sarà spedito a Google e/o Alexa, quindi disabilita ste boiate. In FF2 c'è anche il tool anti-phishing che è molto utile per i niubbi ma che, come per GoogleToolbar e Alexa Toolbar spedisce gli indirizzi che visiti in giro, quindi se non vuoi che questo succeda disabilitali.

    Disabilita naturalmente Java che potrebbe essere usato per ignorare le impostazioni di Proxy del tuo browser e quindi eseguire comunicazioni fuori da Tor.

    Mi sembra di aver detto tutto... mi _sembra_.

  • magico
    non+autenticato
  • Ah un ultima cosa... non ho idea di come si faccia in Windows... ma sarebbe il caso di crittare il file di swap con password random ad ogni avvio.

    Si possono scoprire cose _veramente_ imbarazzanti nello swap... pezzi di chat... immagini... di tutto!

    Sotto Linux in /etc/fstab puoi fare così:
    /dev/hd?? swap swap loop=/dev/loop7,encryption=AES128 0 0


    Dove al posto di hd?? metti disco e partizione di dove si trova lo swap ora.

    Al prossimo avvio dovrebbe essere crittata (lo puoi verificare da root dando il comando:

    cat /dev/hd?? |strings


    (anche in questo caso sostituisci hd?? con quello corretto)

    128 bit dovrebbero essere sufficenti visto che la password è random e cambia ogni volta che accendi il PC... ma se vuoi metti pure AES256 solo che ti rallenterà un pochino se non hai un PC veloce.


  • - Scritto da: Wakko Warner
    > Ah un ultima cosa... non ho idea di come si
    > faccia in Windows... ma sarebbe il caso di
    > crittare il file di swap con password random ad
    > ogni
    > avvio.
    >
    > Si possono scoprire cose _veramente_ imbarazzanti
    > nello swap... pezzi di chat... immagini... di
    > tutto!
    >
    > Sotto Linux in /etc/fstab puoi fare così:
    >
    /dev/hd?? swap swap
    > loop=/dev/loop7,encryption=AES128 0
    > 0
    >

    >
    > Dove al posto di hd?? metti disco e partizione di
    > dove si trova lo swap
    > ora.
    >
    > Al prossimo avvio dovrebbe essere crittata (lo
    > puoi verificare da root dando il
    > comando:
    >
    >
    cat /dev/hd?? |strings

    >
    > (anche in questo caso sostituisci hd?? con quello
    > corretto)
    >
    > 128 bit dovrebbero essere sufficenti visto che la
    > password è random e cambia ogni volta che accendi
    > il PC... ma se vuoi metti pure AES256 solo che ti
    > rallenterà un pochino se non hai un PC
    > veloce.
    >
    mitico
    Così posso scribere su P.I. A bocca aperta
    non+autenticato
  • > Sotto Linux in /etc/fstab puoi fare così:
    /dev/hd?? swap swap loop=/dev/loop7,encryption=AES128 0 0


    Con cryptoloop? Se non ricordo male in cryptoloop c'è un bug di sicurezza.
    È possibile anche con dm-crypt?
  • - Scritto da: Lurkos
    > > Sotto Linux in /etc/fstab puoi fare così:
    >
    /dev/hd?? swap swap
    > loop=/dev/loop7,encryption=AES128 0
    > 0

    >
    > Con cryptoloop? Se non ricordo male in cryptoloop
    > c'è un bug di
    > sicurezza.
    > È possibile anche con dm-crypt?

    Il bug di sicurezza di cryptoloop è che non possiede seed. In pratica è sensibile ad attacchi a dizionario perché è possibile precalcolare i dati crittati in base ad un dizionario di parole prestabilite.
    In questo caso però la password è generata a random, quindi nessun attacco a dizionario può funzionare semplicemente perché la pass non è basata su parole di un dizionario.
    La miglior soluzione è usare truecrypt con password buona e keyfile. Un keyfile è un file scelto da te che diventa parte integrante della password... se uno non sa il file ma sa la password non può fare nulla... né viceversa.

    In ogni caso, per lo swap, non si può usare truecrypt, il metodo che ho indicato è sicuramente sufficentemente sicuro.

    In realtà, con una buona password, anche PGPDisk funziona bene, ma continuo a suggerire truecryt perché:
    1) è multipiattaforma (i file che crea li apri sia con linux che con windows)
    2) usa i keyfile (non so PGPDisk)
    3) è opensource e quindi sicuramente non ci sono backdoor nel mezzo
    4) sotto linux permette di crittare interi CDROM rendendoli illeggibili masterizzando i dati senza un contenitore ISO e quindi facendo apparire il CDROM come danneggiato e/o illeggibile. Questa tecnica però richiede un minimo di conoscenze in più.

    Ho avuto conferma della validità dei sistemi di crittazione proprio di recente (non che ne dubitassi...) *********************************************** nessuno dei due è riuscito ad aprire dischi crittati *********** che avessero una buona password... e per buona intendo non solo formata da parole "sensate" e contenenti punteggiatura.

    P.S.: Mo vado a ninna, notte.

    Edit: Rimosso riferimenti a fatti che potrebbero danneggiare alcune persone.
    -----------------------------------------------------------
    Modificato dall' autore il 25 novembre 2006 14.28
    -----------------------------------------------------------
  • Oggi su Italia 1 hanno fatto vedere una zinna (un seno con capezzolo) di Georgie, non che ciò non mi abbia fatto piacere, ma allora le censura agli anime di Naruto e Keroro che le hanno fatte a fare?
    In Georgie le minne si ed in Keroro e Naruto no?

    Carlomagno deluso da Mediaset
    non+autenticato

  • - Scritto da:
    > Oggi su Italia 1 hanno fatto vedere una zinna (un
    > seno con capezzolo) di Georgie, non che ciò non
    > mi abbia fatto piacere, ma allora le censura agli
    > anime di Naruto e Keroro che le hanno fatte a
    > fare?
    > In Georgie le minne si ed in Keroro e Naruto no?
    >
    > Carlomagno deluso da Mediaset

    Anche io l'ho visto e ho postato nell'altro topic, ma non trovo il forum adatto è questo?
    Cos'è OT? Off Topic? E' sbagliato postare qui?
    Mi hanno detto di parlare col signore MOIGE!
    non+autenticato
  • Il signor MOIGE non risponde, in che città risiede? Ho provato a MI ma niente!
    non+autenticato

  • dato che siamo in OT, resto in ot.

    ma la finite di scrivere "APPROPOSITO" ????


    "a proposito"

    non+autenticato

  • - Scritto da:
    >
    > dato che siamo in OT, resto in ot.
    >
    > ma la finite di scrivere "APPROPOSITO" ????
    >
    >
    > "a proposito"
    >

    Mi ha risposto il signor MOIGE M. di Roma ma ha detto che non sa di cosa parlo e che lui è Moige M. e magari cerco qualcun'altro, nessuno mi può dire a quale MOIGE devo scrivere o telefonare?
    Magari solo la città o il comune.
    non+autenticato
  • Ma che caxxo fai? Stai chiamando tutti in Italia? Oo
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)