Gaia Bottà

Turchia, DNS fantoccio al servizio della censura

Gli ISP locali si sono sostituiti ai servizi di DNS alternativi scelti dai netizen turchi per aggirare i blocchi. Mentre Erdogan festeggia l'esito delle elezioni, informarsi è sempre più difficile

Roma - Mentre i cittadini si apprestavano a manifestare le loro preferenze per le elezioni amministrative che tante turbolenze hanno creato in Turchia, Google ha denunciato al mondo l'intercettazione dei propri server DNS: i provider turchi avrebbero messo in campo ogni risorsa perché la morsa sulla Rete voluta da Ankara rimanesse serrata.

Google non denuncia esplicitamente le autorità: "abbiamo ricevuto diverse segnalazioni credibili e abbiamo confermato con le nostre indagini - afferma Mountain View in un post sul blog ufficiale dedicato alla sicurezza - che il servizio di Domain Name System di Google è stato intercettato dalla maggior parte degli ISP turchi". Le prove non mancano: a segnalare l'intervento dei provider sono anche i servizi di analisi del traffico BGPmon e Renesys: entrambi hanno osservato come provider quali TurkTelecom abbiano fatto leva sul Border Gateway Protocol (BGP) per sostituire i propri servizi ai servizi DNS di Google, indirizzando gli utenti solo verso siti non sgraditi.


"Immaginate che qualcuno abbia sostituito il vostro elenco del telefono con un elenco diverso, che all'apparenza sia pressoché uguale al precedente, fatta eccezione per i contatti di alcune persone, di cui è mostrato il numero sbagliato": così Google spiega l'intervento dei fornitori di connettività turchi. A formulare ipotesi riguardo alle dinamiche che muovono il comportamento degli ISP è Renesys: ricostruendo la sequenza dei blocchi scaturiti dalla sgradita circolazione di intercettazioni che proverebbero la corruzione nei palazzi del potere, l'azienda ipotizza che ai fornitori di connettività sia stato imposto di perseguire lo scopo con ogni mezzo, adattandosi anche al comportamento della cittadinanza connessa.




È così che al blocco DNS ordinato in prima istanza su Twitter, è seguito un blocco sugli indirizzi IP della piattaforma di microblogging, più complesso da aggirare, e che il ban imposto su YouTube, isolato a mezzo filtri DNS, sia stato reso più efficace con l'infido stratagemma del sequestro di server DNS alternativi come quelli di Google, ma anche quelli di OpenDNS e di Level 3.
YouTube Turchia


L'unico effetto che i netizen turchi potranno ottenere dalla scelta di DNS alternativi, in questo contesto, è quello di esporsi a un potenziale monitoraggio. Mentre il Primo Ministro Erdogan già festeggia l'esito delle elezioni amministrative.

Gaia Bottà
Notizie collegate
  • AttualitàLa Turchia blocca anche YouTubeDopo Twitter tocca al sito di videosharing di Google. E la prossima vittima potrebbe essere Facebook
  • AttualitàTurchia, bloccato il blocco su TwitterUn tribunale di Ankara ordina la sospensione dei filtri: in attesa di discutere eventuali ricorsi che propugnino la costituzionalità dell'ordine di inibizione di Erdogan, Twitter deve restare uno strumento per esprimersi ed informarsi
  • AttualitàTurchia, più nodi per la ReteIl blocco a livello DNS si è dimostrato inefficace, troppo facile da aggirare: le autorità hanno fatto calare su Twitter un sigillo a livello IP. Ma i cittadini della Rete turca si stanno attrezzando
49 Commenti alla Notizia Turchia, DNS fantoccio al servizio della censura
Ordina
  • Io da Martedì scorso non riesco più a navigare con i DNS pubblici di Google.
    Uso Libero ADSL di Wind Infostrada. Impostando nel router l'ottenimento automatico dei DNS, tutto funziona. Se imposto manualmente i DNS di Google 8.8.8.8 e 8.8.4.4 non navigo più.
    Che questo blocco stia arrivando anche in Italia?
    Fatemi sapere se avete lo stesso problema.
    non+autenticato
  • Credo che funzichi anche su Windows:

    1) Installare Unbound e DNSCrypt sulla propria macchina
    2) Configurare DNSCrypt con un DNS compatibile che NON punti sulla porta 53 (CloudNS, per esempio ma ne trovate altri su dnscrypt.org. Meglio compatibile con DNSSEC), quindi configurare Unbound.
    3) Nelle impostazioni della scheda di rete di Windows o /etc/resolv.conf puntare a 127.0.0.1 come server DNS
    4) ???
    5) Profit!

    Io l'ho testato con un router che eseguiva il DNS Spoofing per filtrare i siti, e funziona. Credo che la Vodafone Station faccia un lavoro simile.

    Ulterirori Info: http://dnscrypt.org/
    non+autenticato
  • PS: Qui una pagina che spiega come installare su Debian correttamente libsodium: http://techoverflow.net/blog/2013/08/01/how-to-cre.../ . Nello script sostiture il valore di VERSION con l'ultima versione di libsodium (0.4.5) . Testato personalmente su una Sid
    non+autenticato
  • TOR, non c'è bisogno di dire altro.
    https://startpage.com/rto/search
    non+autenticato
  • - Scritto da: Tor
    > TOR, non c'è bisogno di dire altro.
    > https://startpage.com/rto/search

    Purtroppo non tutti hanno la capacità e le conoscenze necessarie all'uso di strumenti simili. Sarebbe meglio rivedere i concetti base di Internet per rendere questo genere di censure impossibili da parte dei singoli governi.

    Quando Internet è nato nessuno pensava che sarebbe diventato quel che è diventato oggi, perciò nessuno ha pensato a progettare i suoi protocolli di base (DNS ad esempio, FTP, Telnet, HTTP, ...) in modo tale da difendere il cittadino dal suo stesso governo. Oggi sappiamo che questo è stato un (grave) errore ma non possiamo dare la colpa a chi originalmente l'ha progettato... possiamo però spingere le varie istituzioni che creano gli standard di Internet a progettare nuovi protocolli che siano più resistenti a questo genere di attacchi e che, di fatto, rendano se non impossibile, almeno molto difficile, per i singoli governi applicare le loro ridicole censurette stile "papino apprensivo" sui loro cittadini.

    Allo stato attuale delle cose solo chi ha una certa dimestichezza con i computer può bypassare le varie censure e mettersi al sicuro dallo stato di polizia in cui si sta trasformando (oramai da almeno 2 decenni a questa parte) il così detto "mondo civilizzato".

    Bisogna riscrivere Internet in modo che, di base, garantisca riservatezza e affidabilità della comunicazione... a magari pure un certo livello di anonimato (ma, per quest'ultimo punto, la vedo dura senza avere effetti negativi sulle performance). È chiaro oggi che i nostri nemici (di noi cittadini) non sono i fantomatici terroristi... ma sono i nostri stessi governi (presenti e/o futuri di cui non possiamo prevedere le tendenze).
  • - Scritto da: Jinta Yadomi
    > - Scritto da: Tor
    > > TOR, non c'è bisogno di dire altro.
    > > https://startpage.com/rto/search

    > Purtroppo non tutti hanno la capacità e le
    > conoscenze necessarie all'uso di strumenti
    > simili. Sarebbe meglio rivedere i concetti base
    > di Internet per rendere questo genere di censure
    > impossibili da parte dei singoli governi.

    Mi raccontava un amico molto esperto di sicurezza che basterebbero poche righe nei router per criptare tutte le comunicazioni e rendere di fatto impossibile la censura.

    > Quando Internet è nato nessuno pensava che
    > sarebbe diventato quel che è diventato oggi,
    > perciò nessuno ha pensato a progettare i suoi
    > protocolli di base (DNS ad esempio, FTP, Telnet,
    > HTTP, ...) in modo tale da difendere il cittadino
    > dal suo stesso governo. Oggi sappiamo che questo
    > è stato un (grave) errore ma non possiamo dare la
    > colpa a chi originalmente l'ha progettato...

    Veramente il sistema prevede la possibilita' di blindare abbastanza facilmente tutto, e' stato implementato in modo capzioso piuttosto, limitando la distribuzione per favorire poche grandi dorsali di routing piu' facilmente controllabili.

    > possiamo però spingere le varie istituzioni che
    > creano gli standard di Internet a progettare
    > nuovi protocolli che siano più resistenti a
    > questo genere di attacchi e che, di fatto,
    > rendano se non impossibile, almeno molto
    > difficile, per i singoli governi applicare le
    > loro ridicole censurette stile "papino
    > apprensivo" sui loro cittadini.

    In realta', appunto, basterebbe modificare di pochissimo i router, solo che nessuno ha interesse a farlo, quindi ci tocca continuare a criptare noi dal basso, quando useremo solo piu' roba criptata noi cittadini allora i governi avranno poco da intercettare e la criptazione potra' essere pretesa a livello di routing.

    > Allo stato attuale delle cose solo chi ha una
    > certa dimestichezza con i computer può bypassare
    > le varie censure e mettersi al sicuro dallo stato
    > di polizia in cui si sta trasformando (oramai da
    > almeno 2 decenni a questa parte) il così detto
    > "mondo civilizzato".

    E bisogna spiegarlo a tutti, fare solftware facile da usare, come il plughin di pgp per FF da usare con Gmail.

    > Bisogna riscrivere Internet in modo che, di base,
    > garantisca riservatezza e affidabilità della
    > comunicazione... a magari pure un certo livello
    > di anonimato (ma, per quest'ultimo punto, la vedo
    > dura senza avere effetti negativi sulle
    > performance). È chiaro oggi che i nostri nemici
    > (di noi cittadini) non sono i fantomatici
    > terroristi... ma sono i nostri stessi governi
    > (presenti e/o futuri di cui non possiamo
    > prevedere le tendenze).

    Essenzialmente dovremmo riscrivere i governi.
    krane
    22544
  • - Scritto da: krane
    > Mi raccontava un amico molto esperto di sicurezza
    > che basterebbero poche righe nei router per
    > criptare tutte le comunicazioni e rendere di
    > fatto impossibile la
    > censura.

    Mah, ne dubito.
    Anche se cifri tutto il traffico in uscita dal router (come? con che chiavi? chi decifra il traffico e in che modo? impedirebbe i MITM?) i pacchetti debbono comunque esporre indirizzi IP sorgente/destinazione. Ad un eventuale censore basterebbe filtrare su questi per impedire ai tuoi pacchetti di arrivare a destinazione. A meno di non riscrivere il layer IP (che a quel punto non puoi farlo solo sui router...) non vedo in che modo si risolva la questione.

    Il tuo amico che idea ha di preciso?

    > Veramente il sistema prevede la possibilita' di
    > blindare abbastanza facilmente tutto

    Correggimi se sbaglio, non rivedo queste cose da parecchi anni... ma mi sentirei di dire che tutto ciò che hai detto è supportato e/o possibile sì... ma non nativamente.

    Originalmente era praticamente tutto in chiaro... persino Telnet ed FTP che di fatto trasmettevano persino le password in chiaro, visibili a chiunque fosse nel mezzo fra te e il server di destinazione.
    Se prendi ad esempio HTTPS... è stato introdotto da Netscape solo nel 1994... 5 anni dopo di HTTP e _solo_ perché necessario per poter spingere i business sul WEB (nessuno altrimenti si sarebbe fidato a trasmettere i dati della propria carta di credito in chiaro su Internet)... che (HTTP) non esisteva nemmeno fino al 1989 ma che è nato in chiaro (proprio come Telnet, FTP, Gopher, ecc).

    Perciò, alla fine, l'intera struttura Internet originaria era di fatto in chiaro, senza traccia cifratura, a nessuno dei suoi livelli. Non solo... ma alcune scelte hanno persino centralizzato componenti essenziali per il funzionamento della rete (i DNS), rendendo ancora peggiore il problema.

    Anzi, dirò di più... le stesse caratteristiche che permettono ad Internet di "aggiustarsi" in caso alcuni percorsi si rendano indisponibili, rendono facile a chi controlla le reti fare reindirezzamenti... tipo... fa passare la tua comunicazione originaria da Milano e diretta a Genova per i server dell'NSA negli Stati Uniti... senza che tu ne venga a conoscenza. Non hai la possibilità di stabilire TU un percorso scegliendoti i server che tale comunicazione può attraversare (o le zone).

    Per esempio sarebbe molto utile poter dire "queste comunicazioni possono rimanere solo su suolo italiano (o in Europa)"... allo stato attuale delle cose tu cittadino (e forse persino PA) non puoi farlo, non se usi Internet per lo meno... puoi solo _sperare_ che ciò non avvenga (e al massimo controllare con traceroute anche se questo non ti garantisce nulla, il percorso può cambiare in qualsiasi momento senza avviso).

    Quindi i problemi sostanziali sono questi:
    1) il protocollo, a livello base, è in chiaro
    2) una parte fondamentale per il funzionamento odierno di Internet sono i DNS... e i DNS sono:
    - in chiaro
    - centralizzati e quindi facilmente disattivabili/oscurabili
    - non hanno di default un dispositivo di autenticazione che mi permetta di sapere che sto parlando _proprio_ con il DNS-server che ho in mente
    - assumono la tua fiducia nei loro confronti
    - esistono autorità centrali che stabiliscono (previo compenso) quali siano i vari domini e quali siano le estensioni permesse
    3) è di fatto impossibile stabilire che determinati percorsi non debbano uscire da determinate nazioni/regioni/città/continenti
    4) nel caso di HTTPS ci si basa su autorità centrali per l'emissione dei certificati (fra l'altro COSTOSI e parecchio) che possono di fatto emettere certificati farlocchi per permettere ai governi che le controllano di assumere l'identità di un server qualunque senza che l'utente abbia modo di esserne avvertito

    Tutte le modifiche successive per render le cose un po' meno schifose di così sono avvenute non perché la sicurezza del cittadino fosse prioritaria, ma per ragioni meramente commerciali...

    Per questo dico che sarebbe un po' da rivedere le cose fin dalla base...

    > In realta', appunto, basterebbe modificare di
    > pochissimo i router

    Si ma anche ammesso che l'idea del tuo amico sia valida... se ci basiamo su certificatori autorizzati™, DNS centralizzati, ecc... anche se cifri quello che ti pare loro potranno comunque censurare e persino decifrare quello che vogliono.
    Il funzionamento attuale permette inoltre facili filtri sugli IP che di fatto bloccano qualsiasi connessione con quel determinato IP (a meno che non usi Tor e capiti su un exit-point esterno al tuo paese).

    > E bisogna spiegarlo a tutti, fare solftware
    > facile da usare, come il plughin di pgp per FF da
    > usare con Gmail.

    A molta gente purtroppo non glie ne frega nulla... poi se ne pentono... ma quando se ne pentono è perché hanno scoperto che dopotutto _qualcosa_ da nascondere ce l'avevano e in genere per loro è tardi. Queste informazioni andrebbero date nelle scuole, a partire dalle elementari. La mentalità della riservatezza e della privacy sono difficili da imparare dopo.

    La maggior parte di loro pensa appunto "vabbé, viviamo in democrazia, io online posso dire quello che voglio e non ho niente da nascondere, io!" salvo poi fra 10 anni scoprire che è salito al democraticissimo governo qualcuno a cui quello che hai scritto su Internet 10 anni prima sta sulle OO... o scopri di avere l'orientamento sessuale e/o le idee politiche "sbagliate" per l'epoca in cui vivi (o che vivrai in futuro).

    > Essenzialmente dovremmo riscrivere i governi.

    Non basta. Anche ammesso che tu ci riesca (e non vedo come a parte scatenare una guerra e fare lo scalpo a più di qualcuno) non puoi garantire che fra 20 anni non vincano "loro" e tu sia la minoranza oppressa.

    La fallacia del "io non ho niente da nascondere" oltre che essere quella di dare per scontato che non esista qualcun altro che invece qualcosa da nascondere ce l'ha e che non per questo sia un criminale, è anche quella di farti supporre di vivere nel miglior governo possibile e che in futuro le cose non potranno fare altro che migliorare.

    Per fare un esempio... non ricordo in che paese (Olanda forse?) o dove l'ho letto, ma nei tempi poco prima dell'avvento di Hitler fu fatto un sondaggio sulla propria "razza" e orientamento religioso. L'obiettivo era quello di permettere al governo di affrontare meglio le necessità della popolazione perciò tutti vi parteciparono. Pochi anni dopo quel governo venne spazzato via... e i nazisti usarono quei sondaggi per trovare gli Ebrei e macellarli.
    Neanche loro avevano alcunché da nascondere.
    -----------------------------------------------------------
    Modificato dall' autore il 01 aprile 2014 16.38
    -----------------------------------------------------------
  • - Scritto da: Jinta Yadomi
    > Per fare un esempio... non ricordo in che paese
    > (Olanda forse?) o dove l'ho letto, ma nei tempi
    > poco prima dell'avvento di Hitler fu fatto un
    > sondaggio sulla propria "razza" e orientamento
    > religioso. L'obiettivo era quello di permettere
    > al governo di affrontare meglio le necessità
    > della popolazione perciò tutti vi parteciparono.
    > Pochi anni dopo quel governo venne spazzato
    > via... e i nazisti usarono quei sondaggi per
    > trovare gli Ebrei e macellarli.

    Ripensandoci, mi pare di ricordare fosse la Germania e non l'Olanda, purtroppo però non riesco a trovare i riferimenti alla cosa (potrei anche averlo letto su qualcosa di "offline" ma non ricordo proprio).

    Il punto comunque è che il futuro nessuno sa prevederlo... e le informazioni che oggi diamo di noi con tanta superficialità domani potrebbero costarci molto care (a noi, o ai nostri famigliari, o ai nostri amici, o ai nostri discendenti [magari proprio ai nostri figli, sarebbe piuttosto spiacevole che dovessero pagare loro perché noi siamo stati dei cretini]).

    Senza però tirare in ballo olocausti vari e scenari apocalittici che, seppur concreti e possibili, tendono sempre a generare scetticismo (soprattutto a chi quelle epoche e situazioni non le ha vissute)... bisogna tenere a mente che le informazioni che rendiamo pubbliche (magari tramite un social network) e che finiscono online, sono in genere lì per restare. I post che ho pubblicato sui newsgroup quando avevo <20 anni, oramai più di 15 anni fa, sono ancora tutti lì, tanto per dirne una.

    Un'affermazione di 10 anni fa (che magari ci è sembrata innocua) associata alla nostra identità potrebbe oggi o domani essere usata per esempio da un possibile datore di lavoro per scartarci a priori (e sono tanti i datori di lavoro che come prima cosa oggi fanno le loro brave ricerche su Internet prima di assumerci) o potrebbe essere raccolta da qualche pazzo che non ha niente di meglio da fare che condurre la sua guerra privata.

    In generale, alla domanda "cos'hai da nascondere" IMO la risposta corretta più corretta è "tutta la mia vita privata" e non servono altre giustificazioni... tanto un tordo resterà un tordo, a prescindere dalla quantità e qualità di argomentazioni usate. Se non capisce l'importanza della propria privacy è liberissimo di farne a meno (e quasi certamente ne pagherà le conseguenze sulla sua pelle prima o poi, razzi suoi) ma questo non signifca che debba trasformarmi anche io in un tordo per farlo sentire meno solo.

    Se solo si riuscisse a trasmettere questi pochi concetti alle nuove generazioni, prima che facciano una qualche cazzata che non potranno cancellare, sarebbe già qualcosa.
  • - Scritto da: Jinta Yadomi
    > - Scritto da: krane
    > > Mi raccontava un amico molto esperto di
    > sicurezza
    > > che basterebbero poche righe nei router per
    > > criptare tutte le comunicazioni e rendere di
    > > fatto impossibile la censura.

    > Mah, ne dubito.
    > Anche se cifri tutto il traffico in uscita dal
    > router (come? con che chiavi? chi decifra il
    > traffico e in che modo? impedirebbe i MITM?) i
    > pacchetti debbono comunque esporre indirizzi IP
    > sorgente/destinazione. Ad un eventuale censore
    > basterebbe filtrare su questi per impedire ai
    > tuoi pacchetti di arrivare a destinazione. A meno
    > di non riscrivere il layer IP (che a quel punto
    > non puoi farlo solo sui router...) non vedo in
    > che modo si risolva la questione.

    > Il tuo amico che idea ha di preciso?

    Guarda, appena lo ribecco anche in rete gli segnalo questa discussione o gli chiedo un po' di link da postare, il discorso interessava anche a me ma cen'erano troppi altri interessanti in balloSorride
    krane
    22544
  • - Scritto da: Jinta Yadomi
    > - Scritto da: krane
    > > Mi raccontava un amico molto esperto di
    > sicurezza
    > > che basterebbero poche righe nei router per
    > > criptare tutte le comunicazioni e rendere di
    > > fatto impossibile la
    > > censura.
    >
    > Mah, ne dubito.
    > Anche se cifri tutto il traffico in uscita dal
    > router (come? con che chiavi? chi decifra il
    > traffico e in che modo? impedirebbe i MITM?) i
    > pacchetti debbono comunque esporre indirizzi IP
    > sorgente/destinazione. Ad un eventuale censore
    > basterebbe filtrare su questi per impedire ai
    > tuoi pacchetti di arrivare a destinazione. A meno
    > di non riscrivere il layer IP (che a quel punto
    > non puoi farlo solo sui router...) non vedo in
    > che modo si risolva la questione.

    Ecco qua le informazioni richieste, il "tizio" di cui si parlava e' David Chaum

    http://www.youtube.com/watch?v=WqgHh7KXTFM#t=44m55...

    Mix networks are the basis of some remailers and are the conceptual ancestor to modern anonymous web browsing tools like Tor (based on onion routing). Chaum has advocated that every router be made, effectively, a Tor node.

    http://en.wikipedia.org/wiki/David_Chaum

    Si, effettivamente sarebbe un discorso simile a quello di tor.
    krane
    22544
  • - Scritto da: Jinta Yadomi

    > Purtroppo non tutti hanno la capacità e le
    > conoscenze necessarie all'uso di strumenti
    > simili. Sarebbe meglio rivedere i concetti base
    > di Internet per rendere questo genere di censure
    > impossibili da parte dei singoli
    > governi.

    https://www.torproject.org/projects/torbrowser.htm...

    Basta installarlo con pochi click! mentre è assai piu "difficile" cambiare DNS dal proprio pc.
    non+autenticato
  • dato che comunque governi censori e chiunque potrebbe sempre filtrare e taroccare tutto ciò che passa sulla porta 53 udp anche se uno usa il proprio server dns.

    https://www.privacyfoundation.de/wiki/SSL-DNS
    non+autenticato
  • - Scritto da: AxAx
    > dato che comunque governi censori e chiunque
    > potrebbe sempre filtrare e taroccare tutto ciò
    > che passa sulla porta 53 udp anche se uno usa il
    > proprio server
    > dns.
    >
    > https://www.privacyfoundation.de/wiki/SSL-DNS

    Interessante. In effetti era proprio quello che stavo pensando... cifrare le richieste DNS e proteggerle con un certificato di modo che se c'è un MITM l'utente venga avvisato e la connessione impedita.

    Non sono familiare con socat e stunnel... che succede se c'è un cambio di certificato per via di un MITM? Vieni avvisato in qualche modo? È possibile in qualche modo sul client installare il certificato del server di modo che qualsiasi connessione con un certificato diverso venga scartata? Inoltre purtroppo questo approccio richiede di fidarsi di server "di terze parti" che fanno da "ponte"... sarebbe meglio se il tutto fosse proprio integrato nel protocollo DNS stesso.

    In realtà più che un "hack" sarebbe bene rivedere un po' l'intera infrastruttura base di Internet. Ci sono protocolli e funzionalità che andavano bene 20 anni fa (pensiamo a Telnet per esempio, anche HTTP in chiaro e ovviamente DNS) ma che oggi con NSA, spionaggio dei vari governi, reindirizzamenti nascosti, ecc non vanno più bene.

    Sarebbe da rivedere un po' tutto alla luce delle nuove esigenze. È oramai chiaro che non possiamo più fidarci né dei (nostri) governi né tantomeno dei loro complici (ISP e compagnia bella). La struttura di Internet dovrebbe poi essere in grado di gestire anche i blocchi degli IP, magari redirezionando le chiamate in qualche modo nel caso ci si trovi di fronte a blocchi di questo tipo applicati dai singoli ISP o dai singoli governi (questa la vedo più difficile ma chissà, magari pensandoci su...).
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)