In fin dei conti è solo un computer. Un anello da inserire nella catena che compone la normale dotazione hardware di un ISP, e che consente di analizzare il traffico per individuare quanto – secondo la legge vigente – non dovrebbe esserci. Dovrebbe essere obbligatorio per i provider, come sancito dal Decreto Gentiloni del gennaio 2007 , e serve a filtrare il materiale pedopornografico sparso in giro per la rete: l’ha sviluppato il consorzio CSP , e i suoi creatori ne hanno discusso con Punto Informatico .
P-Box è una specie di scatola nera che filtra gli indirizzi che transitano: se una richiesta, casuale o intenzionale, punta ad una risorsa fuorilegge che contiene materiale pedopornografico allora il sistema entra in funzione. Confrontando l’indirizzo richiesto con quelli presenti in una black-list , fornita dalle autorità, stabilisce se si tratta di un sito a rischio: in questo caso, blocca il passaggio delle informazioni e presenta all’utente un messaggio di avviso. Tutto questo senza influire significativamente sulla velocità di trasferimento dei dati, e soprattutto in maniera assolutamente trasparente per l’utente finale.
La prima domanda, la più ovvia, è se questo software – una vera e propria soluzione chiavi in mano basata su codice open source – utilizzi la Deep Packet Inspection per analizzare il traffico: “P-Box si spinge fino al livello 7 dello stack protocollare – precisa subito Alessandro Avidano, a capo dell’Area Sistemi e che ha gestito il progetto – quindi no. L’elenco dei siti da bloccare è fornito dal CNCPO (il Centro per il Contrasto della Pedopornografia Online): P-Box scarica la lista e controlla le URL, e occorre preventivamente impostare le politiche di sicurezza della propria rete in modo da controllare la risoluzione dei domini”.
“Bisogna far capire all’utente che è andato sul sito sbagliato – prosegue Luca Broglio, direttore dell’Area Progettazione – quindi viene effettuato un controllo di tutto il traffico. Noi blocchiamo il passaggio di pacchetti verso URL specifiche, ma il DNS non è bloccato nella risoluzione: viene effettuata una sorta di session hijacking che conduce su una pagina di avviso, siamo in grado di farlo perché analizziamo il traffico attraverso le URL, ma non si può parlare di deep packet inspection in senso stretto”.
Se è basato su software preesistente ed open, da dove nasce la necessità di un prodotto apposito? “All’epoca del decreto – racconta Broglio a Punto Informatico – assieme ad Alessandro abbiamo indagato le soluzioni presenti sul mercato: per essere in regola soluzioni open disponibili non ce n’erano, qualche soluzione commerciale c’era ma doveva essere adattata. Per restare fedeli alla nostra mission di trasferimento tecnologico di soluzioni innovative, abbiamo deciso di sviluppare noi stessi una architettura open source adatta allo scopo”.
Il risultato, come detto, è l’ unione di vari elementi open già disponibili con il codice scritto da CSP: “Avevamo due necessità – interviene Avidano – dovute ad una lista di siti da filtrare a due livelli: uno che riguarda il nome a dominio, che quindi viene bloccato. Poi c’è il traffico inviato ad un indirizzo IP, che magari ospita più di un dominio, quindi occorre bloccare URL specifiche: su un sito di blog pubblico, ad esempio, ci possono essere migliaia di contenuti legali e uno solo illegale. L’alt deve arrivare solo se quella URL specifica è nella blacklist, e ovviamente occorre anche bloccarne tutte le sottocartelle”.
P-Box è un prodotto software da installare su un server – non necessariamente di ultima generazione, precisano gli sviluppatori – basato sulla distribuzione Debian e che integra i moduli creati da CSP con IPtables e Squid : il tutto verrà rilasciato con licenza GPL. “È uno strumento utilizzabile da chiunque – continua Broglio – sia che si tratti di un ISP (per il quale è stato pensato), sia che si tratti di una organizzazione che vuole adottare un ulteriore livello di controllo ed integrarlo con una propria lista”.
Per quanto riguarda la privacy , il sistema si limita ad analizzare e gestire i dati secondo le modalità di legge: il traffico che rientra nella black-list del ministero viene intercettato, il resto passa senza venire controllato o senza che ne resti traccia. Se invece la lista viene integrata da una azienda privata, “In quel caso si rientra nella stessa casistica della posta elettronica – precisa ancora Broglio a Punto Informatico – Con una nota informativa preventiva si rende noto il tipo di attività che si sta effettuando”.
Allo sviluppo di P-Box, oltre a Broglio e Avidano, ha collaborato anche Enrico Camarda che ha curato l’interfaccia per l’autenticazione e il download della black-list dal server del CNCPO . In tutto sono occorsi circa 5 mesi per concludere la prima fase di lavorazione, e per rendere il prodotto pronto per essere utilizzato: ma si pensa già a come proseguire con lo sviluppo . “Stiamo ragionando su come fare evolvere l’architettura – racconta Avidano – per avere più server che analizzano il traffico: ne abbiamo già studiato la fattibilità. Inoltre, puntiamo ad inserire all’intero del server delle schede di rete che offrono la possibilità di garantire la continuità fisica del cavo in caso di failure del server stesso”.
In questo modo, in caso di guasti non si bloccherà l’intero servizio dell’ISP, garantendo la prosecuzione dell’offerta. Inoltre, “Vogliamo creare una lista di hardware certificato, testando varie configurazioni – spiega Brogli – Se l’ISP vorrà utilizzare P-Box non dovrà fare altro che acquistare l’hardware compreso in quella lista e installarlo”. L’interesse attorno a P-Box, assicurano, è già buono: i primi contatti con provider e privati sono già stati avviati, nonostante il prodotto sia stato reso pubblico solo da pochi giorni.
a cura di Luca Annunziata