Questo è il secondo di tre articoli che descrivono un’implementazione di reti di accesso neutrali basata sul policy routing di Linux. Ne descrivo il funzionamento facendo riferimento allo schema architetturale introdotto nel post del primo settembre (che riproduco di seguito per comodità):

L’architettura di esempio mostrata in figura ha una struttura ad albero: gli utenti sono le foglie, le isole di accesso sono i rami, la dorsale è il tronco e il gateway di smistamento (o policy router) è la radice. Per consentire agli utenti di accedere ai servizi pubblicati nella sottorete servizi è sufficiente l’impostazione dei default gateway delle sottoreti.

Le cose si complicano un po’ quando l’indirizzo da raggiungere non appartiene alla rete di accesso o alla sottorete servizi, ma è un qualunque IP pubblico. La complicazione è duplice. Innanzitutto occorre bloccare l’accesso se l’utente non è autenticato (e l’indirizzo non appartiene alla white list di indirzzi virtualmente interni). In secondo luogo occorre smistare il traffico verso Internet per permettere ad ogni utente di utilizzare l’edge router del provider che preferisce. Queste due funzioni sono svolte dal captive portal e dal gateway di smistamento (o policy router).

Captive portal

Il captive portal e’ rappresentato dal rettangolo grigio pubblicato all’indirizzo 172.20.2.2 della sottorete servizi ed e’ definito come default gateway del policy router. Quando un utente che non ha ancora scelto uno degli edge router disponibili per la navigazione Internet tenta di raggiungere una pagina web esterna alla sottorete servizi e alle eventuali white list, il captive portal lo ridirige su una landing page dalla quale e’ possibile accedere ai servizi interni o scegliere uno degli edge router. La scelta dell’edge router comporta l’impostazione dinamica di un’apposita regola nel policy router.

Policy router

Il policy router smista il traffico generato dagli utenti sugli edge router scelti da ciascuno. Questa funzione di smistamento puo’ essere implementata utilizzando il supporto per il routing avanzato del kernel di Linux. In particolare il file rt_tables installato sul policy router contiene la lista delle tabelle di routing disponibili, con le rispettive priorita’. Nell’implementazione proposta, ad ogni policy router e’ dedicata una tabella di routing. Nel nostro esempio, chiamando ISP_A e ISP_B le tabelle dedicate ai due edge router A e B, il file rt_table conterra’ le righe:

1 ISP_A
2 ISP_B

Ogni tabella contiene a sua volta almeno una regola, che specifica come default gateway l’edge router corrispondente. Altre regole potrebbero essere aggiunte per ottimizzare il traffico. Nel seguente esempio viene specificata una seconda regola per permettere di raggiungere i servizi locali direttamente dal policy router senza passare per l’edge router:

# table ISP_A
ip route add default via 172.20.2.10 dev eth1 table ISP_A
ip route daa 172.20.2.0/24 via 172.20.2.1 table ISP_A

Poiche’ la definizione delle tabelle non ne comporta l’applicazione, tutte le tabelle associate agli edge router possono essere definite in anticipo (una volta per tutte) e applicate dinamicamente in base alle scelte operate dall’utente attraverso la landing page del captive portal.

Immaginiamo che la landing page del captive portal contenga “bottoni” associati agli edge router disponibili. Quando l’utente 172.16.1.23 preme il bottone corrispondente all’edge router A, la sua scelta viene registrata su una database come richiesta in attesa di essere processata. Un demone che gira sul policy router interroga periodicamente il database e processa le richieste pendenti lanciando i comandi necessari a creare le corrispondenti politiche di routing. In questo caso il comando e’ il seguente:

ip route add from 172.16.1.23 table ISP_A

che crea una nuona regola di source-based policy routing il cui effetto e’ l’applicazione della tabella ISP_A a tutto il traffico originato dall’indirizzo 172.16.1.23.

Un meccanismo analogo e’ utilizzato per rimuovere o sostituire le regole.

Continua…

Riferimenti:

• Andrea Seraghiti and Alessandro Bogliolo, “Neutral Access Network Implementation Based on Linux Policy Routing”, in Proceedings of INTERNET-2009, 2009. [paper] [slides]
• M. G. Marsh, Policy Routing Using Linux, SAMS, 2006.

Nòva 24 (in edicola con il Sole 24 ore) oggi dedica la prima pagina a un bell’articolo di Marco Magrini sul bisogno di banda. L’apertura (“E’ nato prima il bit o il nostro bisogno di bit?“) e la chiusura (“E che luce sia“) dell’articolo ne riassumono efficacemente il contenuto.

La prima pagina lancia il servizio dello stesso autore nelle due pagine centrali dedicato a Light Peak, la tecnologia Intel con ambizioni di standard che promette di portare la fibra nelle interfacce di rete dei PC a costi accettabili, offrendo connessioni da 10Gbps che potrebbero arrivare a 100Gbps.

Gli articoli a pagina 12 e 13 di Alessandro Longo e Antonio Dini fanno da spalla alla storia di copertina, riportando e commentando i dati dell’osservatorio della banda larga e analizzando l’incidenza delle licenze di brevetti e standard sui prezzi al consumatore.

Riferimenti:

• Intel, Light Peak Technology.
• Marco Magrini, “Voglio una banda spericolata”, nòva 24 dell’8 ottobre 2009.
• Alessandro Longo, “La qualita’ in connessione”, nòva 24 dell’8 ottobre 2009.
• Osservatorio Banda Larga
  
• Antonio Dini, “Licenza sui costi”, nòva 24 dell’8 ottobre 2009.
• Marco Magrini, “Alla velucita’ della luce”, nòva 24 dell’8 ottobre 2009.

Quale sarà il ruolo di Internet nella TV di domani? La televisione potrà avere un ruolo nella diffusione di Internet? La possibilità di creare network televisivi via Internet apre scenari interessanti e complessi e propone sfide tecnologiche avvincenti.

Questi temi verranno discussi a Urbino il 22 settembre, nel corso di un incontro di approfondimento tecnico-scientifico organizzato dal Corso di Laurea di Informatica Applicata in collaborazione con Streamit.it.

Io introdurrò l’argomento mettendone in luce problematiche e potenzialità, e sarò affiancato da un gruppo di giovani collaboratori che nel corso dell’estate hanno lavorato ad un prototipo di box multimediale open source e che saranno a disposizione dei partecipanti per approfondire tutti gli aspetti tecnici e implementativi del progetto. All’incontro parteciperà inoltre Gianni Armetta, di New Deal Production, per presentare le soluzioni tecniche e i modelli di business adottati da Streamit.it, uno dei principali network televisivi via Internet.

Come di consueto l’incontro sarà un’occasione di confronto e approfodimento. Vi sarò grato se vorrete partecipare e contribuire con le vostre idee e le vostre competenze. La partecipazione è gratuita e libera. Per ragioni organizzative siete semplicemente pregati di manifestare il vostro interesse inviando una mail con nome e cognome a infocdl@sti.uniurb.it, specificando [InternetTV] come oggetto.

Chi è iscritto o sta per iscriversi al corso di laurea di Informatica Applicata avrà l’opportunità di conseguire crediti formativi universitari (CFU) e di concorrere all’asegnazione dei premi offerti da New Deal Production: un MacBokPro, un I-Phone Apple 3G, un Acer Notebook Aspire One D250.

Riferimenti:

• Comunicato stampa
• Invito
• Programma
• Informatica Applicata (percorso in presenza)
• Informatica Applicata (percorso online)
• Streamit.it

Abbiamo visto che le reti di accesso neutrali (che indichiamo con l’acronimo NAN, dall’inglese Neutral Access Network) devono:

• consentire agli utenti di associarsi liberamente alla NAN;
• permettere ai service provider (SP) di esporre i propri servizi all’interno della NAN;
• permettere agli Internet Service Provider (ISP) di offrire banda Internet ai propri clienti attraverso la NAN;
• offrire le stesse condizioni di utilizzo a tutti gli utenti e a tutti i provider (SP e ISP);
• permettere di incrementare la copertura senza limiti tecnologici;
• gestire in modo neutrale il traffico tra gli utenti, i servizi dei SP e i gateway degli ISP.

Inoltre, per evidenti ragioni di ordine pratico, dovrebbero essere semplici e indipendenti dalla tecnologia di accesso adottata (WiFi, xDSL, WiMAX, …).

Qualche giorno fa è stata presentata a Cannes una soluzione che soddisfa questi requisiti utilizzando solo comuni distribuzioni di Linux per la gestione della NAN. Ne descrivo brevemente il funzionamento, rimandando al paper e alle slides per eventuali approfondimenti.

Per ragioni di leggibilità divido la descrizione in tre post: in questo presento solo lo schema di massima e l’architettura, mentre nel prossimo descrivo i principi di funzionamento e nel terzo discuto estensioni e problemi aperti.

La figura precedente mostra lo schema di massima di una NAN (o di una open access network, OAN), che si frappone tra gli utenti (rappresentati in basso) e Internet (in alto). Sono evidenziati gli edge router (o gateway di frontiera) degli ISP e dei SP, la dorsale neutrale (operator neutral backbone) e le isole di accesso (access islands) che offrono connessione agli utenti. Ogni isola di accesso puo’ essere gestita da operatori diversi e differenziarsi dalle altre per tecnologia o per copertura territoriale. La distinzione tra dorsale e isole di accesso non è indispensabile, ma conferisce flessibilità e generalità al modello.

La figura precedente mostra una soluzione architetturale per l’implementazione di una NAN. Ad ogni isola d’accesso è associata una sottorete il cui default gateway (access router) è il gateway verso la dorsale. Alla dorsale è associata una sottorete separata. Inoltre è definita una ulteriore sottorete nella quale vengono pubblicati i servizi e gli edge router degli ISP. Il gateway posto tra la dorsale e la sottorete servizi è detto gateway di smistamento, o policy router, ed è il default gateway della dorsale. A titolo esemplificativo vengono specificati gli indirizzi IP assegnati agli utenti, alle sottoreti e ai gateway.

Continua…

Riferimenti:

• Andrea Seraghiti and Alessandro Bogliolo, “Neutral Access Network Implementation Based on Linux Policy Routing”, in Proceedings of INTERNET-2009, 2009. [paper] [slides]
  

Le reti di accesso neutrali sono il tema del blog che ho aperto da più di un anno, ma non ne ho mai parlato in modo compiuto. Per ora ci ho girato attorno annotando spunti e idee, ed è per questo che ora posso permettermi di dire che questo post “introduce” l’argomento.

Il titolo è in inglese sia perchè suona meglio, sia perchè riprende quello della relazione che ho tenuto ad Aveiro il mese scorso al Next Generation Internet (NGI-09).

Allego il paper e le slides, dove trovate riferimenti bibliografici a supporto delle argomentazioni, mentre qui ne riassumo per punti il contenuto.

1. Il traffico IP cresce esponenzialmente, ma la banda larga ha una bassa penetrazione, il mercato degli accessi ristagna e non ci sono motivazioni economiche per colmare il digital divide.

2. La maggior parte delle reti di accesso sono ancora gestite come le prime reti telefoniche, con modelli ad integrazione verticale e tariffe piatte.

3. L’integrazione verticale ha numerosi limiti (alte barriere all’ingresso di nuovi operatori, disincentivo all’innovazione, rischi di violazioni del principio di neutralità, scarse possibilità di ottimizzazione statistica, …) e sembra inadeguato alla gestione imparziale di infrastrutture realizzate con sovvenzioni pubbliche.

4. Le tariffe piatte creano uno scollamento tra i prezzi esposti agli utenti e i costi sostenuti dagli operatori e costituiscono un disincentivo all’acquisto per chi non percepisce sufficiente utilità nell’accesso ad Internet.

5. Per superare questi limiti occorre separare la rete di accesso dai servizi (come suggerisce il modello TCP/IP e come avviene in internet) e creare i presupposti per la condivisione della stessa infrastruttura da parte di piu’ operatori concorrenti. Le misure correttive introdotte da numerosi governi hanno prodotto buoni effetti, ma non bastano a correggere l’asimmetria tra operatori incumbent e new entrant.

6. Soluzioni piu’ radicali sono basate sui concetti di operator neutrality (ON) e open access networks (OAN), in cui l’infrastruttura di accesso è gestita da un soggetto terzo ed ospita gli edge router di tutti gli operatori che vogliono utilizzarla per offrire accesso ad Internet o altri servizi. La rete di accesso condivisa è un intermediario trasparente. L’utente ha rapporti solo con il proprio operatore, che versa parte degli utili al gestore dell’infrastruttura di accesso. Dal punto di vista dell’utente non c’è sostanziale differenza rispetto ad un modello tradizionale, se non nella maggior concorrenza tra gli operatori.

7. Le neutral access networks (NAN) sono un particolare tipo di OAN, in cui l’infrastruttura di accesso smette di essere trasparente agli utenti e assume dignità di “rete” al fine di innescare meccanismi di esternalità positiva utili ad incrementare la penetrazione del mercato. L’accesso ad Internet è solo uno dei servizi a cui una NAN dà accesso. Altri servizi possono essere erogati all’interno della NAN indipendentemente da Internet: VoIP, IPTV, e-government, informazioni turistiche, videosorveglianza, … Gli utenti accedono alla NAN liberamente e senza autenticazione e vengono esposti a tutti i servizi disponibili, tra i quali la navigazione Internet attraverso gli edge router dei vari operatori. Le procedure di registrazione e autenticazione entrano gioco solo per accedere ad Internet o ai servizi con esigenze di tariffazione, personalizzazione, riservatezza o sicurezza.

8. Dal punto di vista dell’offerta commerciale le NAN creano il presupposto per attuare politiche di mercato orientate ai servizi (telefono, TV, social networking, applicazioni territoriali, navigazione Internet, …) la cui utilità possa essere percepita anche da chi non è sensibile alle tradizionali offerte di Internet tutto o niente. La differenziazione dei servizi va a beneficio della penetrazione del mercato, poichè tutti i servizi sono accomunati dalla stessa condizione abilitante: la connessione alla NAN. Qualunque sia il servizio per il quale un utente decide di collegarsi alla NAN, una volta che il collegamento è realizzato l’utente è esposto (senza ulteriori barriere) a tutti i servizi, compresa la navigazione Internet.

9. Dal punto di vista legale e amministrativo, l’apertura della rete di accesso ad utenti non autenticati scarica i gestori dei punti di accesso (detti access island) dalla responsabilità dell’identificazione degli utenti e della conservazione delle tracce di traffico, ma richiede l’assunzione di tale responsabilità da parte di chiunque eroghi servizi “attivi” all’interno della NAN. Per servizi attivi si intendono i servizi attraverso i quali un utente può compiere azioni verso terzi o commettere reati (e-mail, blog, navigazione Internet, …).

10. Dal punto di vista tecnico l’implementazione di NAN richiede l’adozione di soluzioni diverse da quelle comunemente utilizzate nelle reti di accesso wireless o cablate. Soluzioni prototipali sono in corso di sperimentazione nella rete aperta dell’Università di Urbino, denominata Urbino Wireless Campus (UWiC).

11. L’esternalità (positiva) è il fenomeno in base al quale l’azione compiuta da un soggetto ha effetti (positivi) su soggetti terzi non direttamente coinvolti nell’azione. Le NAN riproducono in parte, all’interno delle reti di accesso, i fenomeni di esternalità positiva che hanno caratterizzato lo sviluppo di Internet. L’ingresso di un nuovo utente nella NAN porta un beneficio per tutti poichè concorre a raggiungere la massa critica necessaria a motivare lo sviluppo e l’erogazione di servizi e a ripagare gli investimenti. L’ingresso di un nuovo service provider crea un beneficio per tutti poichè aumenta il valore della NAN e la sua capacità di penetrazione. L’estensione dell’infrastruttura crea un beneficio per tutti poichè aumenta la copertura e le opportunità di networking.

Riferimenti:

• Alessandro Bogliolo, “Introducing Neutral Access Networks“, in Proceedings of the Conf. on Next Generation Internet Networks (NGI-09), 2009. [paper] [slides]

La Federal Communication Commission aveva stabilito che lo switch off, il passaggio alla TV digitale, dovesse avvenire in America entro il 12 giugno 2009, e così è stato, o quasi. Si tratta di un evento epocale (la fine dell’era della TV analogica negli Stati Uniti!) che offre un nuovo stimolo al dibattito sull’utilizzo degli spazi liberi nello spettro delle frequenze televisive (in gergo, white space) per risolvere problemi di digital divide.

Lo spettro può essere suddiviso (e assegnato) in base alle frequenze, al tempo e allo spazio. Le tre dimensioni vengono abbreviate in STF (Space Time Frequency). Lo spettro della TV analogica è particolarmente attraente perchè a quelle frequenze le onde elettromagnetiche hanno comportamenti migliori di quelli del WiFi (coprono distanze più ampie, risentono meno degli ostacoli, …). Per sfruttare in modo ottimale le frequenze libere occorrono norme, standard e dispositivi e da tempo ci si muove su tutti questi fronti. Sia degli aspetti tecnici che degli aspetti strategici si è parlato a NGI-09 la scorsa settimana ad Aveiro. In particolare Victor Bahl (fondatore del Networking Research Group di Microsoft e Fellow IEEE e ACM) ha tenuto una relazione intitolata “White Space Networking – Is it Wi-Fi on Steroids?“.

A parlare di “WiFi on steroids” era stato Larry Page (co-fondatore di Google) più di un anno fa:

Sia Google che Microsoft sono membri della White space coalition, organizzazione di aziende a sostegno dell’utilizzo delle zone bianche dello spettro. A detta di Victor Bahl le aziende della white space coalition non solo promuovono la liberalizzazione di parte delle frequenze UHF e lo sviluppo delle tecnologie necessarie a sfruttarle, ma non escludono di intervenire direttamente acquistando parte delle licenze che i governi decideranno di non liberalizzare, per poi lasciarle libere sulla falsariga del WiFi. L’interesse delle aziende che partecipano alla coalizione è la penetrazione di Internet, necessaria alla diffusione di servizi e dispositivi, che sono il loro business.

Stupisce che non ci sia un sito ufficiale della white space coalition e che il sito della wireless innovation alliance stia chiudendo…

Riferimenti:

• Federal Communication Commission, “The Digital TV Transition“, official web site.
• sito sulla transizione alla TV digitale
• Larry Page, “WiFi on steroids“, May 22, 2008.
• wireless innovation alliance (sito in dismissione!)
• Victor Bahl, “White Space Networking – Is it Wi-Fi on Steroids?”, NGI 2009.

Servono davvero reti di nuova generazione? La risposta non è ovvia e non è unanime, ma è interessante che a porsi la domanda sia stato Roch Guerin (professore di comunicazioni alla University of Pennsylvania e Fellow ACM e IEEE) nella relazione di apertura del convegno Next Generation Internet Networks (NGI-09, Aveiro, Portogallo), il cui titolo sembrerebbe sottointendere una risposta affermativa.

La relazione ha offerto spunti interessanti e vicini a quanto discusso a Urbino in giugno, e poichè la presentazione non è ancora stata pubblicata in web ne riassumo il contenuto, che parte da tre premesse apparentemente ovvie:

1. prima di introdurre una nuova tecnologia/rete occorre assicurarsi che serva e …
2. che venga adottata dagli utenti;
3. quando la nuova tecnologia/rete c’è occorre utilizzarla.

Espandendo il primo punto (necessità del cambiamento) Guerin ha analizzato i potenziali limiti di Internet:

• Best effort non è il supporto ideale per tutte le applicazioni… ma le molte ingegnose soluzioni che sono state sviluppate per garantire QoS non vengono quasi mai applicate;
• una rete globale a controllo distribuito pone problemi di sicurezza… ma gli attacchi crescono molto meno velocemente del traffico;
• il traffico cresce esponenzialmente… ma il fattore di crescita si riduce, la rete non è prossima alla saturazione e in ogni caso all’aumento del traffico in una rete dovrebbe corrispondere un aumento delle risorse disponibili per potenziarla;
• gli indirizzi (IPv4) sono limitati… ma la soluzione al problema (IPv6) è stata standardizzata da 15 anni e ancora non si è affermata.

Espandendo il secondo punto (successo di una nuova tecnologia nei confronti di una esistente) ha trattato il problema della migrazione prendendo proprio IPv6 come esempio:

• IPv6 affronta un problema effettivo, ma malgrado questo la sua penetrazione a 15 anni dalla standardizzazione è di circa lo 0.2% e la sua crescita è più lenta di quella delle reti IPv4;
• l’esternalità è un fattore determinante;
• un semplice modello dinamico mostra che il processo di adozione di una nuova tecnologia (o di una nuova rete) ha due attrattori (successo o fallimento) verso cui convergono tutte le traiettorie in base alle condizioni iniziali. I due bacini di attrazione sono contigui e pertanto a condizioni iniziali molto simili possono corrispondere esiti opposti, rendendo molto difficile una previsione attendibile;
• nessuna nuova tecnologia/rete potrà avere successo senza gateway verso Internet;
• la presenza di gateway è necessaria alla diffusione di nuove tecnologie, ma può anche favorire la permanenza di quelle dominanti.

Sull’ultimo punto (utilizzo delle reti) ha detto che:

• l’utilizzo delle reti merita almeno tanta attenzione quanto la loro costruzione;
• la disponibilità di contenuti/applicazioni è fondamentale per l’affermazione di nuove reti;
• sviluppando applicazioni caratterizzate da forte esternalità occorre adottare strategie di seeding (distribuzione sottocosto per creare massa critica) per evitare il problema dell’uovo e la gallina.

La giornata è stata lunghissima. In realtà lo è stata meno di ieri, ma è stata più faticosa perchè non ci sono stati eventi conviviali o giochi sperimentali a spezzare il ritmo. Il compito difficilissimo di moderare e gestire questa giornata è toccato a Giovanni Cancellieri, che ringrazio per la competenza, l’esperienza e il rigore con cui ha condotto le sessioni.

L’apertura è stata dedicata al piano telematico regionale delle Marche. Marialaura Maggiulli ha fatto il punto sullo stato di avanzamento. Cinzia evangelisti ha presentato i risultati di un censimento puntuale sulla disponibilità di banda da cui si evince (come era evidente ma mai quantificato così rigorosamente, benchè sottolineato anche dal rapporto Caio) che il digital divide è ben di più del 5% e si trova anche in comuni nominalmente raggiunti dalla banda larga. Adriano Gattoni ha presentato la gara unica per la copertura wireless delle quattro province marchigiane. Dario Denni e Paolo di Francesco, in rappresentanza di AIIP e Assoprovider, hanno presentato il proprio punto di vista sul piano per la banda larga.

Dopo un coffee break di 10 minuti i lavori sono ripresi con una sessione dedicata alle soluzioni tecnologiche per le reti d’accesso presentate da Altran, Townet, Aria, NB factory, Essentia e Cisco. Ad ogni relatore è stato concesso un quarto d’ora, non un minuto di più.

Un breve pranzo a buffet e si è ripreso con un’ultima sessione dedicata a modelli gestionali, casi di studio e applicazioni non convenzionali delle reti di accesso. Si è parlato di reti pubbliche e di identità federate (Lepida), di browser TV (New Deal Production), di reti wireless per i turisti (Broadband Beach), di domotica (Luca Romanelli), di modelli di copertura del territorio (Milliway), di VoIP e reti di emergenza (Arscomm) e di uso appropriato delle frequenze (Teleinform).

Al momento della presentazione di Gianni Armetta (New Deal Production) abbiamo deciso di provare a proiettare in sala un video ad alta definizione ricevuto in tempo reale da Streamit su un portatile collegato ad un qualunque hotspot pubblico della rete Urbino Wireless Campus (al quale per altro la sala del convegno era collegata con un bridge e un ulteriore rilancio WiFi). Ha funzionato!

Nei prossimi giorni pubblichero’ le presentazioni e le registrazioni video. Ad ogni presentazione sarà associato un post in modo che, mandando commenti, possiate continuare a fare domande ai relatori e contribuire al dibattito sulle reti di accesso. Come lo scorso anno chiedero’ ai relatori la disponibilità a rispondere sul blog alle vostre domande.

Non mi resta che ringraziare tutti, ma lo faccio con un nuovo post.

Come vi avevo anticipato, è appena stato pubblicato il modulo per proporre relazioni da presentare il 13 giugno 2009 a Urbino nell’ambito del convegno NeutralAccess09. Chiunque può proporre una relazione seguendo questi 3 semplici passi:

1. compilazione del modulo online completo di recapito e-mail valido
2. ricezione e-mail di validazione
3. click sul link di conferma contenuto nella mail di validazione

Le proposte verranno valutate nell’ordine in cui saranno state presentate, fino ad esaurimento degli slot disponibili. Enti, aziende, privati sono invitati a proporre il loro punto di vista, a parlare delle proprie esperienze e a presentare le proprie soluzioni tecniche e commerciali. Indicativamente i contributi saranno organizzati in tre sessioni:

• Le tecnologie per l’accesso ad Internet
• I modelli gestionali e commerciali
• Le reti e i servizi

Non verranno accolte proposte che non riguardino il tema del convegno.

Non saro’ breve.

L’emendamento D’Alia al pacchetto sicurezza ha riacceso il dibattito sulla censura, sulla neutralita’  della rete, sugli strumenti di controllo dell’informazione e sulla responsabilita’ dei provider.

C’e’ chi dice che l’emendamento non introduce sostanziali novita’ rispetto agli Art. 14, 15 e 16 del D.Lgs. 70/2003, ma c’e’ anche chi osserva che le novita’  ci sono e che sono importanti: e’ l’esecutivo a disporre gli interventi con decreti del Ministro degli interni, i casi di istigazione e apologia di reato a cui gli interventi possono essere applicati sono molto ampi, non e’ chiaro se si parli anche di provvedimenti preventivi, si fa esplicito riferimento all’applicazione di filtri da parte dei fornitori di accesso. Le mie riflessioni si concentrano solo su quest’ultimo punto. Quindi non discuto chi, quando e perche’ debba disporre interventi, ma solo la fattibilita’ tecnica e le possibili conseguenze di tali interventi.

Il testo

I punti 3 e 4 del testo approvato dell’Art. 50-bis recitano:

3. Entro 60 giorni dalla pubblicazione della presente legge il Ministro dello sviluppo economico, con proprio decreto, di concerto con il Ministro dell’interno e con quello della pubblica amministrazione e innovazione, individua e definisce, ai fini dell’attuazione del presente articolo, i requisiti tecnici degli strumenti di filtraggio di cui al comma 1, con le relative soluzioni tecnologiche.

4. I fornitori dei servizi di connettivita’ alla rete internet, per l’effetto del decreto di cui al comma 1, devono provvedere ad eseguire l’attivita’ di filtraggio imposta entro il termine di 24 ore. La violazione di tale obbligo comporta una sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000, alla cui irrogazione provvede il Ministero dello sviluppo economico.

Il comma 3 rimanda ad un successivo decreto che dovra’ definire i requisiti tecnici degli strumenti di filtraggio, e quindi non e’ escluso che verra’ fatta chiarezza, ma il comma 4 contiene gia’ due elementi che meritano di essere discussi: il ricorso a filtri (comunque definiti da futuri decreti) e l’individuazione dei fornitori di connettivita’ (internet service providers, ISP) come soggetti incaricati di applicarli.

Gli attori

Per semplicita’  immaginiamo che l’attivita’  di istigazione o apologia sia compiuta attraverso un testo pubblicato in web. Si tratta del caso piu’ semplice che mi viene in mente, ma vedremo che e’ gia’ sufficientemente complesso, e poi diremo cosa c’e’ di piu’ complicato.

Per pubblicare una pagina (o un commento) su un sito web l’autore (1) si avvale di un fornitore di connettivita’ (2) e di un fornitore di servizi di hosting (3). Per leggere la pagina gli utenti (4) si avvalgono a loro volta di un fornitore di connettivita’ (5) ed accedono al sito del fornitore di servizi (3). Sia l’autore (1) che gli utenti (4) usufruiscono di Internet (6) per stabilire un collegamento tra la rete del proprio fornitore di connettivita’ (2 o 5) e il server su cui risiede il sito web (3). Abbiamo quindi almeno 6 protagonisti e due flussi principali di informazioni, tra l’autore e il server e tra il server e gli utenti.

I punti in cui le reti dei fornitori di connettivita’ si raccordano ad Internet sono detti gateway. Tutti i nodi coinvolti nella comunicazione sono identificati univocamente da un indirizzo IP.

Il funzionamento

Tutte le informazioni sono scambiate in pacchetti con un indirizzo sorgente, un indirizzo destinazione e un contenuto. I pacchetti passano di nodo in nodo tra la sorgente e la destinazione, seguendo percorsi decisi di volta in volta in base al traffico. Tutti i nodi della rete attraversati da un pacchetto lo memorizzano temporaneamente per gestirlo, cioe’ per leggerne l’indirizzo e inoltrarlo verso la destinazione. Tecnicamente i nodi della rete non hanno necessita’ di aprire il pacchetto e guardare il contenuto, ma avendone una copia locale potrebbero farlo. Per ragioni pratiche i protocolli di rete sono fatti a strati che rendono le applicazioni (al livello piu’ alto) indipendenti dalle caratteristiche fisiche della rete e dei canali di comunicazione (ai livelli piu’ bassi). Per garantire efficienza e neutralita’ alla rete, i nodi di Internet che hanno la funzione di smistare il traffico implementano solo i protocolli di livello piu’ basso e ignorano il contenuto dei pacchetti.

I filtri

I filtri sono strumenti informatici (programmi, componenti hardware, o un mix dei due) il cui funzionamento dipende da due scelte principali: la collocazione e i criteri di filtraggio.

La collocazione deve essere scelta in modo da intercettare tutto il traffico a cui devono essere applicati, mentre i criteri di filtraggio devono essere concepiti in modo da evitare errori. Gli errori possono essere di due tipi: falsi positivi (pacchetti che vengono bloccati ingiustamente) e falsi negativi (pacchetti maliziosi che non vengono riconosciuti come tali).

In ogni caso i filtri hanno bisogno di tempo e risorse di calcolo per funzionare, e rallentano il traffico a cui vengono applicati. Le risorse e il tempo di elaborazione aumentano all’aumentare della quantita’ di traffico e della complessita’ dei criteri di filtraggio.

I criteri di filtraggio

Se si sapesse da dove provengono i dati da bloccare, la cosa piu’ semplice sarebbe bloccare i pacchetti in base all’IP sorgente. Ma questo bloccherebbe tutti i dati provenienti da quell’indirizzo, dando luogo a molti falsi positivi. Si pensi al caso in cui la sorgente sia un server popolare come Google, Facebook, o Youtube.

I casi in cui ci sia interesse a bloccare un pacchetto in base all’IP destinazione sono simmetrici a quelli basati sull’IP sorgente, e non meritano ulteriori considerazioni.

Resta il caso del filtraggio in base al contenuto o, peggio, al suo significato. In linea di principio questo sembra l’approccio piu’ sensato, ma pone enormi problemi concettuali e tecnici, oltre che etici.

Per avere un’idea della complessita’ dei filtri bisogna pensare che i programmi non sono altro che sequenze di istruzioni non ambigue. Non serve essere dei programmatori per provare a descrivere in modo non ambiguo dei criteri di filtraggio utili a discriminare contenuti leciti da contenuti riconducibili a reati di apologia o istigazione a delinquere. Se provandoci non doveste riuscirci sappiate che il problema non sta nel linguaggio, ma nella difficolta’ intrinseca del problema. Se invece doveste riuscirci fatemelo sapere…

La posizione dei filtri

I filtri devono essere applicati dove passa il traffico, cioe’ su uno qualunque dei nodi coinvolti e con il supporto di chi lo gestisce. Ovviamente applicare i filtri piu’ di una volta allo stesso flusso di dati e’ sconveniente. Immaginando che non sia possibile chiedere la collaborazione dell’autore del contenuto di cui si vuole impedire la diffusione, i filtri possono essere applicati: sui server che ospitano le pagine e i servizi web, sui nodi di Internet, sui gateway degli ISP, o sui computer degli utenti.

Applicare filtri ai nodi di Internet e’ impensabile per mille ragioni, tra le quali l’inadeguatezza tecnologica dei nodi stessi, la drammatica perdita di efficienza della rete che ne conseguirebbe, la reiterazione dei filtraggi, …

Applicarli sui computer degli utenti e’ impensabile perche’ comporterebbe un controllo sugli utenti. Esistono filtri spontaneamente applicati dagli utenti sui propri computer ma sono concepiti per tutt’altre finalita’ (parental control) e non fanno al caso.

Restano quindi i server web e i gateway dei fornitori di accesso. Il Decreto sembra affidare a questi ultimi il compito, ma dal punto di vista logistico sarebbe piu’ pratico applicare i filtri alla fonte, soprattutto se questa e’ stata identificata.

Chiedere ai fornitori di accesso (ISP) di applicare filtri sui propri gateway sarebbe come chiedere ai giornalai di leggere tutti i giornali che vendono per sbianchettare i contenuti da filtrare.

Ulteriori difficolta’

Come avevo premesso, il caso che abbiamo preso in esame fin qui e’ il piu’ semplice possibile. Ci sono numerosi e frequenti elementi che nella pratica aggiungono complessita’ al problema del filtraggio:

• canali cifrati (ogni volta che accedendo ad un sito vediamo che l’indirizzo inizia con https, la s finale sta ad indicare che il canale e’ cifrato per garantire la riservatezza dei dati scambiati tra il nostro computer e il server. I flussi criptati non possono essere filtrati lungo il tragitto)
• contenuti multimediali (se filtrare un testo in base al contenuto non e’ di per se’ banale, lo e’ ancora meno capire cosa si nasconde in un’immagine o in un file video)
• trasmissione in tempo reale (se i contenuti non risiedono su un server, ma vengono scambiati in Internet in tempo reale, non e’ concettualmente possibile filtrarli prima che il destinatario li riceva, a meno di non introdurre ritardi tali da compromettere il funzionamento delle applicazioni in tempo reale)
• server distribuiti (i servizi piu’ popolari non risiedono su un solo server, ma su decine di migliaia di server distribuiti in tutto il mondo, ciascuno con il proprio indirizzo IP)
• propagazione (esistono meccanismi automatici di propagazione e aggregazione di contenuti in web che di fatto creano copie dei dati difficili da censire. L’eventuale oscuramento della fonte delle informazioni non comporterebbe automaticamente l’oscuramento o l’eliminazione delle copie)
• globalita’ (la rete e’ globale e i servizi in rete sono indipendenti dalla localizzazione dei server e degli utenti. Impedire unilateralmente la fruizione di un servizio senza compromettere il funzionamento di Internet e’ praticamente impossibile o inutile)

Collaborazione ex ante o ex post?

I problemi tecnici di cui stiamo parlando cambiano drasticamente proporzione a seconda che agli operatori della rete venga chiesto di collaborare dopo l’identificazione di un reato per bloccarne gli effetti e identificarne il responsabile (collaborazione ex post), o di svolgere una funzione di garanzia per impedire che un reato venga commesso o che produca effetti (garanzia ex ante).

Nel primo caso il problema principale sta nell’attribuire le responsabilita’ del reato e nell’identificarne gli autori, ma la collaborazione tra autorita’ gudiziaria e operatori per porre fine al reato e’ gia’  disciplinata dagli articoli 14 comma 3, 15 comma 2 e 16 comma 3 del D.Lgs. 70/2003, che distinguono correttamente i ruoli e le responsabilita’  dei fornitori di accesso e dei fornitori i servizi. Gli accorgimenti tecnici da adottare per porre fine ad una violazione non sono necessariamente dei filtri, ma possiamo accettare che il termine “filtro” venga usato in senso lato nell’emendamento D’Alia per indicare un generico provvedimento che blocchi in modo selettivo un servizio. Inoltre i soggetti chiamati a collaborare non sono necessariamente i “fornitori di accesso”, ma anche in questo caso sono portato a pensare che il termine sia usato genericamente nell’emendamento D’Alia per indicare operatori di rete, siano essi fornitori di accesso o di servizi.

Nel secondo caso, cioe’ in assenza di un reato e di un colpevole, non potrebbero essere intraprese azioni mirate e quindi i filtri dovrebbero assumere un significato piu’ stretto ed essere adottati su larga scala a scopi preventivi. Alla luce delle considerazioni tecniche fatte fin qui non ritengo pero’ che questo sia tecnicamente possibile senza compromettere drasticamente il funzionamento della rete, e pertanto sono portato a pensare che non sia questo il senso dell’emendamento D’Alia.

Riferimenti

• Testo approvato dal Senato dell’Emendamento D’Alia al Pacchetto Sicurezza, Art. 50-bis del Disegno di Legge S. 733
• Decreto Legislativo n. 70 del 9 aprile 2003