Secondo seminario interdisciplinare organizzato dalla facoltà di Giurisprudenza e dal Corso di Laurea di Informatica Applicata dell’Università degli studi di Urbino sul tema della libertà e del diritto penale in rete.

Martedì 20 aprile 2010, ore 17-19, Via Matteotti, 1, Urbino

Prof. Lucio Monaco (Diritto penale)
Prof. Gabriele Marra (Diritto penale)
Prof. Alessandro Bogliolo (Sistemi di elaborazione delle informazioni)

Il seminario si propone di discutere, in una prospettiva interdisciplinare, implicazioni della recentissima pronuncia resa dal Tribunale di Milano relativa alla responsabilità dell’ISP per contenuti illeciti immessi in rete per suo tramite.

Poichè il seminario è inserito tra le attività formative del corso di laurea di Informatica Applicata, agli studenti che frequenteranno il seminario verranno riconosciuti 0.25 CFU.

Riferimenti:

• Motivazioni della sentenza 1972/2010 del Tribunale di Milano, depositate il 12 aprile 2010.
• Facoltà di Giurisprudenza dell’Università degli Studi di Urbino.
• Corso di Laurea di Informatica Applicata dell’Università degli Studi di Urbino (in presenza, online).

Questo è il secondo di tre articoli che descrivono un’implementazione di reti di accesso neutrali basata sul policy routing di Linux. Ne descrivo il funzionamento facendo riferimento allo schema architetturale introdotto nel post del primo settembre (che riproduco di seguito per comodità):

L’architettura di esempio mostrata in figura ha una struttura ad albero: gli utenti sono le foglie, le isole di accesso sono i rami, la dorsale è il tronco e il gateway di smistamento (o policy router) è la radice. Per consentire agli utenti di accedere ai servizi pubblicati nella sottorete servizi è sufficiente l’impostazione dei default gateway delle sottoreti.

Le cose si complicano un po’ quando l’indirizzo da raggiungere non appartiene alla rete di accesso o alla sottorete servizi, ma è un qualunque IP pubblico. La complicazione è duplice. Innanzitutto occorre bloccare l’accesso se l’utente non è autenticato (e l’indirizzo non appartiene alla white list di indirzzi virtualmente interni). In secondo luogo occorre smistare il traffico verso Internet per permettere ad ogni utente di utilizzare l’edge router del provider che preferisce. Queste due funzioni sono svolte dal captive portal e dal gateway di smistamento (o policy router).

Captive portal

Il captive portal e’ rappresentato dal rettangolo grigio pubblicato all’indirizzo 172.20.2.2 della sottorete servizi ed e’ definito come default gateway del policy router. Quando un utente che non ha ancora scelto uno degli edge router disponibili per la navigazione Internet tenta di raggiungere una pagina web esterna alla sottorete servizi e alle eventuali white list, il captive portal lo ridirige su una landing page dalla quale e’ possibile accedere ai servizi interni o scegliere uno degli edge router. La scelta dell’edge router comporta l’impostazione dinamica di un’apposita regola nel policy router.

Policy router

Il policy router smista il traffico generato dagli utenti sugli edge router scelti da ciascuno. Questa funzione di smistamento puo’ essere implementata utilizzando il supporto per il routing avanzato del kernel di Linux. In particolare il file rt_tables installato sul policy router contiene la lista delle tabelle di routing disponibili, con le rispettive priorita’. Nell’implementazione proposta, ad ogni policy router e’ dedicata una tabella di routing. Nel nostro esempio, chiamando ISP_A e ISP_B le tabelle dedicate ai due edge router A e B, il file rt_table conterra’ le righe:

1 ISP_A
2 ISP_B

Ogni tabella contiene a sua volta almeno una regola, che specifica come default gateway l’edge router corrispondente. Altre regole potrebbero essere aggiunte per ottimizzare il traffico. Nel seguente esempio viene specificata una seconda regola per permettere di raggiungere i servizi locali direttamente dal policy router senza passare per l’edge router:

# table ISP_A
ip route add default via 172.20.2.10 dev eth1 table ISP_A
ip route daa 172.20.2.0/24 via 172.20.2.1 table ISP_A

Poiche’ la definizione delle tabelle non ne comporta l’applicazione, tutte le tabelle associate agli edge router possono essere definite in anticipo (una volta per tutte) e applicate dinamicamente in base alle scelte operate dall’utente attraverso la landing page del captive portal.

Immaginiamo che la landing page del captive portal contenga “bottoni” associati agli edge router disponibili. Quando l’utente 172.16.1.23 preme il bottone corrispondente all’edge router A, la sua scelta viene registrata su una database come richiesta in attesa di essere processata. Un demone che gira sul policy router interroga periodicamente il database e processa le richieste pendenti lanciando i comandi necessari a creare le corrispondenti politiche di routing. In questo caso il comando e’ il seguente:

ip route add from 172.16.1.23 table ISP_A

che crea una nuona regola di source-based policy routing il cui effetto e’ l’applicazione della tabella ISP_A a tutto il traffico originato dall’indirizzo 172.16.1.23.

Un meccanismo analogo e’ utilizzato per rimuovere o sostituire le regole.

Continua…

Riferimenti:

• Andrea Seraghiti and Alessandro Bogliolo, “Neutral Access Network Implementation Based on Linux Policy Routing”, in Proceedings of INTERNET-2009, 2009. [paper] [slides]
• M. G. Marsh, Policy Routing Using Linux, SAMS, 2006.

Vi propongo un’immagine insolita di Urbino scattata ieri pomeriggio nel corso della tradizionale Festa dell’Aquilone, che ogni anno vede confrontarsi le contrade di Urbino nel lancio di aquiloni di canne e carta. Guardando il groviglio di fili che quasi nascondeva il profilo della città mia figlia mi ha detto “altro che wireless campus”. Da qui l’idea di fotografarlo e pubblicarlo sul blog.

Le reti di accesso neutrali sono il tema del blog che ho aperto da più di un anno, ma non ne ho mai parlato in modo compiuto. Per ora ci ho girato attorno annotando spunti e idee, ed è per questo che ora posso permettermi di dire che questo post “introduce” l’argomento.

Il titolo è in inglese sia perchè suona meglio, sia perchè riprende quello della relazione che ho tenuto ad Aveiro il mese scorso al Next Generation Internet (NGI-09).

Allego il paper e le slides, dove trovate riferimenti bibliografici a supporto delle argomentazioni, mentre qui ne riassumo per punti il contenuto.

1. Il traffico IP cresce esponenzialmente, ma la banda larga ha una bassa penetrazione, il mercato degli accessi ristagna e non ci sono motivazioni economiche per colmare il digital divide.

2. La maggior parte delle reti di accesso sono ancora gestite come le prime reti telefoniche, con modelli ad integrazione verticale e tariffe piatte.

3. L’integrazione verticale ha numerosi limiti (alte barriere all’ingresso di nuovi operatori, disincentivo all’innovazione, rischi di violazioni del principio di neutralità, scarse possibilità di ottimizzazione statistica, …) e sembra inadeguato alla gestione imparziale di infrastrutture realizzate con sovvenzioni pubbliche.

4. Le tariffe piatte creano uno scollamento tra i prezzi esposti agli utenti e i costi sostenuti dagli operatori e costituiscono un disincentivo all’acquisto per chi non percepisce sufficiente utilità nell’accesso ad Internet.

5. Per superare questi limiti occorre separare la rete di accesso dai servizi (come suggerisce il modello TCP/IP e come avviene in internet) e creare i presupposti per la condivisione della stessa infrastruttura da parte di piu’ operatori concorrenti. Le misure correttive introdotte da numerosi governi hanno prodotto buoni effetti, ma non bastano a correggere l’asimmetria tra operatori incumbent e new entrant.

6. Soluzioni piu’ radicali sono basate sui concetti di operator neutrality (ON) e open access networks (OAN), in cui l’infrastruttura di accesso è gestita da un soggetto terzo ed ospita gli edge router di tutti gli operatori che vogliono utilizzarla per offrire accesso ad Internet o altri servizi. La rete di accesso condivisa è un intermediario trasparente. L’utente ha rapporti solo con il proprio operatore, che versa parte degli utili al gestore dell’infrastruttura di accesso. Dal punto di vista dell’utente non c’è sostanziale differenza rispetto ad un modello tradizionale, se non nella maggior concorrenza tra gli operatori.

7. Le neutral access networks (NAN) sono un particolare tipo di OAN, in cui l’infrastruttura di accesso smette di essere trasparente agli utenti e assume dignità di “rete” al fine di innescare meccanismi di esternalità positiva utili ad incrementare la penetrazione del mercato. L’accesso ad Internet è solo uno dei servizi a cui una NAN dà accesso. Altri servizi possono essere erogati all’interno della NAN indipendentemente da Internet: VoIP, IPTV, e-government, informazioni turistiche, videosorveglianza, … Gli utenti accedono alla NAN liberamente e senza autenticazione e vengono esposti a tutti i servizi disponibili, tra i quali la navigazione Internet attraverso gli edge router dei vari operatori. Le procedure di registrazione e autenticazione entrano gioco solo per accedere ad Internet o ai servizi con esigenze di tariffazione, personalizzazione, riservatezza o sicurezza.

8. Dal punto di vista dell’offerta commerciale le NAN creano il presupposto per attuare politiche di mercato orientate ai servizi (telefono, TV, social networking, applicazioni territoriali, navigazione Internet, …) la cui utilità possa essere percepita anche da chi non è sensibile alle tradizionali offerte di Internet tutto o niente. La differenziazione dei servizi va a beneficio della penetrazione del mercato, poichè tutti i servizi sono accomunati dalla stessa condizione abilitante: la connessione alla NAN. Qualunque sia il servizio per il quale un utente decide di collegarsi alla NAN, una volta che il collegamento è realizzato l’utente è esposto (senza ulteriori barriere) a tutti i servizi, compresa la navigazione Internet.

9. Dal punto di vista legale e amministrativo, l’apertura della rete di accesso ad utenti non autenticati scarica i gestori dei punti di accesso (detti access island) dalla responsabilità dell’identificazione degli utenti e della conservazione delle tracce di traffico, ma richiede l’assunzione di tale responsabilità da parte di chiunque eroghi servizi “attivi” all’interno della NAN. Per servizi attivi si intendono i servizi attraverso i quali un utente può compiere azioni verso terzi o commettere reati (e-mail, blog, navigazione Internet, …).

10. Dal punto di vista tecnico l’implementazione di NAN richiede l’adozione di soluzioni diverse da quelle comunemente utilizzate nelle reti di accesso wireless o cablate. Soluzioni prototipali sono in corso di sperimentazione nella rete aperta dell’Università di Urbino, denominata Urbino Wireless Campus (UWiC).

11. L’esternalità (positiva) è il fenomeno in base al quale l’azione compiuta da un soggetto ha effetti (positivi) su soggetti terzi non direttamente coinvolti nell’azione. Le NAN riproducono in parte, all’interno delle reti di accesso, i fenomeni di esternalità positiva che hanno caratterizzato lo sviluppo di Internet. L’ingresso di un nuovo utente nella NAN porta un beneficio per tutti poichè concorre a raggiungere la massa critica necessaria a motivare lo sviluppo e l’erogazione di servizi e a ripagare gli investimenti. L’ingresso di un nuovo service provider crea un beneficio per tutti poichè aumenta il valore della NAN e la sua capacità di penetrazione. L’estensione dell’infrastruttura crea un beneficio per tutti poichè aumenta la copertura e le opportunità di networking.

Riferimenti:

• Alessandro Bogliolo, “Introducing Neutral Access Networks“, in Proceedings of the Conf. on Next Generation Internet Networks (NGI-09), 2009. [paper] [slides]

Sono stato a cena con Jorge Infante e Jaume Barcelò, due dei promotori del progetto Barcelona Open-Access Network, che prevede la realizzazione di una rete neutrale (open access network) che faccia da intermediario tra gestori di reti wireless aperte (chiamate wireless islands) e fornitori di servizi (ISPs). Gli utenti usano le reti wireless aperte per registrarsi presso i fornitori di servizi. Il modello economico prevede che gli utenti paghino solo gli ISPs, che pagano il gestore della rete neutrale, che paga i gestori delle wireless islands. Abbiamo mangiato bene e parlato a lungo delle opportunità e delle sfide delle reti di accesso neutrali e delle analogie e differenze tra Barcelona OAN e UWiC.

Tempo fa avevo intitolato “Internet a pedali” un post in cui raccontavo di aver trasportato in bicicletta dei file che un amico in digital divide non riusciva a spedire con il suo modem. Sono venuto a Barcellona per  parlare di reti e torno a parlare di biciclette. Si chiama Bicing il sistema di biciclette condivise ad uso gratuito che ha riempito la città di rastrelliere con biciclette bianche e rosse. I cittadini possono prenderle gratuitamente (con un limite di utilizzo continuativo di un’ora) per spostarsi da un posto all’altro. Se si accetta la metafora di Internet a pedali, il sistema Bicing diventa metafora di una rete aperta e condivisa.

Al momento a Barcellona il sistema Bicing ha avuto molto più successo della rete wireless neutrale.

Riferimenti:

• J. Barceló, A. Sfairopoulou, M. Oliver, J. Infante, and C. Macián, “Barcelona’s Open Access Network Testbed”, IEEE TridentCom, 2006.
• Bicing web site

E’ quello che sostengono Fabio e gli altri di Conversazionidalbasso, che hanno lanciato il concorso fotografico “living in a wireless campus” (LWC) nell’ambito del secondo Festival dei blog.

Il Festival si svolgerà a Urbino dal 10 al 12 ottobre, ma il concorso fotografico è già aperto. Per partecipare basta fotografare scene di vita nel wireless campus, caricarle su Flickr entro il primo ottobre con i tag “conversazionidalbasso, 2008, lwc, uwic” e spargere la voce. Saranno ammesse alla fase finale del concorso le 20 foto che l’8 ottobre avranno raggiunto la maggiore popolarità secondo il ranking di Flickr.

Leggetevi il regolamento e date un’occhiata alle foto in cocorso. Le vostre preferenze saranno determinanti.

Segnalo che Tommaso del Lungo mi ha fatto un’intervista sul tema della neutralità delle reti di accesso pubblicata il 18 giugno nella sezione Tecnologie di Forum PA in un articolo dal titolo “Nuovi modelli di erogazione di servizi online“.

E’ il 19 giugno del 2006 e in un locale temporaneamente libero nel centro di Urbino nasce l’UWiC lab, con la dotazione di un mucchio di vecchi PC dismessi dal laboratorio didattico di Informatica Applicata e con l’entusiasmo di decine di studenti.

L’UWiC lab “sfrutta” apertamente gli studenti, nel senso che mette a frutto le loro attitudini offrendo opportunità di tirocini, tesi e progetti d’esame che li coinvolgono direttamente in attività di ricerca, sviluppo e sperimentazione sul campo.

Nel corso dell’estate l’UWiC lab lavorerà giorno e notte per concepire e sperimentare le soluzioni più idonee a realizzare il wireless campus, avendo come principali criteri l’indipendenza tecnologica e la scalabilità, e avendo l’obiettivo di dimostrare la fattibilità del wireless campus realizzando entro settembre un dimostratore basato su software open source e sui vecchi PC del laboratorio. A comprare qualcosa di meglio si penserà dopo aver dimostrato che la soluzione funziona.

Dei presupposti ho già detto, e anche dell’idea di wireless campus che ne è derivata. Siamo alla fine di febbraio del 2006 e c’e’ un bando del MIUR e del Dipartimento dell’Innovazione e delle Tecnologie della Presidenza del Consiglio dei Ministri che co-finanzia (fino a 50.000 Euro) progetti per il potenziamento o la realizzazione di infrastrutture wireless negli Atenei. Mancano 15 giorni alla scadenza del bando e si decide di cogliere l’occasione per accelerare l’iter di formalizzazione del progetto (che mi viene affidato) e per consolidare la partnership.

Il progetto è “Urbino Wireless Campus”, abbreviato in “UWiC”, e prevede la creazione di una rete di accesso che sia innanzitutto una rete in sé, indipendente da Internet e dalla rete di Ateneo.

Questa è la scelta progettuale più importante, che risulterà essere il fattore abilitante per il conseguimento di tutti gli obiettivi del progetto e per i successivi sviluppi.

Rete aperta. UWiC è una rete aperta multigateway, a cui chiunque si potrà collegare senza compromettere la sicurezza della rete di Ateneo e senza violare le leggi che regolano l’accesso ad Internet. La rete offrirà tre tipi di servizi:

• navigazione in siti web locali (aperta a tutti),
• accesso alla rete di Ateneo e navigazione Internet attraverso il gateway dell’Università (per studenti e dipendenti universitari),
• accesso a servizi erogati da terzi (per utenti registrati presso il fornitore di ciascun servizio).

L’apertura della rete a servizi esterni (e-government, informazioni turistiche, navigazione Internet a pagamento, …) serve a creare le economie di scopo necessarie a rendere sostenibile la gestione della rete e a favorirne lo sviluppo.

Infrastruttura wireless. Dal punto di vista tecnologico, la rete avrà una dorsale Hiperlan, ripetitori punto multipunto Hiperlan e ripetitori WiFi, e sfrutterà ovunque possibile i collegamenti cablati della rete di Ateneo (con separazione logica tramite VLAN e tunnel VPN).

Rete di reti. Il progetto prevede inoltre lo sviluppo di meccanismi di integrazione di reti che consentano al wireless campus di estendersi a costo nullo sui territori già coperti da reti wireless i cui gestori condividono le finalità del progetto. Per garantire la massima scalabilità, la rete di reti sarà gestita a livello 3 e il collegamento tra gli utenti e i gateway che conducono alle reti private o ad Internet sarà garantito dalla creazione di tunnel VPN.

Le dichiarazioni d’intenti. In meno di 15 giorni al progetto aderiscono l’ERSU, il Comune, 4 Comunità Montane, una Fondazione, le Municipalizzate della zona, l’ASUR, e persino Curia e Soprintendenza.

I costi. Il costo stimato del progetto è di circa 300.000 Euro, di cui 50.000 richiesti come cofinanziamento, quasi 50.000 offerti dai partner, e i restanti recuperati sul budget già allocato dall’Ateneo per far fronte ad esigenze del sistema informatico (tra cui connettività wireless, servizi online e gestione centralizzata delle identità) che diventano parte integrante del progetto.

La proposta. La proposta viene formalizzata l’8 marzo, in giugno l’Università deciderà di avviare il progetto indipendentemente dal cofinanziamento, e in settembre apprenderà che UWiC è al primo posto nella graduatoria degli 82 progetti presentati alla Presidenza del Consiglio dei Ministri.

I presupposti sono semplici, e sono dati di fatto:

• Urbino è una città-campus (ha più studenti che abitanti)
• Si comincia a sentir parlare di città-wireless
• Il territorio provinciale è pesantemente colpito da digital divide di prima generazione
• Le reti possono essere separate dal punto di vista logico pur condividendo la stessa infrastruttura fisica.

L’idea è altrettanto semplice: promuovere la creazione di un’infrastruttura wireless condivisa che copra la città (e magari vada oltre) estendendo il campus universitario e creando i presupposti per l’erogazione di altri servizi.

Gli ingredienti, oltre al wireless, sono il campus, l’innovazione, la condivisione di infrastrutture, l’integrazione di reti e servizi, le economie di scopo.

L’idea di campus si rivela subito una carta vincente. Una rete wireless che propaghi un campus universitario porta un doppio valore aggiunto (di immagine e di sostanza) ai territori che raggiunge, rendendoli di fatto parte del campus.

L’innovazione è l’elemento propulsore che motiva chi lavora al progetto (soprattutto studenti) e consente all’Università di svolgere a pieno titolo la sua funzione.

La condivisione di infrastrutture consente di riutilizzare ciò che c’è, evitare duplicazioni, creare valore aggiunto a costi marginali trascurabili, giustificare e remunerare gli investimenti, rendere sostenibile la gestione.

L’integrazione di reti e servizi è l’elemento centrale dell’idea, che garantisce scalabilità al wireless campus integrando reti esistenti e propagando servizi erogati da terzi.

Le economie di scopo nascono dalla condivisione e dall’integrazione. Se l’infrastruttura è condivisa e può crescere integrando reti e servizi fino a raggiungere la massa critica che conferisce valore alla rete, diventa interesse di tutti contribuire ad estenderla e a potenziarne i servizi.