Propongo, con il permesso dell’autore, la mia versione dall’inglese di questo interessante articolo di Geoff Huston apparso nel mese di maggio 2013 su The ISP column dal titolo “A Royal Opinion on Carrier Grade NATs“.

C’è ancora un certo numero di Paesi che hanno come capo di Stato la regina Elisabetta. La mia nazione, l’Australia, è uno di quelli. Al giorno d’oggi è difficile comprendere quale sia esattamente il ruolo della regina rispetto al Governo australiano e sospetto che persino nel Regno Unito alcune persone condividano la mia incertezza costituzionale. Tuttavia, è tutto un grande spettacolo, un ricco sfarzo a cui la stampa concede ampia copertura. Ogni anno nel Regno Unito la regina legge un discorso preparato dal Governo di turno contenente le misure legislative che l’esecutivo intende proporre. All’inizio di questo mese (maggio 2013 ndt) nel discorso della regina si leggeva:

Quanto al problema delle corrispondenze degli indirizzi IP, il mio governo proporrà di attivare la protezione del pubblico e le indagini sulla criminalità nel cyberspazio.
[http://youtu.be/UWwK3z3GvzY?t=5m45s]

Come ha evidenziato il Guardian:

Il testo del discorso fatto dalla regina dà il via libera a legiferare, ove necessario, per affrontare il circoscritto problema tecnico del maggior numero di dispositivi, telefoni e tablet, in uso rispetto al numero di indirizzi IP che permettono alla polizia di identificare chi ha inviato una e-mail o fatto una chiamata Skype in un determinato momento.
[http://www.guardian.co.uk/politics/2013/may/08/queens-speech-snoopers-charter]

Che problema c’è allora?

Secondo diverse forze dell’ordine Internet è uno spazio che viene sistematicamente violato, dove troppa gente si sente preda di inganni e frodi. Se a questo si aggiunge la latente preoccupazione per le vulnerabilità di Internet cioè per ciò che potremmo definire “sicurezza informatica“, allora non ci sorprende che le forze dell’ordine confidino nella legge per ricevere un aiuto a svolgere il loro ruolo. E tra gli strumenti che desiderano per condurre le indagini e per raccogliere le informazioni c’è l’accesso ai log degli operatori di telecomunicazioni per sapere esattamente chi sta parlando con chi. Tali misure vengono utilizzate in molti Paesi e ricadono sotto la cosiddetta “conservazione dei dati“.

Nel mondo della telefonia la locuzione “conservazione dei dati” viene usata in riferimento alla raccolta e alla conservazione dei dettagli delle chiamate. Tali informazioni solitamente contengono i numeri di telefono usati, l’ora e la durata della chiamata e può anche includere informazioni accessorie come posizione geografica e dettagli sull’abbonato. Ovviamente l’uso di questi dati dettagliati è altamente suscettibile di analisi, dunque i registri delle chiamate possono essere usati per identificare i soci di un individuo e possono essere facilmente utilizzati per identificare i membri di un gruppo. Va da sé che nel corso degli anni quei  dati sono stati di enorme interesse per le varie forze dell’ordine e agenzie di sicurezza, senza necessità di accedere agli archivi delle intercettazioni dei sospettati. Le misure regolamentari volte a proteggere l’accesso a questi dati variano da Paese a Paese, ma l’accesso è in genere garantito quando c’è in ballo la sicurezza nazionale o l’applicazione della legge o anche l’esazione fiscale.

Questo per la telefonia. Invece per Internet?

La storia è in continua evoluzione e in questi giorni i problemi circa l’IPv6 e l’esaurimento degli indirizzi IPv4 si fanno molto  rilevanti nel contesto in discussione. Per capire il motivo, probabilmente vale la pena osservare come è accaduto e quali cambiamenti tecnici hanno richiesto modifiche ai requisiti della conservazione dei dati per i fornitori di servizi Internet (ISP).

Il modello originale degli analoghi dati per Internet era il registro degli indirizzi allocati gestito da Internic (Internet Network Information Centre). Tale registro non memorizzava alcuna attività dei pacchetti, ma costituiva l’archivio di riferimento per conoscere quali indirizzi IP erano stati assegnati ad una certa entità. Dunque se desideravi sapere chi stesse utilizzando un particolare indirizzo IP, bastava usare un semplice strumento di interrogazione come il “whois“:

$ whois -h whois.apnic.net 202.12.29.211

inetnum: 202.12.28.0 – 202.12.29.255
netname: APNIC-AP
descr: Asia Pacific Network Information Centre
descr: Regional Internet Registry for the Asia-Pacific Region
descr: 6 Cordelia Street
descr: PO Box 3646
descr: South Brisbane, QLD 4101
descr: Australia

Tuttavia questo modello di registro che faceva allocazioni dirette agli utenti finali cessò all’inizio degli anni Novanta con l’avvento degli ISP. I primi modelli di servizi che gli ISP offrivano erano basati sul dial-up: al cliente veniva assegnato un indirizzo IP per la durata della chiamata, restituendolo subito dopo a chiamata terminata per poter essere successivamente riassegnato. Il nuovo modello vedeva quindi una descrizione dell’ISP nel registro degli indirizzi pubblici, mentre l’assegnazione dei singoli indirizzi a ciascun cliente dial-up rimaneva una informazione privata del provider. Ora, se vuoi sapere chi stia utilizzando un particolare indirizzo IP devi conoscere pure l’orario e, mentre una interrogazione con il whois avrebbe potuto indirizzarti direttamente all’entità alla quale chiedere, ora dovresti invece domandare all’ISP di consultare i suoi archivi di Acesso, Autenticazione e Contabilità (AAA), tipicamente i log del Radius, per stabilire chi stia utilizzando un particolare indirizzo IP a una certa ora. Invariabilmente, i dati del provider sono privati e le agenzie che volessero accedervi dovrebbero ottenere una appropriata autorizzazione secondo la vigente normativa.

Questo modello di indagine è stato offuscato dalla realizzazione di NAT (Network address translation) al bordo della rete, dove un singolo indirizzo IP esterno viene condiviso tra più sistemi locali serviti appunto dal NAT. Questo esercizio può quindi far risalire al dispositivo NAT, ma non oltre. Quindi, con l’accesso a questi dati si può arrivare a comprendere l’interazione sulla rete dell’infrastruttura del cliente, ma non a livello di singoli dispositivi o utenti.

Abbiamo utilizzato questo modo di tracciare l’indirizzo Internet anche durante la diffusione del cavo e delle linee *DSL. Il cliente finale presenta le proprie credenziali al fornitore del servizio e viene dotato di un indirizzo IPv4 come parte della sequenza di avvio della sessione. Il tempo di questa operazione, l’identità del cliente e l’indirizzo IP vengono registrati e quando la sessione viene terminata l’indirizzo è rimesso nel gruppo a disposizione e il rilascio dell’indirizzo viene registrato. L’implicazione è che finché l’investigazione può iniziare con una interrogazione che include un indirizzo IP e un orario, è molto probabile che l’utente finale possa essere identificato.

Ma, come il commento del Guardian fa notare, tutto sta cambiando nuovamente. L’esaurimento degli indirizzi IPv4 sta spingendo alcuni dei grandi fornitori di servizi di vendita al dettaglio ad accedere al partito del Carrier-grade NAT aderendo a quella che è già diventata una pratica ben consolidata nel mondo dei servizi di connessione mobile. La stessa settimana del discorso della Regina, BT ha annunciato di voler avviare un test di Carrier Grade NAT per il suo servizio IP di base.

Al centro dell’approccio NAT Carrier Grade c’è il concetto di condivisione di un indirizzo IP pubblico su più clienti contemporaneamente. Un aspetto inevitabile di questo approccio è il concetto di investigazione su Internet e la materia associata delle norme per l’archiviazione dei documenti. Non è più sufficiente presentarsi con un indirizzo IP e un orario. Infatti non sono più informazioni sufficienti per distinguere in modo univoco l’utilizzo della rete di un cliente da un altro. Ma ciò che è richiesto dipende ora dalla particolare tecnologia NAT utilizzata dall’ISP. Se il CGN è un semplice NAT con multiplazione di porte allora è necessario l’indirizzo IP esterno e il numero di porta. Quando combinato con i log degli abbinamenti tra indirizzi interni ed esterni generati dal CGN allora si può risalire all’indirizzo IP interno del cliente, e, utilizzando gli archivi di assegnazione indirizzi del provider, si potrà identificare il cliente.

Dunque in questo contesto è ancora possibile investigare. In un articolo apparso nella newsletter out-law.com (edita dallo studio legale “Pinsent Masons”) intitolato “Secondo BT gli individui possono essere identificati, nonostante la condivisione dell’indirizzo IP” si legge:

BT ha riferito a Out-Law.com che la sua tecnologia CGNAT non impedisce la corretta identificazione degli autori di attività illecite.

“La tecnologia non consente ancora di identificare i singoli clienti se condividono lo stesso indirizzo IP, fino a quando non si conosca anche la porta utilizzata” ha dichiarato un portavoce di BT. “Anche se l’indirizzo IP è condiviso, la combinazione di indirizzo IP e porta sarà sempre unico e come tali queste due informazioni, insieme con il tempo di attività, possono identificare univocamente il traffico proveniente da una linea a banda larga. […] Se poi riceviamo una richiesta per identificare qualcuno che sta usando l’indirizzo IP X, il numero di porta Y, e l’orario Z, la risposta può essere estratta dai log “, ha detto il portavoce. […] “Se invece per l’identificazione di un utente CGNAT ci vengono forniti solo l’indirizzo IP e l’orario, non siamo in grado di risalire alla linea che ha fatto l’attività”, hanno aggiunto.
[http://www.out-law.com/en/articles/2013/may/individuals-can-be-identified-despite-ip-address-sharing-bt-says/]

Ma i NAT con multiplazione di porta sono ancora relativamente poco efficienti in termini di utilizzo degli indirizzi. Una forma più efficiente di NAT con multiplazione usa tutta la quintina della firma di connessione (SrcIPAd, DestIPAd, SrcPort, DestPort, Protocol ndt), in modo che la tabella vincolante del NAT utilizzi una chiave di ricerca dei campi protocollo, sorgente, destinazione e porte. Questo permette al NAT di raggiungere rapporti di condivisione di indirizzi molto più elevati, consentendo a un unico indirizzo IP esterno di essere condiviso da un gruppo costituito fino a migliaia di clienti.

Quindi, quali dati devono essere raccolti dagli ISP per consentire le indagini in questo tipo di ambiente CGN? In questo caso, l’ISP deve raccogliere la completa quintina della vista esterna della connessione, oltre all’ora d’inizio misurata al millisecondo (o anche meglio), insieme ai codici di identificazione degli utenti finali. Una voce del genere nei log occupa circa 512 byte.

Quante singole associazioni CGN, o stati di sessione, genera ogni utente? Un rapporto che ho visto indica una media di circa 33.000 connessioni al giorno per cliente finale. Se questo è il caso, allora l’implicazione è che ogni cliente genererà circa 17 kilobyte di informazioni di log ogni giorno. Per un grande fornitore di servizi con, ad esempio, circa 25 milioni di clienti, equivale a un file di registro giornaliero di 425 terabyte. Se questi archivi CGN sono stati prodotti a un ritmo giornaliero irrealisticamente uniforme, significa che è un flusso costante di dati di circa 40 Gbps. Ad una stima più realistica del periodo di picco equivalente 10 volte la media, il flusso massimo per la trasmissione dei dati del registro è circa 400 Gbps.

Questo è il carico quotidiano; e per quanto riguarda le esigenze di archiviazione a lungo termine dei dati? La domanda critica è quale sia il periodo di conservazione dei dati prevalente. In alcuni ordinamenti sono due anni, mentre in altri fino a sette anni. Continuando con l’esempio, con questo volume di dati per i 7 anni  si occuperà 1.085.875 terabyte o 1 exabyte per usare una unità di misura dei grandi numeri. E questo è senza contemplare copie di backup dei dati! E sì, è senza contemplare una Internet che diventa sempre più pervasiva e quindi, naturalmente, ancora più grande e utilizzata più intensamente negli anni a venire.

Le domande che un tale insieme di dati può soddisfare richiede a suo volta una domanda molto precisa. Non si può più chiedere “chi ha usato questo indirizzo IP in questa data?”; o anche “chi ha usato questo indirizzo IP e questa porta a quest’ora?” Una investigazione in grado di penetrare la nebbia generata dal sovra utilizzo dell’indirizzo CGN richiede che la domanda includa l’IP sorgente, l’IP di destinazione, i numeri di porta (sorgente e di destinazione), il protocollo di trasporto e l’ora esatta del giorno misurata in millisecondi. Tale ultimo requisito di informazioni con tempo esatto è una nuova aggiunta al problema, dato che l’investigazione ora richiede che l’evento in questione sia collocato nel tempo secondo una fonte di orario estremamente accurata in funzione di un fuso orario noto, in modo da trovare una esatta occorrenza nei log del provider. Non è chiaro quanto costerà raccogliere e conservare tali enormi insiemi di dati, ma non può assolutamente essere considerata una attività accessoria a basso costo per alcun ISP.

Nessuna meraviglia che il Regno Unito stia meditando una legislazione per far rispettare tali requisiti di conservazione dei documenti, alla luce delle prossime implementazioni CGN nelle reti dei provider di servizi su larga scala in quella parte del mondo. Senza una imposizione normativa del genere è improbabile che un qualsiasi fornitore di servizi si imbarchi spontaneamente in una tale massiccia raccolta di dati e affronti l’esercizio di una archiviazione a lungo termine. Un commento che ho sentito è che in alcuni ordinamenti può essere più conveniente evitare di raccogliere queste informazioni scegliendo invece di pagare la multa: potrebbe costare meno!

La questione comincia a farsi confusa. L’impatto del CGN su un sistema già grande è serio dato che modifica la granularità dei log dal livello di una connessione a Internet, alla necessità di loggare ogni singolo componente della connessione di ciascun utente: non solo ogni servizio utilizzato e ogni sito visitato, ma anche a livello di ogni immagine, ogni pubblicità scaricata, cioè tutto. Perché quando iniziamo a condividere indirizzi ora possiamo solo distinguere un cliente da un altro a livello di queste singole operazioni di base. Comincia quindi a farsi complicato e assai confuso.

Ma in teoria non ci troveremo necessariamente in una situazione così difficile per il prossimo decennio e oltre.

Si spera che, se mai si completasse il salto verso una Internet tutta in IPv6, la capacità di conservazione dei dati ritornerebbe ad essere un modello molto più semplice con una forte somiglianza al primo modello di registrazione dell’indirizzo IP. Senza la pressione circa la scarsità degli indirizzi IPv6, l’ISP potrà assegnare staticamente un prefisso univoco a ciascun cliente, così che i fornitori di servizi di registrazione dei dati possano tornare a un semplice elenco delle identità dei clienti e del prefisso IPv6 assegnato. In un tale contesto la comunità della cyber-intelligence scoprirebbe che il suo ruolo potrebbe essere svolto con molta meno complessità e gli ISP scoprirebbero che la conformità alle normative, in questo aspetto almeno, sarebbe molto più facile e molto meno costosa!

Esclusione di responsabilità:
Le idee espresse sono dell’autore e non quelle di APNIC, a meno che APNIC sia specificamente identificata nell’autore della comunicazione. APNIC non sarà legalmente responsabile per contratto, controversia o altrimenti per le affermazioni fatte in questa pubblicazione.

Sull’autore:
GEOFF HUSTON, conseguita la Laurea magistrale, è stato per molti anni profondamente coinvolto nello sviluppo di Internet, in particolare in Australia, dove è stato responsabile della prima costruzione di Internet all’interno del settore dell’università e della ricerca. Autore di diversi libri su Internet è da molti anni attivo nella IETF (Internet Engineering Task Force).

www.potaroo.net

“L’opinione della corona sul NAT dei grandi operatori” di Geoff Huston by Antonio Prado is licensed under a Creative Commons Attribution-ShareAlike 4.0 International