Vodafone blocca i siti vietati, ma dal server si vedono gli indirizzi

Feb 26, 2018 Marco Schiaffino In evidenza, Leaks, News, RSS, Tecnologia 0

L’indirizzo IP a cui vengono dirottati i collegamenti permette di ottenere l’elenco completo dei siti bloccati. Compresi quelli pedo-pornografici.

Quanto sono efficaci i blocchi adottati dagli Internet Provider in Italia per arginare il fenomeno della pedo-pornografia sul Web? Il tema è spinoso e da tempo oggetto di discussione, ma nel caso di Vodafone rischiava di trasformarsi in un vero boomerang.

Il caso è stato segnalato a Security Info da un ricercatore che si è imbattuto per caso nella pagina che il provider usa come “vicolo cieco” per bloccare i tentativi di connessione ai siti bloccati dalla Polizia Postale. In questo caso, però, il blocco si è trasformato in un assist per chi cerca siti dai contenuti odiosi: interrogando il server, infatti, era possibile ottenere l’elenco completo degli indirizzi che fanno parte della blacklist del provider italiano.

Il fattaccio è legato a un’errata impostazione del server e per capire il problema occorre fare un passo indietro. Quando viene individuato un sito Internet con contenuti illegali (dalla pirateria alla pedo-pornografia) le forze di polizia lo segnalano a tutti i provider e chiedono di impedire il collegamento al dominio.

Questo, normalmente, viene fatto attraverso la “forzatura” dei server DNS (quelli che risolvono gli indirizzi Web con il corrispettivo indirizzo IP – ndr) facendo in modo che tutti i tentativi di collegamento a quel dominio puntino a un indirizzo IP gestito dal provider stesso.

Insomma, una sorta di “buco nero” in cui si infilano tutte le connessioni a siti censurati. Quello di cui si è accorto il ricercatore che ha contattato Security Info (e che ha chiesto di mantenere l’anonimato) è che, nel caso di Vodafone, il server consente di effettuare interrogazioni attraverso reverse DNS lookup.

Reverse lookup è un comando che consente di eseguire l’operazione inversa rispetto a quella che viene fatta normalmente dai server DNS. Se di solito le richieste permettono di trovare l’indirizzo IP a cui punta un dominio, reverse lookup consente di ottenere il dominio a cui fa riferimento quell’indirizzo IP. In pratica è come quando si usa il sito delle pagine bianche non per trovare il numero di telefono di una persona che conosciamo, ma per sapere di chi è il numero di telefono che ci ha chiamato, solo che in questo caso lo stesso numero di telefono fa capo a una intera squadra di delinquenti.

Nel caso di Vodafone, infatti, il risultato è che si ottiene un elenco completo dei domini bloccati. Parliamo di decine di migliaia di siti e dentro c’è un po’ di tutto. La parte del leone, però, la fanno i siti dedicati alla pornografia infantile. “È come offrire un servizio di pagine gialle per pedofili” ha sintetizzato il nostro interlocutore quando ci ha spiegato i termini della questione.

Ogni interrogazione da come risultato migliaia di indirizzi che corrispondono a siti bloccati su ordine delle forze di polizia.

“Considerato che molti utenti di questo tipo di siti sanno benissimo come raggiungerli aggirando i blocchi” – ha proseguito – “il risultato finale è che al posto di arginare il fenomeno lo si favorisce”.

Insomma: chi finisce su quell’indirizzo cercando magari un sito dedicato alla pornografia infantile che è stato bloccato, si ritrova con la possibilità di scaricare un elenco spaventoso di altri siti simili. Certo, l’operazione non è banale dal momento che bisogna masticare un po’ di Internet per pensare a fare un reverse lookup, ma sappiamo bene che qualcuno che ci pensa c’è sempre e una volta che la voce inizia a circolare, è tutt’altro che complicato replicare la procedura.

Visto che i siti sono bloccati solo attraverso DNS, basta modificare le impostazioni per la connessione utilizzando dei DNS più “spregiudicati” o utilizzare un metodo di navigazione alternativa (come una VPN/Proxy) per raggiungerli aggirando il blocco.

Senza contare che anche i DNS “indipendenti”, per esempio quelli aziendali, in determinate condizioni funzionano in un modo che permette di aggirare i filtri di questo tipo.

Prima di pubblicare questo articolo abbiamo contattato Vodafone per avvisarli del problema e dargli la possibilità di correggere le impostazioni e risolvere il problema. Un compito non facile, che ha richiesto più di una settimana di lavoro.

“Bloccare completamente l’accesso a un dominio senza lasciare accesso a informazioni come quelle che erano disponibili interrogando il server di Vodafone non è facile” conferma Marco Carlo Spada, ingegnere informatico esperto di sicurezza.

Stando a quanto Security Info è riuscita a ricostruire, infatti, il problema è collegato al modo in cui i domini bloccati sono stati associati al server Vodafone usato come “buco nero” per impedire il collegamento.

“È probabile che i tecnici abbiano usato delle procedure standard o uno script automatico che prevedono anche la registrazione del Reverse Lookup del dominio” spiega Spada.

“Nel caso di questo particolare server, però, non era proprio il caso di farlo. Prima di tutto perché non è vero (il server non ospita i siti in questione ma è solo un “vicolo cieco” impostato da Vodafone – ndr) in secondo luogo perché si finiva per fornire informazioni che non dovrebbero circolare. In definitiva possiamo dire che si è trattato di un eccesso di zelo”.

Il problema è che questa funzione opera a un livello piuttosto elevato (cioè a quello di domini di primo livello .arpa) e ogni modifica richiede una comunicazione con soggetti terzi, cioè quelli che gestiscono ARPA. Di più: come ci ha spiegato Spada, è impossibile chiedere un annullamento della registrazione “in blocco”.

Il .arpa è un dominio di primo livello generico con scopi infrastrutturali. È stato introdotto nel 1985 e doveva servire temporaneamente per la transizione dalla rete ARPAnet al sistema DNS. Ma visto che gestisce il Reverse DNS Lookup, è ancora in funzione.

Probabilmente (ma ricordiamoci che siamo nel campo delle ipotesi, perché da Vodafone non abbiamo avuto conferme in questo senso) per rimuovere le informazioni i tecnici hanno dovuto darsi parecchio da fare chiedendo l’annullamento della Reverse Lookup per ogni singolo dominio associato al server.

Tutta la vicenda, però, riaccende i riflettori sui limiti che incontra questa tecnica per bloccare l’accesso a siti odiosi o illegali. “Dovremmo sempre ricordarci che Internet è pensata per consentire il traffico anche quando ci sono ostacoli che lo impediscono” spiega Spada. “La sua stessa natura rende estremamente difficile impostare un blocco che non possa essere aggirato in qualche modo”.

Uno dei maggiori limiti è proprio quello legato alla natura nazionale o “regionale”. Per ottenere una buona efficacia bisognerebbe agire a livello internazionale, coordinando diverse giurisdizioni. Qualcosa che a oggi è difficilissimo da fare.

“Il problema è che quello che viene considerato illegale in una nazione può non esserlo in un’altra” conferma Spada. “Organizzare un filtro ad alto livello è di conseguenza molto difficile”.

Condividi l'articolo