Dopo l'ingiustificata e tragica invasione dell'Ucraina da parte della Russia alla fine di febbraio, il mondo ha osservato da vicino mentre le truppe russe tentavano di avanzare attraverso l'Ucraina, solo per essere respinte dal popolo ucraino. Allo stesso modo, abbiamo assistito a una quantità significativa di attività di attacco informatico nella regione. Continuiamo a lavorare per proteggere un numero crescente di siti Web del governo, dei media, finanziari e senza scopo di lucro ucraini e abbiamo protetto il dominio di primo livello ucraino (.ua) per mantenere operativa la presenza dell'Ucraina su Internet.
Allo stesso tempo, abbiamo osservato da vicino attività significative e senza precedenti su Internet in Russia. Il governo russo ha adottato numerose misure per rafforzare il suo controllo sia sulle componenti tecniche che sul contenuto dell'Internet russo. Per contro, il popolo russo sta facendo qualcosa di molto diverso. Ha adottato strumenti per mantenere l'accesso a Internet globale e ha cercato fonti mediatiche non russe. Questo post sul blog riporta tutto ciò che abbiamo osservato.
Il governo russo afferma il controllo su Internet
Negli ultimi cinque anni, il governo russo ha adottato misure per rafforzare il controllo di un Internet sovrano all'interno dei confini della Russia, comprese le leggi che impongono agli ISP russi di installare apparecchiature che consentano al governo di monitorare e bloccare l'attività Internet e richiedono l'istituzione di un servizio esclusivamente russo DNS (esterno a ICANN). E ha creato meccanismi per controllare il modo in cui la Russia era connessa a Internet globale in modo da poter staccare la spina, se necessario.
Dall'invasione russa dell'Ucraina, il governo russo ha fatto una serie di annunci relativi all'attuazione delle sue leggi su Internet sovrane. Alle agenzie governative russe è stato chiesto di passare ai server DNS russi, di trasferire risorse pubbliche a servizi di hosting russi e di adottare una serie di altre misure volte a ridurre la dipendenza da provider non russi. Sebbene alcuni abbiano preso queste iniziative come un annuncio che la Russia intendeva disconnettersi da Internet globale, finora la Russia non sembra aver sfruttato gli strumenti di cui dispone per disconnettersi completamente. Continuiamo infatti a vedere correttamente le connessioni in Russia attraverso infrastrutture non russe.
Nel frattempo, le autorità russe hanno attuato una serie di azioni di blocco mirate nei confronti di siti Web e operatori che ritengono discutibili. Inizialmente, i funzionari hanno preso di mira i siti di social media popolari come Facebook, Instagram e Twitter, nonché gli sbocchi commerciali in lingua russa con sede al di fuori del paese.
Possiamo vedere l'effetto di alcuni di questi blocchi sul traffico degli utenti russi verso diversi siti Web di notizie in Russia e Ucraina prima e dopo l'implementazione dei blocchi.
In ogni caso, questi siti di notizie hanno visto una crescita esponenziale del loro traffico nei giorni intorno all'invasione dell'Ucraina del 24 febbraio. Ma quell'aumento è stato raggiunto nel giro di pochi giorni da azioni per bloccare il traffico verso quei siti. I blocchi hanno avuto diversi gradi di successo nelle prime settimane, anche se ognuno di essi sembra essere riuscito alla fine a negare l'accesso a quelle fonti di notizie attraverso i tradizionali canali Internet.
Ma questa è solo metà della storia. Poiché il governo russo ha adottato misure per controllare i canali tradizionali per l'accesso a Internet, si sono verificati cambiamenti nel modo in cui molti russi hanno utilizzato Internet.
I cittadini russi utilizzano strumenti per ottenere l'accesso a Internet aperto
I russi hanno adottato applicazioni e strumenti che consentono loro di interagire privatamente con Internet ed evitare alcuni dei meccanismi che il governo russo sta utilizzando per controllare e monitorare l'accesso a Internet. Mentre le applicazioni più popolari nell'App Store di Apple nella maggior parte del mondo a marzo continuavano a riguardare social media e giochi, la classifica in Russia sembrava molto diversa:
Tutte le migliori app in Russia a marzo erano per l'accesso privato e sicuro a Internet o app di messaggistica crittografate, inclusa l'app più scaricata: WARP / 1.1.1.1 di Cloudflare (un risolutore DNS ricorsivo basato sulla privacy). Questo elenco di app popolari è in straordinario contrasto con ogni altro paese del mondo.
A causa della popolarità significativa e importante di WARP (1.1.1.1), abbiamo avuto una visione dettagliata di come è andata a finire. Se torniamo all'inizio di febbraio, vediamo che lo strumento WARP di Cloudflare è stato poco utilizzato in Russia. Il suo utilizzo è decollato dal primo fine settimana di guerra e ha raggiunto il picco due settimane fa. Successivamente, dopo che questa migrazione virtuale a tali strumenti sicuri è diventata evidente, abbiamo assistito a tentativi di bloccare l'accesso agli strumenti utilizzati per accedere a Internet in modo sicuro.
Mentre i livelli si sono ridimensionati, un gran numero di russi continua a utilizzare Cloudflare WARP in Russia a livelli enormemente più alti rispetto a prima della guerra.
Oltre al modo in cui i russi utilizzano Internet facendo sempre più affidamento su comunicazioni private e crittografate, abbiamo assistito anche a un cambiamento in ciò a cui stanno cercando di accedere. Ecco un grafico delle richieste DNS da parte di utenti russi per un noto quotidiano statunitense. Il traffico DNS recente per il sito è quintuplicato rispetto ai livelli prebellici, indicando che i russi stanno cercando di accedere a quella fonte di notizie.
Ed ecco il traffico DNS secondo una importante fonte di notizie francese. Ancora una volta, le ricerche DNS sono cresciute enormemente mentre i russi provano ad accedervi.
Ed ecco un giornale britannico.
Da questi tre grafici il quadro è chiaro. I russi vogliono accedere a fonti di notizie non russe e, in base alla popolarità degli strumenti di accesso privato a Internet e delle VPN, sono disposti a faticare.
In prima linea contro gli attacchi informatici
Oltre ai servizi che siamo stati in grado di fornire ai cittadini medi in Russia, i nostri server ai margini di Internet nel paese ci hanno anche permesso di rilevare e bloccare gli attacchi che hanno origine lì. Se gli attacchi vengono mitigati all'interno della Russia, non viaggiano mai al di fuori dei confini russi. Questo è sempre stato parte della proposta della rete distribuita di Cloudflare: identificare e bloccare gli attacchi informatici (in particolare gli attacchi DDoS) a livello locale e prima che possano decollare.
Ecco come è stata l'attività DDoS originata in Russia e bloccata lì da Cloudflare dall'inizio di febbraio. La normale attività DDoS originata dalle reti russe e bloccata dai server di Cloudflare è relativamente bassa per tutto febbraio, ma poi cresce enormemente a metà marzo.
È importante notare che essere in grado di identificare l'origine del traffico di attacchi informatici non equivale a poter attribuire la posizione dell'autore dell'attacco. L'attribuzione degli attacchi informatici è molto difficile ma bisogna prestarvi particolare attenzione. È relativamente comune per gli aggressori informatici lanciare attacchi da località remote in tutto il mondo. Ciò accade spesso quando sono in grado di dirottare dispositivi in altri paesi attraverso cose come il danneggiamento dell'IoT (Internet of Things).
Ma anche con tali sotterfugi, abbiamo comunque assistito a un aumento significativo del numero di attacchi bloccati che stanno colpendo i nostri server in Russia.
Alcune settimane fa, mentre l'invasione dell'Ucraina era nelle sue fasi iniziali, ho notato che "la Russia ha bisogno di più Internet, non meno". In un momento di sanzioni economiche senza precedenti da parte degli Stati Uniti e dell'Europa, ci sono state richieste a tutte le società straniere di andare oltre e di uscire completamente dalla Russia, comprese le richieste ai fornitori di Internet di disconnettere completamente la Russia. Per essere chiari, Cloudflare ha vendite e attività commerciali minime in Russia, non abbiamo mai avuto un'entità aziendale, un ufficio o dipendenti lì, e abbiamo adottato misure per assicurarci di non pagare tasse o commissioni al governo russo. Ma dato l'impatto significativo dei nostri servizi sulla disponibilità e sulla sicurezza di Internet, riteniamo che rimuovere del tutto i nostri servizi dalla Russia farebbe più male che bene.
Sebbene apprezziamo profondamente la motivazione degli appelli alle aziende per uscire dalla Russia, questo ritiro da parte delle società Internet può avere l'effetto indesiderato di far avanzare e consolidare gli interessi del governo russo per controllare Internet in Russia. Gli sforzi per escludere la Russia dall'Internet globale tramite ICANN e RIPE escluderanno solo il popolo russo dalle informazioni sulla guerra in Ucraina a cui il governo russo non vuole che accedano. Dopo che un certo numero di autorità di certificazione con sede negli Stati Uniti hanno smesso di emettere certificati SSL per i siti Web russi, la Russia ha risposto a inizio marzo incoraggiando i cittadini russi a scaricare una CA (Certificate Authority) root russa. Come osservato da EFF, "la misura provvisoria dello stato russo per mantenere attivi i suoi servizi consente anche di spiare i russi, ora e in futuro".
Questo è il motivo per cui c'è stato un accordo quasi universale da parte degli esperti sul fatto che è imperativo che l'Internet russo rimanga il più aperto possibile per il popolo. Decine di gruppi della società civile hanno esortato i governi a lavorare per contrastare le azioni autoritarie “e garantire che le sanzioni e altre misure volte a ripudiare le azioni illegali del governo russo non si ritorcano contro, rafforzando gli sforzi di Putin per affermare il controllo delle informazioni". Gli attivisti russi per i diritti digitali hanno chiesto ai provider di servizi di offrire ai russi l'accesso gratuito alla VPN, in modo che non vengano lasciati isolati dalle fonti di notizie globali. Anche il Dipartimento di Stato degli Stati Uniti ha chiarito, "È fondamentale mantenere il flusso di informazioni al popolo russo nella misura più ampia possibile".
Sostenendo la nostra missione di aiutare a costruire un Internet migliore, sono state sei settimane impegnative per il nostro team che ha monitorato questi sviluppi e lavorato 24 ore su 24 per assicurarsi che le proprietà Web ucraine siano difese e che i normali russi possano accedere a Internet globale. Rimaniamo in soggezione per i coraggiosi ucraini che si alzano in difesa della loro patria e continuiamo a sperare che la pace prevalga.
