Iscriviti per ricevere notifiche di nuovi post:

Le conseguenze indesiderate del blocco degli indirizzi IP

2022-12-16

Lettura di 16 min

Alla fine di agosto, il team di assistenza clienti di Cloudflare ha iniziato a ricevere lamentele sui siti della nostra rete che non funzionavano in Austria. Il nostro team si è attivato immediatamente per cercare di identificare l'origine di quella che dall'esterno sembrava un'interruzione parziale di Internet in Austria. Ci siamo subito resi conto che si trattava di un problema con i provider di servizi Internet austriaci locali.

The unintended consequences of blocking IP addresses

Ma l'interruzione del servizio non è stata il risultato di un problema tecnico. Come abbiamo poi appreso dalla stampa, quello che stavamo vedendo era il risultato di un ordine del tribunale. Senza alcun preavviso a Cloudflare, un tribunale austriaco aveva ordinato ai provider di servizi Internet (ISP) austriaci di bloccare 11 degli indirizzi IP di Cloudflare.

Nel tentativo di bloccare 14 siti Web che i detentori del copyright sostenevano violassero il copyright, il blocco IP ordinato dal tribunale ha reso migliaia di siti Web inaccessibili ai normali utenti di Internet in Austria per un periodo di due giorni. Cosa hanno fatto di sbagliato le migliaia di altri siti? Nulla. Sono stati una temporanea vittima dell'incapacità di costruire rimedi legali e sistemi che riflettessero l'attuale architettura di Internet.

Oggi ci addentreremo in una discussione sul blocco degli IP: perché lo vediamo, cos'è, cosa fa, chi colpisce e perché è un modo così problematico per indirizzare i contenuti online.

Effetti collaterali, grandi e piccoli

La cosa più folle è che questo tipo di blocco si verifica regolarmente, in tutto il mondo ma a meno che quel blocco non avvenga sulla scala di ciò che è accaduto in Austria, o qualcuno decida di evidenziarlo, è tipicamente invisibile al mondo esterno. Perfino Cloudflare, con una profonda competenza tecnica e comprensione di come funziona il blocco, non può vedere regolarmente quando un indirizzo IP viene bloccato.

Per gli utenti di Internet, è ancora meno chiaro. Generalmente non sanno perché non possono connettersi a un determinato sito Web, da dove proviene il problema di connessione o come risolverlo. Sanno semplicemente che non riescono ad accedere al sito che stavano cercando di visitare e questo può rendere difficile documentare quando i siti sono diventati inaccessibili a causa del blocco degli indirizzi IP.  

Anche le pratiche di blocco sono molto diffuse. Nel loro rapporto Freedom on the Net, Freedom House ha recentemente riferito che 40 dei 70 paesi che hanno esaminato, tra cui Russia, Iran ed Egitto a democrazie occidentali come il Regno Unito e la Germania, hanno effettuato una qualche forma di blocco dei siti Web. Sebbene il rapporto non approfondisca esattamente il modo in cui questi paesi applicano il blocco, molti di loro utilizzano forme di blocco degli IP, con lo stesso tipo di effetti potenziali per un arresto parziale di Internet che abbiamo visto in Austria.

Sebbene possa essere difficile valutare l'entità del danno collaterale derivante dal blocco degli indirizzi IP, abbiamo esempi in cui le organizzazioni hanno tentato di quantificarlo. In concomitanza con un caso dinanzi alla Corte europea dei diritti dell'uomo, l'European Information Society Institute, un'organizzazione no profit con sede in Slovacchia, ha riesaminato il regime russo per il blocco dei siti Web nel 2017. La Russia ha utilizzato esclusivamente indirizzi IP per bloccare i contenuti. L'European Information Society Institute ha concluso che il blocco dell'IP ha portato al "blocco di siti Web collaterali su vasta scala" e ha notato che a partire dal 28 giugno 2017, "in Russia sono state bloccate 6.522.629 risorse Internet, 6.335.850 delle quali (ovvero il 97%) sono state bloccate in maniera collaterale, vale a dire senza giustificazione legale".

Nel Regno Unito, il blocco eccessivo ha spinto l'Open Rights Group senza scopo di lucro a creare il sito Web Blocked.org.uk. Questo sito Web dispone di uno strumento che consente agli utenti e ai proprietari del sito di segnalare l'overblocking e richiedere agli ISP di rimuovere i blocchi. Il gruppo ha anche centinaia di storie individuali sull'effetto del blocco su coloro i cui siti Web sono stati bloccati in modo inappropriato, dagli enti di beneficenza ai proprietari di piccole imprese. Sebbene non sia sempre chiaro quali metodi di blocco vengano utilizzati, il fatto che il sito sia necessario ci fa capire la quantità di overblocking che si verifica. Immaginiamo una sarta, un orologiaio o un rivenditore di auto che cerca di pubblicizzare i propri servizi e potenzialmente acquisire nuovi clienti con il proprio sito Web. Ciò non funziona se gli utenti locali non possono accedere al sito.

Una reazione potrebbe essere: "Beh, assicurati solo che non ci siano siti con restrizioni che condividono un indirizzo con siti senza restrizioni". Ma come discuteremo più in dettaglio, questo ignora la grande differenza tra il numero di possibili nomi di dominio e il numero di indirizzi IP disponibili, e va contro le stesse specifiche tecniche che potenziano Internet. Inoltre, le definizioni di limitato e illimitato sono diverse tra nazioni, comunità e organizzazioni. Anche se fosse possibile conoscere tutte le restrizioni, i progetti dei protocolli (e di Internet stesso) significano che non è fattibile, se non impossibile, soddisfare i vincoli di ogni agenzia.

Problemi legali e diritti umani

L'overblocking dei siti Web non è solo un problema per gli utenti, ha anche implicazioni legali. A causa dell'effetto che può avere sui comuni cittadini che desiderano esercitare i propri diritti online, gli enti governativi (sia i tribunali che gli organismi di regolamentazione) hanno l'obbligo legale di assicurarsi che i loro ordini siano necessari e proporzionati e non pregiudichino inutilmente coloro che  non contribuiscono al danno.

Sarebbe difficile immaginare, ad esempio, che un tribunale in risposta a presunti illeciti emettesse ciecamente un mandato di perquisizione o un ordine basato esclusivamente su un indirizzo stradale senza preoccuparsi se quell'indirizzo fosse di una casa unifamiliare, un condominio di sei unità edificio o un grattacielo con centinaia di unità separate. Questo tipo di pratiche con gli indirizzi IP sembra invece essere la norma.

Nel 2020, la Corte europea dei diritti dell'uomo (CEDU), il tribunale che sovrintende all'attuazione della Convenzione europea dei diritti dell'uomo del Consiglio d'Europa, ha esaminato un caso riguardante un sito Web bloccato in Russia non perché era stato preso di mira dal governo russo, ma perché condivideva un indirizzo IP con un sito Web bloccato. Il proprietario del sito Web ha fatto causa al blocco. La CEDU ha concluso che il blocco indiscriminato era inammissibile, dichiarando che il blocco del contenuto lecito del sito "costituisce un'interferenza arbitraria con i diritti dei proprietari di tali siti Web". In altre parole, la Corte europea dei diritti dell'uomo ha stabilito che era improprio per un governo emettere ordini che comportassero il blocco di siti non presi di mira.

Utilizzo dell'infrastruttura Internet per affrontare le sfide relative ai contenuti

Gli utenti di Internet normalmente non pensano molto a come viene loro fornito il contenuto a cui provano ad accedere online. Presumono che quando digitano un nome di dominio nel proprio browser, il contenuto verrà visualizzato automaticamente e, in caso contrario, tendono a presumere che il sito Web stesso stia riscontrando problemi a meno che la loro intera connessione Internet non sembri interrotta. Ma questi presupposti di base ignorano la realtà che le connessioni a un sito Web vengono spesso utilizzate per limitare l'accesso ai contenuti online.

Perché i paesi bloccano le connessioni ai siti Web? Forse vogliono impedire ai propri cittadini di accedere a ciò che ritengono essere contenuti illegali, come il gioco d'azzardo online o materiale esplicito, che è consentito in altre parti del mondo. Forse vogliono impedire la visualizzazione di una fonte di notizie straniera che ritengono essere principalmente disinformazione. O forse ancora vogliono supportare i detentori del copyright che cercano di bloccare l'accesso a un sito Web per limitare la visualizzazione di contenuti che ritengono violino la loro proprietà intellettuale.

Giusto per chiarezza, bloccare l'accesso non è la stessa cosa che rimuovere contenuti da InternetEsistono numerosi obblighi legali e autorità progettati per consentire l'effettiva rimozione di contenuti illegali. In effetti, l'aspettativa legale in molti paesi è che il blocco sia una questione di ultima istanza, dopo che sono stati fatti tentativi per rimuovere il contenuto alla fonte.

Il blocco impedisce solo a determinati visualizzatori, quelli il cui accesso a Internet dipende dall'ISP che sta effettuando il blocco, di accedere ai siti Web. Il sito stesso continua ad esistere online ed è accessibile da tutti gli altri. Tuttavia, quando il contenuto proviene da un luogo diverso e non può essere rimosso facilmente, un paese potrebbe considerare il blocco come il migliore o addirittura l'unico approccio.

Capiamo le preoccupazioni che a volte spingono i paesi a implementare il blocco, ma fondamentalmente, riteniamo che sia importante che gli utenti sappiano quando i siti Web a cui stanno provando ad accedere sono stati bloccati e, per quanto possibile, chi li ha bloccati e perché. Ed è fondamentale che qualsiasi restrizione sui contenuti sia il più limitata possibile per affrontare il danno in modo da evitare di violare i diritti degli altri.

Il blocco degli indirizzi IP con la forza bruta non consente queste cose. È completamente invisibile per gli utenti di Internet e la procedura ha conseguenze indesiderate e inevitabili su altri contenuti. E la struttura stessa di Internet implica che non esiste un buon modo per identificare quali altri siti Web potrebbero essere interessati prima o durante un blocco IP.

Per capire cosa è successo in Austria e cosa succede in molti altri paesi del mondo che cercano di bloccare i contenuti con la franchezza degli indirizzi IP, dobbiamo capire cosa succede dietro le quinte. Ciò significa immergersi in alcuni dettagli tecnici.

L'identità è legata ai nomi, mai agli indirizzi

Prima ancora di iniziare a descrivere le realtà tecniche del blocco, è importante sottolineare che la prima e migliore opzione per gestire i contenuti è alla fonte. Il proprietario di un sito Web o un provider di hosting ha la possibilità di rimuovere i contenuti a livello granulare, senza dover rimuovere un intero sito Web. Dal punto di vista più tecnico, un registrar o un registro di nomi di dominio può potenzialmente ritirare del tutto un nome di dominio, e quindi un sito Web, da Internet.

Ma come si blocca l'accesso a un sito Web se, per qualsiasi motivo, il proprietario o la fonte del contenuto non è in grado o non vuole rimuoverlo da Internet?  Vi sono solo tre possibili punti di controllo.

Il primo è tramite il Domain Name System (DNS), che traduce i nomi di dominio in indirizzi IP in modo che il sito possa essere trovato. Invece di restituire un indirizzo IP valido per un nome di dominio, il resolver DNS potrebbe mentire e rispondere con un codice, NXDOMAIN, che significa che "non esiste un nome simile". Un approccio migliore sarebbe utilizzare uno dei numeri di errore onesti standardizzati nel 2020, incluso l'errore 15 per bloccato, l'errore 16 per censurato, 17 per filtrato o 18 per proibito, sebbene questi non siano attualmente ampiamente utilizzati.

È interessante notare che la precisione e l'efficacia del DNS come punto di controllo dipende dal fatto che il resolver DNS sia privato o pubblico. I resolver DNS privati o "interni" sono gestiti da ISP e ambienti aziendali per i propri clienti noti, il che significa che gli operatori possono essere precisi nell'applicare restrizioni sui contenuti. Per contro, quel livello di precisione non è disponibile per resolver aperti o pubblici, anche perché il routing e l'indirizzamento sono globali e in continua evoluzione sulla mappa di Internet, in netto contrasto con indirizzi e percorsi su una mappa postale o stradale fissa. Ad esempio, i resolver DNS privati potrebbero essere in grado di bloccare l'accesso ai siti Web all'interno di aree geografiche specifiche con almeno un certo livello di accuratezza in un modo che i resolver DNS pubblici non possono, il che diventa estremamente importante dati i regimi di blocco disparati (e incoerenti) in tutto il mondo.

Il secondo approccio consiste nel bloccare le singole richieste di connessione a un nome di dominio limitato. Quando un utente o un cliente desidera visitare un sito Web, viene avviata una connessione dal client al nome di un server, ad esempio il nome dominio. Se una rete o un dispositivo su percorso è in grado di osservare il nome del server, la connessione può essere interrotta. A differenza del DNS, non esiste alcun meccanismo per comunicare all'utente che l'accesso al nome del server è stato bloccato o perché.

Il terzo approccio consiste nel bloccare l'accesso a un indirizzo IP in cui è possibile trovare il nome di dominio. È un po' come bloccare la consegna di tutta la posta a un indirizzo fisico. Considera, ad esempio, se quell'indirizzo è un grattacielo con i suoi numerosi occupanti indipendenti e indipendenti. Smettere di consegnare la posta all'indirizzo del grattacielo provoca danni collaterali colpendo invariabilmente tutte le parti a quell'indirizzo. Gli indirizzi IP funzionano allo stesso modo.

In particolare, l'indirizzo IP è l'unica delle tre opzioni che non ha alcun allegato al nome di dominio. Il nome di dominio del sito Web non è necessario per l'instradamento e la consegna dei pacchetti di dati; infatti viene completamente ignorato. Un sito Web può essere disponibile su qualsiasi indirizzo IP o anche su molti indirizzi IP contemporaneamente. E l'insieme di indirizzi IP su cui si trova un sito Web può cambiare in qualsiasi momento. L'insieme degli indirizzi IP non può essere conosciuto in modo definitivo interrogando il DNS che è stato in grado di restituire qualsiasi indirizzo valido in qualsiasi momento per qualsiasi motivo, dal 1995.

L'idea che un indirizzo sia rappresentativo di un'identità è un anatema per il design di Internet, perché il disaccoppiamento dell'indirizzo dal nome è profondamente radicato negli standard e nei protocolli di Internet, come spiegato di seguito.

Internet è un insieme di protocolli, non una politica o una prospettiva

Molte persone presumono ancora erroneamente che un indirizzo IP rappresenti un singolo sito Web. Abbiamo già riportato che l'associazione tra nomi e indirizzi è comprensibile dato che i primi componenti connessi di Internet apparivano come un computer, un'interfaccia, un indirizzo e un nome. Questa associazione uno a uno era un artefatto dell'ecosistema in cui era distribuito il protocollo Internet e soddisfaceva le esigenze del tempo.

Nonostante la pratica di denominazione uno a uno del primo Internet, è sempre stato possibile assegnare più di un nome a un server (o "host"). Ad esempio, un server era (ed è tuttora) spesso configurato con nomi che riflettessero le sue offerte di servizi come 'mail.example.com' e 'www.example.com',ma questi condividevano un nome di dominio di base. C'erano pochi motivi per avere nomi di dominio completamente diversi fino alla necessità di collocare siti Web completamente diversi su un singolo server. Tale pratica è stata facilitata nel 1997 dall'intestazione Host in HTTP/1.1, una funzionalità preservata dal campo SNI in una estensione TLS nel 2003.

Nel corso di questi cambiamenti, il protocollo Internet e, separatamente, il protocollo DNS, non solo hanno tenuto il passo, ma sono rimasti fondamentalmente invariati. Sono la vera ragione per cui Internet è stato in grado di scalare ed evolversi, perché riguardano gli indirizzi, la raggiungibilità e le relazioni arbitrarie tra nome e indirizzo IP.

Anche i design di IP e DNS sono completamente indipendenti, il che rafforza solo il fatto che i nomi sono separati dagli indirizzi. Un esame più attento degli elementi di progettazione dei protocolli illumina le percezioni errate delle politiche che portano alla pratica comune odierna di controllare l'accesso ai contenuti bloccando gli indirizzi IP.

In base alla progettazione, l'IP è per la raggiungibilità e nient'altro

Proprio come i grandi progetti di ingegneria civile pubblica si basano su codici di costruzione e best practice, Internet è costruito utilizzando una serie di standard aperti e specifiche informate dall'esperienza e concordate per consenso internazionale. Gli standard Internet che collegano hardware e applicazioni sono pubblicati dall'Internet Engineering Task Force (IETF) sotto forma di "Richieste di commenti" o RFC, così chiamate non per suggerire incompletezza, ma per riflettere che gli standard devono essere in grado di evolversi con la conoscenza e l'esperienza. L'IETF e le sue RFC sono cementati nel tessuto stesso delle comunicazioni, ad esempio, con il primo RFC 1 pubblicato nel 1969. La specifica del protocollo Internet (IP) ha raggiunto lo stato RFC nel 1981.

Accanto alle organizzazioni di standardizzazione, il successo di Internet è stato aiutato da un'idea fondamentale nota come principio end-to-end (e2e), anch'essa codificata nel 1981, in seguito ad anni di tentativi ed errori. Il principio end-to-end è una potente astrazione che, pur assumendo molte forme, manifesta una nozione fondamentale della specifica del protocollo Internet: l'unica responsabilità della rete è stabilire la raggiungibilità, e ogni altra possibile caratteristica ha un costo o un rischio.

L'idea di "raggiungibilità" nel protocollo Internet è racchiusa anche nella progettazione degli stessi indirizzi IP. Guardando le specifiche del protocollo Internet, RFC 791, il seguente estratto dalla Sezione 2.3 è esplicito riguardo agli indirizzi IP che non hanno alcuna associazione con nomi, interfacce o altro.

Proprio come gli indirizzi postali dei grattacieli nel mondo fisico, gli indirizzi IP non sono altro che indirizzi stradali scritti su un pezzo di carta. E proprio come un indirizzo sulla carta, non si può mai essere sicuri delle entità o delle organizzazioni che esistono dietro un indirizzo IP. In una rete come quella di Cloudflare, ogni singolo indirizzo IP rappresenta migliaia di server, e può avere espressamente ancora più siti Web e servizi, in alcuni casi dell'ordine di milioni, perché il protocollo Internet è progettato per abilitarlo.

Addressing

    A distinction is made between names, addresses, and routes [4].   A
    name indicates what we seek.  An address indicates where it is.  A
    route indicates how to get there.  The internet protocol deals
    primarily with addresses.  It is the task of higher level (i.e.,
    host-to-host or application) protocols to make the mapping from
    names to addresses.   The internet module maps internet addresses to
    local net addresses.  It is the task of lower level (i.e., local net
    or gateways) procedures to make the mapping from local net addresses
    to routes.
                            [ RFC 791, 1981 ]

Ecco una domanda interessante: potremmo noi, o qualsiasi fornitore di servizi di contenuti, garantire che ogni indirizzo IP corrisponda a uno e un solo nome? La risposta è un no inequivocabile, e anche qui, a causa di come è progettato un protocollo (in questo caso, DNS).

Il numero di nomi in DNS supera sempre gli indirizzi disponibili

Una relazione uno a uno tra nomi e indirizzi è impossibile date le specifiche di Internet per gli stessi motivi per cui è irrealizzabile nel mondo fisico. Ignora per un momento che le persone e le organizzazioni possono cambiare indirizzo. Fondamentalmente, il numero di persone e organizzazioni sul pianeta supera il numero di indirizzi postali. Non solo vogliamo, ma abbiamo bisogno che Internet accolga più nomi che indirizzi.

Anche la differenza di grandezza tra nomi e indirizzi è codificata nelle specifiche. Gli indirizzi IPv4 sono a 32 bit e gli indirizzi IPv6 sono a 128 bit. La dimensione di un nome di dominio che può essere interrogato dal DNS è di ben 253 ottetti o 2.024 bit (dalla Sezione 2.3.4 in RFC 1035, pubblicata nel 1987). La tabella seguente aiuta a mettere in prospettiva queste differenze:

Il 15 novembre 2022, le Nazioni Unite hanno annunciato che la popolazione della Terra ha superato gli otto miliardi di persone. Intuitivamente, sappiamo che non possono esserci così tanti indirizzi postali. La differenza tra il numero di nomi possibili sul pianeta, e analogamente su Internet, supera e deve superare il numero di indirizzi disponibili.

La prova è nei "pudding name"!

Ora che questi due principi rilevanti sugli indirizzi IP e sui nomi DNS negli standard internazionali sono stati compresi, che l'indirizzo IP e i nomi di dominio servono a scopi distinti e non esiste una relazione uno a uno tra i due, un esame di un recente caso di blocco dei contenuti tramite indirizzi IP può aiutare a vedere i motivi per cui è problematico. Prendiamo, ad esempio, l'incidente di blocco IP in Austria alla fine di agosto 2022. L'obiettivo era limitare l'accesso a 14 domini target, bloccando 11 indirizzi IP (fonte: RTR.Telekom. Post via the Internet Archive), la mancata corrispondenza tra questi due numeri avrebbe dovuto essere un flag di avviso che il blocco IP poteva non avere l'effetto desiderato.

Analogie e standard internazionali possono spiegare le ragioni per cui il blocco IP doveva essere evitato, ma possiamo vedere l'entità del problema osservando i dati su scala Internet. Per comprendere e spiegare meglio la gravità del blocco IP, abbiamo deciso di generare una visione globale dei nomi di dominio e degli indirizzi IP (grazie a uno stagista ricercatore PhD, Sudheesh Singanamalla). A settembre 2022, abbiamo utilizzato i file di zona autoritativi per i domini di primo livello (TLD) .com, .net .info e .org, insieme agli elenchi di siti Web top-1M, per trovare un totale di 255.315.270 nomi univoci. Abbiamo quindi interrogato il DNS da ciascuna delle cinque regioni e registrato il set di indirizzi IP restituiti. La tabella di seguito riassume i nostri risultati:

La tabella precedente chiarisce che non sono necessari più di 10,7 milioni di indirizzi per raggiungere 255.315.270 di nomi da qualsiasi regione del pianeta, e l'insieme totale di indirizzi IP per quei nomi da ogni parte è di circa 16 milioni: il rapporto tra nomi e IP indirizzi è quasi 24 volte in Europa e 16 volte nel resto del mondo.

C'è un altro dettaglio utile dei numeri sopra: gli indirizzi IP sono i totali combinati di entrambi gli indirizzi IPv4 e IPv6, il che significa che sono necessari molti meno indirizzi per raggiungere tutti i 255 milioni di siti Web.

Abbiamo anche ispezionato i dati in diversi modi per trovare alcune osservazioni interessanti. Ad esempio, la figura seguente mostra la distribuzione cumulativa (CDF) della proporzione di siti Web che possono essere visitati con ogni indirizzo IP aggiuntivo. Sull'asse y è la proporzione di siti Web che possono essere raggiunti dato un certo numero di indirizzi IP. Sull'asse x, i 16 milioni di indirizzi IP sono classificati dal maggior numero di domini a sinistra al minor numero di domini a destra. Nota che qualsiasi indirizzo IP in questo set è una risposta del DNS e quindi deve avere almeno un nome di dominio, ma il numero più alto di domini sugli indirizzi IP nel numero impostato è di milioni a 8 cifre.

Guardando il CDF ci sono alcune osservazioni che fanno riflettere:

  • Sono necessari meno di 10 indirizzi IP per raggiungere il 20% o circa 51 milioni di domini nell'insieme;

  • Bastano 100 indirizzi IP per raggiungere quasi il 50% dei domini;

  • Bastano 1000 indirizzi IP per raggiungere il 60% dei domini;

  • Bastano 10.000 indirizzi IP per raggiungere l'80%, ovvero circa 204 milioni di domini.

Infatti, dall'insieme totale di 16 milioni di indirizzi, meno della metà degli indirizzi nel set di dati, ovvero 7,1 milioni (43,7%), aveva un unico nome. Per questo termine "unico" dobbiamo chiarire anche che non siamo in grado di accertare che ci sia uno e nessun altro nome su quegli indirizzi perché ci sono molti più nomi di dominio di quelli contenuti solo in .com, .org, .info. e .net; potrebbero benissimo esserci altri nomi su quegli indirizzi.

Oltre ad avere un numero di domini su un singolo indirizzo IP, qualsiasi indirizzo IP può cambiare nel tempo per uno qualsiasi di questi domini.  La modifica periodica degli indirizzi IP può essere utile con determinate misure di sicurezza, prestazioni e per migliorare l'affidabilità dei siti Web. Un esempio comune utilizzato da molte operazioni è il bilanciamento del carico. Ciò significa che le query DNS possono restituire indirizzi IP diversi nel tempo, o in luoghi diversi, per gli stessi siti Web. Questo è un ulteriore motivo separato per cui il blocco basato sugli indirizzi IP non servirà allo scopo previsto nel tempo.

In definitiva, non esiste un modo affidabile per conoscere il numero di domini su un indirizzo IP senza ispezionare tutti i nomi nel DNS, da ogni luogo del pianeta, in ogni momento: una proposta del tutto irrealizzabile.

Qualsiasi azione su un indirizzo IP deve, in base alle stesse definizioni dei protocolli che regolano e autorizzano Internet, avere effetti collaterali.

Mancanza di trasparenza con il blocco IP

Quindi, se dobbiamo aspettarci che il blocco di un indirizzo IP abbia effetti collaterali, ed è generalmente accettato che sia inappropriato o addirittura legalmente inammissibile bloccare l'overblock bloccando gli indirizzi IP che hanno più domini su di essi, perché succede ancora? È difficile saperlo con certezza, quindi possiamo solo tirare a indovinare. A volte riflette una mancanza di comprensione tecnica sui possibili effetti, in particolare da parte di entità come giudici che non sono tecnologi. A volte i governi semplicemente ignorano il danno collaterale, come fanno con le chiusure di Internet, perché vedono il blocco come nel loro interesse. E quando c'è un danno collaterale, di solito non è ovvio per il mondo esterno, quindi può esserci pochissima pressione esterna per affrontarlo.

Vale la pena sottolineare questo punto. Quando un IP è bloccato, un utente vede solo una connessione non riuscita. Non sanno perché la connessione è fallita o chi l'ha causata. Dall'altro lato, il server che agisce per conto del sito Web non sa nemmeno di essere stato bloccato fino a quando non inizia a ricevere lamentele sul fatto che non è disponibile. Non c'è praticamente alcuna trasparenza o responsabilità per l'overblocking. E può essere difficile, se non impossibile, per un proprietario di un sito Web contestare un blocco o chiedere un risarcimento per essere stato bloccato in modo inappropriato.  

Alcuni stati, tra cui l'Austria, pubblicano elenchi di blocchi attivi, che è un passo importante per la trasparenza. Ma per tutti i motivi che abbiamo discusso, la pubblicazione di un indirizzo IP non rivela tutti i siti che potrebbero essere stati bloccati involontariamente. E non offre alle persone colpite un mezzo per sfidare l'overblocking. Ancora una volta, nell'esempio del mondo fisico, è difficile immaginare un ordine del tribunale per un grattacielo che non può essere affisso sulla porta, ma spesso sembriamo ignorare tali requisiti di processo e preavviso nello spazio virtuale.

Riteniamo che parlare delle conseguenze problematiche del blocco degli IP sia più importante che mai poiché un numero crescente di paesi spinge per bloccare i contenuti online. Sfortunatamente, gli ISP utilizzano spesso i blocchi IP per implementare tali requisiti. Può darsi che l'ISP sia più nuovo o meno robusto delle controparti più grandi, ma anche gli ISP più grandi si impegnano nella pratica, e comprensibilmente perché il blocco IP richiede il minimo sforzo ed è prontamente disponibile nella maggior parte delle apparecchiature.

E poiché sempre più domini sono inclusi nello stesso numero di indirizzi IP, il problema non farà che peggiorare.

Fasi successive

Quindi cosa possiamo fare?

Riteniamo che il primo passo sia migliorare la trasparenza sull'uso del blocco IP. Sebbene non siamo a conoscenza di alcun modo completo per documentare il danno collaterale causato dal blocco IP, riteniamo che ci siano misure che possiamo adottare per espandere la consapevolezza della pratica. Ci impegniamo a lavorare su nuove iniziative che evidenzino tali informazioni, come abbiamo fatto con Cloudflare Radar Outage Center.

Riconosciamo anche che questo è un problema dell'Internet e quindi deve far parte di uno sforzo più ampio. La significativa probabilità che il blocco in base all'indirizzo IP si traduca nella limitazione dell'accesso a un'intera serie di domini non correlati (e non mirati) dovrebbe renderlo un punto di partenza per tutti. Ecco perché ci stiamo impegnando con i partner della società civile e le aziende che la pensano allo stesso modo per prestare la loro voce per sfidare l'uso del blocco degli indirizzi IP come un modo per affrontare le sfide dei contenuti e per segnalare danni collaterali quando li vedono.

Per essere chiari, per affrontare le sfide dei contenuti illegali online, i paesi hanno bisogno di meccanismi legali che consentano la rimozione o la limitazione dei contenuti nel rispetto dei diritti. Riteniamo che indirizzare il contenuto all'origine sia quasi sempre il primo passo necessario. Leggi come il nuovo Digital Services Act dell'UE o il Digital Millennium Copyright Act forniscono strumenti che possono essere utilizzati per affrontare i contenuti illegali alla fonte, nel rispetto di importanti principi del giusto processo. I governi dovrebbero concentrarsi sulla costruzione e l'applicazione di meccanismi legali in modi che incidano meno sui diritti delle altre persone, in linea con le aspettative sui diritti umani.

Molto semplicemente, queste esigenze non possono essere soddisfatte bloccando gli indirizzi IP.

Continueremo a cercare nuovi modi per parlare dell'attività e dell'interruzione della rete, in particolare quando comportano limitazioni non necessarie all'accesso. Consulta Cloudflare Radar per ulteriori approfondimenti su ciò che vediamo online.

Proteggiamo intere reti aziendali, aiutiamo i clienti a costruire applicazioni su scala Internet in maniera efficiente, acceleriamo siti Web e applicazioni Internet, respingiamo gli attacchi DDoS, teniamo a bada gli hacker e facilitiamo il tuo percorso verso Zero Trust.

Visita 1.1.1.1 da qualsiasi dispositivo per iniziare con la nostra app gratuita che rende la tua rete Internet più veloce e sicura.

Per saperne di più sulla nostra missione di contribuire a costruire un Internet migliore, fai clic qui. Se stai cercando una nuova direzione professionale, dai un'occhiata alle nostra posizioni aperte.
Impact WeekBetter InternetInternet Performance

Segui su X

Marwan Fayed|@marwanfayed
Cloudflare|@cloudflare

Post correlati

06 ottobre 2024 alle ore 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...