Caro Paolo, come sempri sollevi molte questioni molto interessanti e complesse. Cerco di reagire come posso alle tue osservazioni. Sono certo che altri partecipanti a questa lista - mi vengono in mente gli amici che hanno difeso The Pirate Bay qui in Italia - potranno contribuire e correggere le mie imprecisioni/incomprensioni. (Ah, i miei due fan su Internet se lo aspettano, quindi mi lancio nel mio solito disclaimer: tutto quello che dico e` solo la mia opinione personale :)) 2010/7/8 Paolo Brini <paolo.brini@iridiumpg.com>
Il 08/07/2010 09:59, Andrea Glorioso ha scritto:
A dire il vero - ma mi riservo di controllare meglio - non e` che qualcuno ha "messo le mani su ICANN", almeno non nel senso che quanto successo sia un'eccezione alla regola - al piu` un'eccezione alla pratica.
Ferme restando eventuali correzioni all'articolo di TF, questa è proprio un'eccezionalità, nel senso che si trasferiscono d'ufficio dei domini regolarmente pagati da un proprietario ad un organo istituzionale americano (credo Dipartimento di Giustizia in questo caso?). Chi ha detto che il proprietario di quei domini sia soggetto alle leggi americane? Io ho tanti domini e mai ho firmato qualche accordo che mi impone di essere soggetto alla giurisdizione americana in caso di controversie.
Ho riletto piu` attentamente l'articolo di TorrentFreak a cui hai fatto riferimento nella tua prima email. Non capisco bene se: (a) ICANN ha effettivamente "sequestrato" (le virgolette sono d'obbligo) un dominio di secondo livello e ne ha modificato i dati di registrazione, in particolare i server DNS di riferimento. Non mi pare sia questo il caso: verificando un paio di quei domini tramite WHOIS, vedo che continuano a puntare ai server DNS a cui dovrebbero puntare (e.g. ns1.planetmoviez.com) (b) ICANN ha "ordinato" ai registry di riferimento (e.g. Verisign per .com) di cambiare l'indirizzo IP dei server DNS di riferimento dei nomi di dominio in discussione per farli puntare ad altri server DNS sotto il controllo del Dipartimento di Giustizia o altra organizzazione statunitense (c) il Dipartimento di Giustizia, o chi per esso, ha ordinato ad un certo numero di ISP di cambiare i dati dei domini per far puntare i relativi indirizzi IP ad un server differente (l'ipotesi "DNS poisoning" gia` segnalata da Stefano Q.) (d) il Dipartimento di Giustizia, o chi per esso, ha ordinato a un certo numero di ISP di modificare i propri annunci BGP per redirigere il traffico originariamente indirizzato ai server a cui facevano riferimento quei domini verso altri server. (e) il Dipartimento etc etc ha ordinato ai gestori dei siti in questione di mettere la pagina di "sequestro", senza nulla toccare per quanto riguarda DNS, BGP etc. Ora non ho gli strumenti tecnici sottomano per verificare in modo appropriato le ipotesi di cui sopra, a parte un paio di verifiche superficiali, ma di certo dall'articolo non capisco bene quale sarebbe l'ipotesi corretta. Per quanto riguarda la soggezione alle leggi americane, alle regole di ICANN o altro, noto che: - i registrar (le organizzazione che "affittano" - non so se sia il termine corretto, ma altrentato scorretto sarebbe dire che vendono - i nomi di dominio di secondo livello come piratebay.com) che vogliono operare all'interno del "sistema ICANN" - il che e' necessario per avere dei rapporti con i "registry" che afferiscono alla "zona root ufficiale" - devono firmare un "Registry Accreditation Agreement", una cui copia è disponibile presso http://www.icann.org/en/registrars/ra-agreement-21may09-en.htm. Non mi è del tutto chiaro se anche i registrar che affittano domini di secondo livello afferenti ai "country code Top Level Domains" abbiano lo stesso obbligo. - in questo Registry Accreditation Agreement vi sono due articolo di particolare interesse per la discussione: "3.7.1 In the event ICANN adopts a specification or policy, supported by a consensus of ICANN-Accredited registrars, establishing or approving a Code of Conduct for ICANN-Accredited registrars, Registrar shall abide by that Code. 3.7.2 Registrar shall abide by applicable laws and governmental regulations. 3.7.7.11 The Registered Name Holder shall agree that its registration of the Registered Name shall be subject to suspension, cancellation, or transfer pursuant to any ICANN adopted specification or policy, or pursuant to any registrar or registry procedure not inconsistent with an ICANN adopted specification or policy, (1) to correct mistakes by Registrar or the Registry Operator in registering the name or (2) for the resolution of disputes concerning the Registered Name." Per quanto riguarda l'articolo 3.7.7.11, la domanda interessante è se esista una "ICANN adopted specification or policy", oppure una "registrar or registry procedure not inconsistent with an ICANN adopted specification or policy", applicabile al caso in questione. Non mi risulta che ICANN abbia - al momento, varie forze di polizia di diversi paesi stanno chiedendo un aggiornamento - adottato una "specification or policy" specifica, tranne quella sulla Universal Dispute Resolution Policy (vedi sotto). Ma non sono sinceramente cosi' ferratto per quanto riguarda le procedure dei "registry" o dei "registrar" in questione. Per quanto riguarda quello che hai firmato tu o altri "Registered Name Holder", suggerisco di leggere con molta attenzione i "Terms of Use", "Terms of Service", o come li si vuole chiamare, che si "accettano" quando si "affitta" un nome di dominio. Se il registrar e' accreditato presso ICANN, quei contratti/accordi DEVONO contenere una serie di condizioni (l'elenco completo e' nel Registrar Accreditation Agreement). Tra queste condizioni ve ne sono alcune particolarmente interessanti, per esempio (dal RAA): "3.7.7.10 For the adjudication of disputes concerning or arising from use of the Registered Name, the Registered Name Holder shall submit, without prejudice to other potentially applicable jurisdictions, to the jurisdiction of the courts (1) of the Registered Name Holder's domicile and (2) where Registrar is located. 3.8 Domain-Name Dispute Resolution. During the Term of this Agreement, Registrar shall have in place a policy and procedures for resolution of disputes concerning Registered Names. Until different policies and procedures are established by ICANN under Section 4, Registrar shall comply with the Uniform Domain Name Dispute Resolution Policy identified on ICANN's website (www.icann.org/general/consensus-policies.htm)."
Qui ICANN si è sparata su un piede, perché con questi comportamenti non fa altro che accelerare la crescita degli alt root (che già ora non sono esattamente sconosciuti) e secondo me basteranno pochi altri avvenimenti del genere perché nuovi DNS root prendano il sopravvento.
Avrei qualche dubbio circa l'effetivo utilizzo degli "alternative root", se non tra gli addetti ai lavori, ma non ho numeri precisi. Personalmente, comunque, sono sempre stato a favore dell'utilizzo di piu` zone di root, posto che si trovino soluzioni tecnologiche e legali adeguate per evitare eventuali conflitti che frammenterebbero lo spazio dei nomi a dominio. Tra l'altro questa era anche una delle opzione sul tavolo del Working Group on Internet Governance durante il World Summit on the Information Society.
(Discorso un po' diverso per quanto riguarda i cosiddetti "country-code top level domains", come .it, .uk, .de eccetera, che non sempre hanno un "contratto" con ICANN dato che spesso afferiscono a delle autorita` pubbliche, non necessariamente inclini a stringere accordi con una piccola organizzazione statunitense. Una volta il legale di DENIC, che gestisce .de, mi disse "we may be in agreement with ICANN, but we do not have an agreement with ICANN" :)
Mi sembra pura teoria, se con procedimento analogo una major dice che un dominio .de va espropriato e ICANN concorda, nel giro di ore quel dominio viene trasferito: i tedeschi non hanno nemmeno uno dei 13 DNS root del mondo. Poi ci sarà tempo per interminabili cause legali, ma intanto quel dominio è andato.
Questo e` un punto interessante. La Commissione Europea organizzo`, l'anno scorso, un seminario su "DNS-SEC", in occasione della "notice of inquiry" sulla firma della "root zone". Anche se il problema in discussione era leggermente differente - afferiva al maggior potere attribuito al possessore/gestore delle chiavi con cui si firma digitalmente, appunto, la "root zone" di invalidare uno o piu` "top-level domain" - la domanda circa la possibilita` di cancellazione unilaterale da parte di ICANN o degli Stati Uniti di un "country code top level domain" venne molto dibattuta. La risposta dei colleghi statunitensi fu ovviamente "non faremmo mai una cosa del genere, siamo brava gente". Altrettanto ovviamente gli europei presenti, forse piu` cinici o forse piu` abituati alla cattiva gente :), non presero la risposta molto seriamente. Alla fine il problema sussiste, pero` vorrei far notare che parlando in termini puramente politici - rapporti di forza - un conto e` eliminare/revocare/redirigere un dominio di secondo livello, un conto e` fare lo stesso con un "top level domain". L'impatto - e dunque le possibili "retaliation", ora non mi viene in mente il termine italiano - sarebbero ben diversi, e di questo se ne rendono conto tutti, ICANN e gli Stati Uniti per primi.
Per quanto riguarda l'assalto ai router BGP e il controllo di Regional Internet Registries e Autonomous Systems: la prima pratica (filtraggio tramite alterazione degli annunci BGP) e` pratica oramai abbastanza comune (Pakistan e Cina vengono subito in mente, ma non dubito che altri paesi l'abbiano fatto o lo faranno).
Fatti per errore o per malizia gli annunci non autorizzati BGP / sabotaggio delle tavole BGP hanno suscitato sensazione, ma quello che dici mi lascia un po' perplesso. Non credevo fosse pratica diffusa e tanto meno mi risultava fosse praticata dalla Cina (il caso pakistano risulta tutt'ora un'"iniziativa ardita" di un piccolo ISP - mi riferisco all'aver messo down in tutto il mondo YouTube annunciando una route di massima specificità usando un prefisso più piccolo). Un annuncio BGP modifica la topologia di Internet, qualsiasi tentativo di censurare con questo metodo può facilmente portare al down planetario e uno stato che iniziasse a smantellare Internet in questo modo ritroverebbe i propri AS disconnessi in breve. Da qui la mia perplessità all'utilizzo degli annunci BGP come strumenti di censura.
(La Cina usa certamente BGP per dividere il traffico DNS verso il "root server" che ospita, copia dell'istanza "I", tra traffico interno alla Cina e traffico esterno. Quello interno alla Cina, oltre a fornire risposte ai domini DNS in caratteri cinesi, e` ovviamente anche soggetto alle "regole" cinesi. Oltre a questo, gli studi sul Great Chinese Firewall, tra gli altri quelli di Cambridge e del progetto OpenInternet, mi pare abbiano indicato l'utilizzo di BGP come strumento di filtraggio/censura) Gli annunci BGP sono utilizzati come strumenti di filtraggio/censura nella misura in cui e` possibile essere selettivi nell'inviare i propri annunci: alla parte di Internet A mando certi annunci, alla parte B un'altra. Il problema in Pakistan e` stato proprio che un ISP (non tanto piccolo, ma non e` questo il punto) ha sparso in giro per tutta Internet un annuncio BGP originariamente inteso solo per le reti pakistane. Come dici tu, un errore tecnico. Naturalmente un paese o un autonomous system che cominciasse a inviare continuamente annunci farlocchi sarebbe rapidamente tagliato fuori dal resto del mondo Internet. Ma tecnicamente non c'e` motivo per cui cio` debba succedere. (A proposito di routing segnalo anche le recenti iniziative in tema di "secure routing" presso l'IETF ed ICANN, che pongono problemi simili a quelli segnalati sopra per quanto riguarda DNSSEC. Argomento per un'altra discussione :)
In ogni caso, RIRs, router BGP e AS non vivono nel limbo, ma sono gestiti da organizzazioni che rispondono a leggi nazionali - con i soliti problemi nella scelta della giurisdizione. Esatto, e anche questo volevo far notare, per esempio il DNS root svedese (l'unico europeo) in questo caso è stato automaticamente assoggettato alle leggi americane. Tutto il mondo di fatto è stato assoggettato alle leggi americane "per colpa" di ICANN e dei 13 DNS root.
Non capisco bene cosa c'entrino i root server: la modifica ha riguardato dei nomi a dominio di secondo livello, quindi il problema e` delle organizzazioni che fungono da "registry" per i top-level domain a cui afferiscono i domini di secondo livello in questione (.com in primis). In ogni caso il problema dell'indipendenza geopolitica delle "critical Internet resources" e` un tema senz'altro importantissimo. La Francia spinge da tempo per avere un maggior numero di "root server" (per restare nell'ambito del DNS) all'interno dell'Unione Europea.
In ogni caso, a mio parere, l'ipotizzare - come mi pare, ma magari mi sbaglio, che Paolo implichi - una "eccezionalita`" di Internet (nel senso dell'"Internet exceptionalism" su cui hanno scritto tra gli altri Goldsmith, Wu ed altri) non porta molto lontano. Meglio sarebbe assicurarsi che le leggi siano piu` ragionevoli, per esempio sul tema del "contributory infringement".
Personalmente, credo che sia l'esatto opposto a non portare lontano. Internet ha conosciuto un certo successo e sviluppo grazie al fatto che è rimasta immune ai capricci di chi di volta in volta deteneva il potere legislativo. I "grandi problemi" di Internet, soprattutto quelli immaginari, nascono nel momento in cui legislatori completamente digiuni delle più elementari nozioni si interessano ad essa e i media tradizionali disegnano per il grande pubblico uno scenario fantasioso e fantastico.
Puo` darsi che sia come tu dici, ma il problema non cambia: gli Stati esistono e non hanno piu` nessuna intenzione - timidamente dal 2005 con la fine del World Summit on the Information Society, dichiaratamente e aggressivamente almeno dal 2008, data della Dichiarazione di Seoul sul Futuro dell'Economia di Internet - di restarsene in disparte. Io credo che sarebbe piu` utile ragionare nel senso di dare ad Internet uno statuto giuridico che ne salvaguardi la specificita`, un po' come avviene per il mare, lo spazio e altre risorse condivise. Ci si e` riusciti con la biodiversita` (vedi la relativa Convenzione delle Nazioni Unite) e, con tutti i limiti del caso, cio` ha permesso di uscire da delle "impasse" derivanti proprio dal conflitto tra visione nazionale e realta` globale. Francia e Olanda hanno recentemente lanciato un'iniziativa che va proprio in questa direzione.
Ora siamo nel caso molto speciale in cui un'autorità tecnica importante, influenzata da un settore particolarissimo dell'industria, rischia di diventare politica, perché risiede nello stesso paese in cui quell'industria ha piazzato i suoi uomini nei ruoli chiave del funzionamento dello stato federale (presidente, vice presidente, 5 avvocati al dipartimento di giustizia, FBI ecc. ecc.), e pensare che leggi europee più ragionevoli possano alleviare il problema sarebbe come pensare di far guarire un malato terminale con mezza aspirina. La soluzione a questa anomalia (sciaguratamente, sottolineo) secondo me è puramente tecnica.
(Nota che io non ho parlato di leggi "europee") Le soluzioni tecniche possono contribuire enormemente alla soluzione, ma concentrarsi unicamente su di esse significa semplicemente restringere l'area in cui si puo` applicare influenza. Se riduciamo tutto alla tecnica/tecnologia, quanto tempo pensi che passera` prima che tornino le restrizioni internazionali alle tecnologica crittografiche? Grazie per gli interessanti spunti e scusate tutti per la lunghezza della mail e forse per l'uso di terminologia un po' oscura. Sono lieto di chiarire i passaggi incomprensibili. Ciao, Andrea