[BitTorrent] Le verità inconfessabili sul controllo in rete

Spying

È diventato ormai un modo di dire ma la verità è che davvero la privacy su Internet non esiste. Tutto quello che facciamo, qualunque cosa ci interessa, i contenuti a cui abbiamo accesso, tutto viene costantemente controllato, monitorato e memorizzato. Le nostre vite sono proprietà di qualcun altro e tutto quello che facciamo lascia una traccia. Ma come succede tutto questo? Com'è possibile? Ecco alcune interessanti rivelazioni sul tracciamento delle comunicazioni su rete BitTorrent.

In questo quadro, tutt'altro che apocalittico, si va ad inserire quasi perfettamente la questione di BitTorrent. Per quei pochi che non dovessero sapere di che cosa stiamo parlando, si tratta di un protocollo decentralizzato per attività di scambio peer-2-peer disegnato e progettato allo scopo di realizzare un trasferimento efficiente di file di grandi dimensioni.
Nel mondo viene oggi utilizzato da milioni di utenti, il che causa un aumento esorbitante del traffico Internet attualmente in circolazione.
Se da un lato è vero che questo protocollo di comunicazione è incredibilmente utile a tutti gli utenti Linux per procurarsi le varie distribuzioni e scambiarsi file di ogni genere e tipo, dall'altro è anche vero che il volume di traffico di natura fraudolenta che circola sulla rete grazie all'utilizzo di BitTorrent è davvero ingente.
Tra film, infatti, videogiochi, programmi, musica, libri in pratica ogni genere di opera d'ingegno viene trafugata continuamente violando tutte le leggi in materia. E nella maggior parte dei casi, ovviamente, stiamo parlando di reati su scala internazionale.
Questa non vuole essere, però, assolutamente una requisitoria che esalti il copyright. Anzi! Questa comunità è decisamente schierata sulle posizioni del movimento Open Source.
Ciò nondimeno, ma qui parlo a titolo personale, nessuno di noi sponsorizzerebbe mai un reato e pertanto fin tanto che le leggi saranno queste, questi sono crimini! E come tali, vanno puniti.
Altrettanto attendista ed asettica risulta essere la posizione del gruppo di studi, del cui lavoro ci occupiamo oggi,  che chiarisce, dedicando un paragrafo agli aspetti etici della questione, di non voler assolutamente prendere le parti né dell'uno né dell'altro gruppo (vedremo tra breve chi compone i gruppi) ma di volerne semplicemente analizzare i comportamenti allo scopo di divulgare quali sia il livello di attività attuale.
Ma questa è retorica. Scopo di questo articolo è parlare di una pubblicazione davvero interessante, scritta da Chotia, Novakovic, Toro e Cova sui metodi utilizzati oggi per effettuare il controllo del traffico sulla rete BitTorrent da parte di operatori del settore.

Per ovviare alle problematiche relative al file-sharing, i detentori dei diritti di copyright utilizzano tecniche e collaborazioni allo scopo di tenere sotto controllo in maniera diretta o indiretta il traffico di ciascuno di noi, indipendentemente dalla sua natura.
Non tutti, però, dichiarano esplicitamente di attuare questo genere di politiche e questo è un fatto.
Nello studio, tra le altre cose, si affronta anche la questione di come rilevare che si è attenzionati da tecniche dirette o indirette.

Gli autori ci tengono a specificare che tutto questo non serve ad inasprire un clima da bande che combattono per il controllo del proprio quartiere ma semplicemente a rendere più trasparente tutto il traffico Internet, specialmente in funzione della sua destinazione.

Poiché gli studiosi hanno dovuto utilizzare la rete, ed in particolare questo programma, per poter effettuare le loro prove, verifiche e quant'altro, ci tengono a precisare che mai, durante i loro esperimenti, essi hanno compiuto reati o illeciti.

L'assunto di base di questo studio riguarda il fatto che molti detentori dei copyright considerano lo scambio illegale di questo genere di contenuti come una minaccia alla loro modello di business e pertanto la loro attenzione è rivolta al tentativo di estirpare questo genere di iniziative. In particolare, come ben noto, viene effettuato un controllo piuttosto costante dell'attività dei file-sharers, allo scopo di raccogliere prove di infrazioni, inviare le lettere per dissuadere dal continuare certo tipo di atteggiamento e scambio ed, in alcuni casi, istituire capi d'accusa e processi. Tutto ciò allo scopo di richiedere il pagamento di un'ammenda.

Le tecniche prevalenti sono due: monitoring diretto ed indiretto. Il secondo permette alle agenzie di ottenere indizi sul comportamento dei peer che stanno scaricando oppure inviando dati.
La tecnica diretta, invece, permette di ottenere indizi "di prima mano" e pertanto più attendibili, oltre che più rapidi. Il monitoring diretto può essere attivo oppure passivo; se attivo, allora si stabiliscono connessioni con i vari peer per stabilire se sia in corso l'attività di condivisione. Nel caso passivo, invece, il monitor segnala l'indirizzo IP ad un tracker che attende la connessione del peer.
Come dicevamo in apertura, lo scopo di questo lavoro è caratterizzare lo stato dell'arte delle investigazioni attive sulle reti BitTorrent per cercare di capire che cosa effettivamente stia succedendo, come venga fatto e se ci siano effettivamente da sollevare dubbi sulla legittimità di questo genere di tecniche. Le domande a cui rispondere sono:

  • come possiamo rilevare il monitoring diretto?
  • come viene fatto il monitoring diretto?
  • quali tipi di informazioni vengono davvero raccolte?

Per arrivare a delle conclusioni su queste domande è stato condotto uno studio misurando l'attività di più di 1000 swarms su 421 tracker per 36 giorni distribuiti in due anni per un totale di 150 GB di dati.

Vale la pena di precisare che fino a questo momento un approccio abbastanza diffuso, adottato allo scopo di evitare il controllo, è quello di prevenire le interazioni con peer sospetti. Altrettanto viene fatto, però, come tecnica di base, quando si cerca di impedire le connessioni che mirano a scaricare file coperti da licenze.
La regola di base per rilevare se il traffico sia legittimo o meno semplicemente guarda il traffico in funzione del fatto che molti download contemporanei dello stesso contenuto che sia anche di grandi dimensioni è, di solito, sospetto.
Ovviamente questa affermazione risulta palesemente falsa quando abbiamo, per esempio, il rilascio di una nuova release di Ubuntu o di altre distribuzioni di Linux. Vale la pena di ricordare che per gli ultimi due rilasci di questa distribuzione, i server sono stati totalmente inagibili per due giorni interi proprio per il volume di connessioni che sono state registrate.
Volendo utilizzare questo criterio, quindi, ci sarebbero dei casi particolarmente significativi che restituirebbero falsi positivi non utili all'analisi.
D'altronde, però, è anche vero che questi sono casi sporadici che certamente non rappresentano la norma: un rilascio di una nuova release di Ubuntu, infatti, è un evento che si verifica al più ogni sei mesi.

Il protocollo

Prima di poter analizzare se un comportamento sia lecito o meno è assolutamente indispensabile studiare come funziona il protocollo stesso. A questo scopo viene riportata la seguente figura

in questo diagramma viene rappresentato il metodo attraverso cui si condivide un file utilizzando BitTorrent. L'utente che detiene il file crea il file torrent associato; esso contiene metadata utili al download del file condiviso. Viene, inoltre, descritto come composto da piccolissimi pezzi divisi in blocchi. Quando questi vengono concatenati, producono il file originale e questo diventa leggibile. Una cosa fondamentale da analizzare è il fatto che il file resta del tutto inutilizzabile fino a quando tutti i singoli blocchi non sono stati recuperati. Non è utilizzabile e quindi non si tratta di un file leggibile. Di fatto, è come non averne preso mai neanche un pezzo.

Questa è una nozione fondamentale quando si cerca di capire se vada punito un crimine o meno perché fintanto che il file non è stato scaricato per intero non è possibile che l'utente l'abbia mai utilizzato. Esso pertanto non costituisce assolutamente una violazione perché fintanto che l'opera non è stata prelevata ed è completa, e dimostra la stessa qualità dell'originale (vantaggio dell'era digitale!), allora il reato non può essere considerato consumato.
Se, invece, il file è completo, allora si possiede una copia, in teoria, "pari all'originale" e da quel momento in poi l'utente si suppone che inizi a "trarne profitto".

Il file torrent contiene anche un URL, quella del tracker, ed un server centralizzato traccia quali peer stanno richiedendo lo scaricamento e quali invece ne stanno inviando porzioni.
Per chi non avesse troppa familiarità con il gergo di questo programma, si definiscono seeders e leechers rispettivamente coloro che "seminano" una copia del file, e quindi ne possiedono una intera e quelli, invece, che non ne possiedono una versione completa ma che possono comunque inviare i dati che posseggono a chi non li dovesse avere.
Il meccanismo permette, quindi, di far diventare "seminatori" anche coloro che non posseggono la copia completa.
Gli utenti, i peers, stabiliscono connessioni tra di loro utilizzando la lista degli indirizzi IP che viene fornita loro dal tracker. Avviene, quindi, uno scambio di informazione riguardo a quali porzioni del file condiviso posseggono e quindi dimostrano "interesse" per quelli che, viceversa, ancora non hanno scaricato.
Periodicamente i tracker vengono aggiornati in maniera tale che si possa essere tutti a conoscenza di quali porzioni dello stesso file posseggono quali utenti.

Il protocollo prevede anche l'utilizzo di una serie di messaggi e parole chiave che permettono la comunicazione; alcune di queste parole in codice nascondono, infatti, la complessità del meccanismo; esse sono: handshake, extprotocol, have, request, piece, keepalive.

Il monitoring indiretto

Come dicevamo prima, si tratta di un approccio piuttosto semplice al problema del controllo perché, di fatto, si tratta di acquisire vari tracker e quindi gli indirizzi IP contenuti al suo interno. Queste informazioni rappresentano, di fatto, un'operazione di controllo sulle comunicazioni che gli utenti stanno intraprendendo. In particolare si cerca di sapere se siano connessi oppure no. Questa tecnica rappresenta un metodo molto veloce per acquisire un gran volume di dati sui vari peer ed è questo il suo principale vantaggio.
Tuttavia, i risultati si sono dimostrati spesso non affidabili, anche per i motivi di cui abbiamo parlato prima.
Inoltre, dal momento che questa tecnica richiede l'accesso al tracker, quando la si usa non si può essere invisibili. La propria presenza, e quindi il proprio indirizzo IP, rimane comunque all'interno della lista.
Un osservatore, oppure una routine, può facilmente rendersi conto del fatto che l'attività di monitoring viene svolta.
Tipicamente chi è interessato, infatti, al solo elenco degli indirizzi IP, non sta richiedendo dati oppure pieces di alcun file ma richiede soltanto l'accesso al tracker.

Rilevare l'attività di monitoring, in questo caso, non è molto difficile: per la prima cosa da fare è, infatti, costruire una sorta di profilo del comportamento dei client BitTorrent.
Per farlo basta seguire alcune caratteristiche peculiari, tra le quali ci sono la lunghezza delle connessioni (dal momento che acquisire soltanto gli indirizzi vi è un'operazione molto veloce), il numero di differenti combinazioni della terna "IP, prota, infohash" (per effetto, dal momento che le agenzie che effettuano il controllo di solito utilizzano IP statici e tipicamente sempre gli stessi) ed i file condivisi.

Ma la caratteristica più importante è la disponibilità ad accettare connessioni in ingresso. Diciamocelo chiaramente: le persone che condividono file su Internet non li stanno soltanto condividendo, anzi non stanno affatto condividendo dato che il loro scopo è effettuare semplicemente il Download. Questa caratteristica, infatti è stata analizzata con dovizia di particolari ed è stato riscontrato che soltanto il 16% degli utenti accetta connessioni in ingresso. Questo comportamento così, così diffuso, non è affatto immotivato dal momento che tipicamente le connessioni dei router o dei firewall domestici le bloccano.

Il monitoring diretto

Come il nome suggerisce, questa tecnica permette di investigare un contatto piuttosto che un utente se non addirittura direttamente un indirizzo IP direttamente, al fine di migliorare l'accuratezza e la precisione delle prove che vengono raccolte dai monitor. È stato anche dimostrato, come lo studio riporta, che questo genere di tecnica è ampiamente utilizzato da tutte le agenzie che si occupano di far rispettare i copyright e che quindi sono deputate a fornire tutte le prove documentali per istruire i casi.
Un monitor diretto può operare attivamente, annunciando se stesso al tracker, ricevendo la lista dei vari peers e, a differenza della sua versione indiretta, provare ad instaurare connessioni con essi. Questa tecnica può anche essere passiva ed in questo caso il monitor si posiziona all'interno dello swarm ed ascolta le comunicazioni in transito.
Di fatto, funziona come se fosse un sniffer.
La tecnica passiva ha dei grandi vantaggi nella rilevazione dei dati degli utenti anche nel caso in cui non accettino le connessioni in ingresso. Quella attiva può essere utilizzata molto più velocemente e pertanto presenta il vantaggio di poter tener sotto controllo più connessioni di più utenti contemporaneamente.
L'inizializzazione e l'ascolto diretto delle connessioni è molto più lungo e più difficile che ottenere l'indirizzo IP e pertanto questi risultati possono essere considerati più attendibili.

Discutiamone

Tutti abbiamo sentito parlare del caso "The Pirate Bay". Si trattava, o meglio si tratta, e certamente si tratterà, di un sito Internet che ha rappresentato per diverso tempo un enorme, gigantesco repository di ogni genere di file torrent disponibile nel mondo. Fungeva da indicizzazione, come fosse un motore di ricerca, ed archivio. Non era un mistero per nessuno che il suo scopo fosse, come il nome suggerisce, distribuire materiale coperto da diritto d'autore ed infatti, proprio per questo motivo, è stato chiuso.

Questo studio si concentra sul caso del sito, che ovviamente fornisce molto materiale. Tra i dati che hanno acquisito ce ne sono alcuni relativi ai primi 100 torrent disponibili sul sito (i più popolari).
Si asserisce che l'interesse per i più popolari tra i file disponibili sia il metodo attraverso cui proprio quelle agenzie di "copyright enforcement" agiscano. D'altronde, l'interesse è quello di far condividere proprio i file più popolari che si suppone possano essere l'ultimo disco di un artista, l'ultimo film di una serie e così via dicendo.
Ovviamente, correlando questo dato col fatto che più recente sarà la concentrazione delle connessioni più è probabile che il file sia relativo ad un prodotto "appena uscito", si riesce a capire quando effettuare il controllo.
Ed ovviamente vale il viceversa, ovvero: sapendo che nelle sale è appena uscito un determinato film, si può tenere sotto controllo la rete nelle prime due settimane di programmazione, quando l'interesse perché la gente vada al cinema, è più alto.
Di questi 100 file, infatti, 65 sono film e 26 relativi alla musica.
Nell'analisi effettuata, sono stati trovati un numero variabile da uno a sette indirizzi IP sospettati di effettuare il monitoring.

Altra questione fondamentale è quella dei falsi positivi e dei falsi negativi.
Come tutti sappiamo, si tratta di casi limite, di errori, in cui un metodo, ma vale per qualunque metodo, fallisce.
Nel caso di monitoring indiretto, i falsi negativi sono difficili da quantificare perché uno monitor può comportarsi come un qualunque altro peer.
Per quanto riguarda i falsi positivi, quelli che sono sospettati di essere monitor hanno dimostrato di effettuare download in maniera molto irregolare. Questo potrebbe essere un atteggiamento sospetto ma, in realtà, non c'è modo di distinguere se si tratti di un utente piuttosto che di un monitor.

Siamo in chiusura

Come vi avevamo accennato in apertura, esistono diverse tecniche per effettuare il controllo, anche continuo, dell'attività che avviene su Internet ed in particolare, in questo caso, riguardo tutti i dati che gli utenti BitTorrent scambiano. Se da un lato è vero che non esiste il modo di correlare la persona fisica al download, è anche vero che esiste comunque sempre un intestatario della connessione ed in ogni caso il computer sarà comunque sempre di qualcosa persona fisica.

Per fare tutto questo le tecniche sono diverse e dimostrano, come sempre, di avere pro e contro. L'analisi dei dati ha dimostrato, a prescindere dalla tecnica, che esistono compagnie che si occupano del copyright enforcement e che attuano queste tecniche allo scopo di smascherare le attività illegali.
Gli esperimenti condotti dal gruppo hanno portato a delineare alcune proprietà caratteristiche dei monitor, partendo da dal fatto che prevalentemente si concentrano sui file a contenuto più popolare fino al fatto che è molto probabile che l'attività di controllo continui oltre le tre ore dalla connessione con lo swarm.

La conclusione fondamentale di questa analisi riguarda una proposta, portata avanti in America, che prevedeva l'uso di una block-list. Dal momento che i dati empirici dimostrano un'alta percentuale, però, di falsi positivi e falsi negativi, è assolutamente indispensabile migliorare i metodi di controllo eliminando tali casistiche.

È difficile dire se l'utilizzo di queste tecniche sia legittimo o meno.
D'altronde, noi per primi quando ci iscriviamo ad un social network piuttosto che ad altre piattaforme, o magari installiamo un programma, siamo i primi a non leggere le condizioni d'uso e se lo facessimo scopriremmo che una copia di tutto quello che facciamo viene comunque conservata "for ant further use" e così via dicendo.

Su Internet, una volta che si è connessi, la privacy non esiste e questa regola, piaccia o meno, l'abbiamo accettata tutti. Nonostante questo, però, dobbiamo chiederci: è giusto?

E ancora: chi non ha nulla da nascondere, deve temere di essere controllato?

E se viene controllato continuamente qualsiasi cosa faccia, "a priori", è ancora libero?

 

Quello che hai appena letto è un Articolo Premium reso disponibile affinché potessi valutare la qualità dei nostri contenuti!

 

Gli Articoli Tecnici Premium sono infatti riservati agli abbonati e vengono raccolti mensilmente nella nostra rivista digitale EOS-Book in PDF, ePub e mobi.
volantino eos-book1
Vorresti accedere a tutti gli altri Articoli Premium e fare il download degli EOS-Book? Allora valuta la possibilità di sottoscrivere un abbonamento a partire da € 2,95!
Scopri di più

2 Comments

  1. Emanuele Emanuele 13 agosto 2013
  2. rey 14 agosto 2013

Leave a Reply

Flip&Click Arduino e Python compatibile

Fai un abbonamento Platinum (EOS-Book + Firmware), ricevi in OMAGGIO la nuova Flip&Click, inviaci il tuo progetto e OTTIENI IL RIMBORSO