Qualche spiegazione sul redirect di TPB - UPDATED
Pubblicato da Daniele
Chez Massimo Mantellini trovate notizie interessanti diffuse da Simone Gambirasio.
Peccato che, almeno per 3, non si spieghi la presenza del pecettone di sequestro su un sito di un privato straniero (verificata ora).
Che, personalmente, conforta i miei sospetti: che gli ISP hanno ricevuto ordini dalla GdF (PM e GIP sono soltanto pedine inconsapevoli) e tra le stellette vanno cercati i colpevoli.
Aggiornamento del poco dopo: A due commentatori (che ringrazio per l’attenzione) i conti non tornanano. E, anch’io, avevo qualche dubbio. Ci si riferisce a questa frase della risposta di Fastweb.
“Ci preme infine precisare che l’architettura di rete che FASTWEB utilizza per la fascia residenziale della propria clientela è basata sul concetto di NAT (tecnica che consiste nel modificare, mediante router e firewall gli indirizzi IP dei pacchetti in transito, assegnando loro un altro indirizzo IP che viene utilizzato per le connessioni dirette al di fuori della rete FASTWEB): si può avere visibilità solo degli IP di navigazione (appunto IP di NAT), e pertanto non risulta tecnicamente possibile risalire ai dati anagrafici dell’utente FASTWEB che ha effettuato la navigazione“.
Ora, io, coi miei buoni limiti, l’ho capita così: che la rete Fastweb (residenziale) assegna un solo IP per tutte le connessioni che escono da un dato sistema che implementa la tecnica NAT. Qualcosa del genere, al suo tempo, mi era stato detto da un investigatore. Poi, però, io ho visto procedimenti (per roba su P2P) dove gli utenti sono stati immediatamente compiutamente identificati proprio grazie ai log di Fastweb. Peraltro, le ultime modifiche in tema di data retention introducono un vero e proprio obbligo di conservazione (con corrispondente sanzione amministrativa per l’omissione) specificando molto bene quali sono i dati da conservare.
Dove sbaglio? C’è qualcuno che può aiutare?
25 Commenti »
Puoi lasciare una risposta, oppure fare un trackback dal tuo sito.
Il sistema di commenti traccia gli indirizzi IP (v. Privacy Policy)
Pubblicato il 23 08 2008 alle 12:43 quota
“…l’architettura di rete che FASTWEB utilizza per la fascia residenziale della propria clientela è basata sul concetto di NAT (tecnica che consiste nel modificare, mediante router e firewall gli indirizzi IP dei pacchetti in transito, assegnando loro un altro indirizzo IP che viene utilizzato per le connessioni dirette al di fuori della rete FASTWEB): si può avere visibilità solo degli IP di navigazione (appunto IP di NAT), e pertanto non risulta tecnicamente possibile risalire ai dati anagrafici dell’utente FASTWEB che ha effettuato la navigazione.”
Da profano mi domando se c’è qualche cosa che, da un punto di vista legale o da un punto di vista informatico (almeno uno dei due), mi sfugge in quest’ultima affermazione da parte di Fastweb…
Pubblicato il 23 08 2008 alle 13:18 quota
sfugge qualcosa anche a me: intanto NAT o non NAT, senza l’ISP l’identit
Pubblicato il 23 08 2008 alle 13:22 quota
… l’identit
Pubblicato il 23 08 2008 alle 13:24 quota
Vongoloid, purtroppo se commenti da palmare o simile, Wordpress ti tronca il testo.
Pubblicato il 23 08 2008 alle 13:36 quota
Quello che intendono dire è che la rete NATtata di Fastweb rende più difficile stabilire l’IP del singolo utente. Gli utenti Fastweb accedono ad Internet attraverso punti di accesso condivisi, il cui IP non identifica l’utente, ma la zona geografica.
Resta il fatto che, IMHO, siamo nell’ambito del 617-quater c.p.
Pubblicato il 23 08 2008 alle 14:13 quota
Ah, dimenticavo: quanto scritto sopra (maggior difficoltà nell’identificazione dell’utente) vale solo nei confronti dell’achero della domenica, il provider ha i propri log, con tanto di IP *interno* (quello attribuito alla singola utenza), in pieno rispetto del D.M. nonmiricordodataenumero del 2005.
Pubblicato il 23 08 2008 alle 14:32 quota
Ecco, esatto. Quindi, quella frase di Fastweb ha ben poco senso.
O sbaglio?
Nessuno ha mai pensato all’acaro della domenica. Qui si parla di rapporti tra privati e giustizia.
Pubblicato il 23 08 2008 alle 14:53 quota
Dimmi se condividi la mia ricostruzione “fantascientifica”.
Io sono il tenutario del server verso cui vengono dirottate le connessioni indirizzate a TPB.
Registro l’IP di chi si connette e lo archivio.
Per quanto riguarda gli utenti FW, ottengo un indirizzo IP che mi dice solo la loro provenienza geografica (Milano piuttosto che Bologna piuttosto che Roma).
Poco male, in ogni caso da solo non potrei associare un IP ad una data persona fisica (recte: al suo terminale).
Già che ci sono faccio anche un’incetta di cookies (il mio sito, per quanto ne sa il tuo browser, è TPB) e questo mi permette di acquisire i dettagli di log-in e distinguere l’IP del semplice curioso da quello dell’utilizzatore del motore di ricerca. Faccio un po’ di scrematura e preparo un bel ricorso sulla base dell’art.156 bis della L.633/41, al fine di ottenere dal giudice un’ordinanza che imponga ai provider di fornirmi i dati anagrafici delle persone la cui connessione ho tracciato. Poi faccio partire 4000 lettere con altrettante proposte transattive… ripensandoci è un film già visto
Pubblicato il 23 08 2008 alle 14:59 quota
Esatto, *questo cine l’ho gia’ visto* anche se, come diceva Quinta a suo tempo, da un lato basta aprire un client P2P per avere tutti gli IP che vuoi, dall’altro (e ce lo metto io) la mera frequentazione (rectius: tentativo di) di un sito o anche la registrazione non prova moltissimo ai fini del ricorso ex l. 633/41.
Pubblicato il 23 08 2008 alle 15:22 quota
Sappiamo entrambi che la raccolta di indirizzi tramite P2P non piace al Garante e neppure a qualche Tribunale (Logistep insegna). Per carità, se era illegittima la raccolta dei dati operata da Logistep, questa sarebbe anche peggio.
In ogni caso, per quanto riguarda la tua obiezione, io mi sono basato su quanto scritto da Flora:
“Che cosa possono fare ora quelli di FMI se il cookie è ancora valido? Tra le altre cose:
Vedere il vostro Username
Sostituire le Password
Visualizzare l’elenco dei vostri Torrent
Visualizzare i torrent che voi avete condiviso
Postare nei commenti in TPB a vostro nome”
Se ho capito bene, tramite le credenziali memorizzate nei cookies, posso ottenere lo storico dei torrent condivisi. A quel punto incrocio con l’indirizzo IP ed ho una bella schedatura dei “pirati”.
Pubblicato il 23 08 2008 alle 15:42 quota
Ah, ecco, scusa. Mi ero dimenticato di questi effetti miracolosi dei cookie.
Pubblicato il 23 08 2008 alle 16:27 quota
ecco sì, era quello che intendevo (prima di capire che wordpress non apprezza le a accentate e quello che viene dopo). ma mi chiedo anche: un ISP che riceve una richiesta del genere dalla PolPost è obbligato a farlo? a pare proprio di no, sbaglio? sai, tanto per essere chiari
Pubblicato il 23 08 2008 alle 16:39 quota
Un ISP e’, di fatto, obbligato a dare i log compresi nei termini di conservazione. Se non li ha (o dice di non averli) e’ sottoposto ad una sanzione amministrativa.
Pubblicato il 23 08 2008 alle 20:00 quota
Quindi in parole povere rischia solo chi era registrato al sito?
Pubblicato il 23 08 2008 alle 20:28 quota
@Daniele
sulla mia (pazza) idea del 617-quater c.p. non ti sei pronunciato. era troppo pazza?
Pubblicato il 23 08 2008 alle 20:34 quota
Vi linko un post di Longo
Pirate Bay, Fimi minaccia denunce
http://www.alongo.it/?p=666
che dite ?
Pubblicato il 23 08 2008 alle 20:46 quota
Ah, io non so bene a cosa si riferisca FIMI (a chi, a quali fonti). Come, purtroppo, Longo non ci da’ una fonte precisa.
Anyway, il redirect e’ fatto obiettivo e scintificamente provato.
Il che penso possa lasciare tranquilli coloro che hanno riportato la cosa in termini corretti (mi assolvo anch’io ;-).
Pubblicato il 23 08 2008 alle 23:29 quota
@lorenzodes
Nella mia ignorazna, non ho capito quali tra le condotte del 617-quater riterresti poste in essere, peraltro in modo fraudolento.
Tutto qui, ma dimmi pure.
Pubblicato il 24 08 2008 alle 18:18 quota
non mi sono spiegato bene: io mi chiedevo se un un ISP è obbligato ad accettare una richiesta della Gdf o PolPost anche se questa non è compresa nell’ordinanza del GIP (parlo del reindirizzamento). a naso mi verrebbe da dire no, sbaglio? e se non è obbligata c’è un reato? un illecito?
poi, nella mia ignoranza, immagino che lorenzodes dicendo del 617 quater si riferisse agli eventuali cookie acquisiti dal sito di pro-music, che in effetti si tratterebbe di una comunicazione relativa ad un sistema informatico o telematico o intercorrenti tra piu’ sistemi fraudolentamente intercettata.
Pubblicato il 24 08 2008 alle 20:46 quota
Mah, sai, quando ti viene la Finanza d ti dice *fai così e così* non so quanto spazio ci sia per il dissenso. Anche se il decreto dice un’altra cosa (nel senso che si ferma ad un certo punto, l’inibizione).
Per questo, viste anche certe informazione di cui sono ora in possesso, penso che la responsabilita’ sia della GdF e che i magistrati si siano fatti prendere per il naso.
Pubblicato il 25 08 2008 alle 0:31 quota
Identificare un utente non significa avere necessariamente bisogno del suo indirizzo IP (in questo caso, quello mascherato da fastweb è comunque recuperabile tramite apposito mandato).
Ci sono numerose altre forme di identificazione che si possono mettere in atto, fino a giungere (volendo esagerare) al rilevamento delle frequenze di battuta, o all’analisi dei fetch dalla cache del browser.
Pubblicato il 26 08 2008 alle 18:38 quota
Aldilà del discorso dei cookies, resta un fatto incontrovertibile: chiunque abbia tentato l’accesso a TPB in quei giorni dalle MAN Fastweb, è identificabile tramite
1) I log che ipoteticamente il server target del redirect può conservare
2)le tabelle di traduzione che Fastweb conserva nel rispetto della data retention
Ora, dati identificativi dell’utente, ANCHE PARZIALI, possono essere forniti senza autorizzazione alcuna a enti che non hanno titolo a ricevere tali informazioni? Specialmente pensando che vi è palesemente correlazione tra la sua attività e quella del sito che è stato oggetto della “deviazione di traffico”?
Secondo me no, la GdF di fronte a un privato che ha titolo di presentare denuncia contro ignoti, ha fornito tramite Fastweb a Pro-music, una lista di identificativi (non dati personali) sospetti, ottenuta fraudolentamente in quanto non autorizzata dal magistrato. Siamo all’assurdo: se chi ha ricevuto quei dati volesse agire non più contro ignoti, ma contro le singole persone, dovrebbe “rimandare indietro” parte dei dati forniti, e a quel punto Fastweb sarebbe costretta a ottemperare, e la GdF prenderebbe come “forniti dalla parte in causa” i dati che in realtà essa stessa ha chiesto di individuare!
Pubblicato il 31 08 2008 alle 16:23 quota
Salve,
non mi sembra proprio che tu sbagli. La NAT (Network Address Translation), per il discorso che ci interessa, sostanzialmente sostituisce il datagram packet header in uscita (in realtà fa anche altre cose altrimenti sarebbe solo “IP masquerading”). Quindi è vero che pro-music avrà visto solo gli IP “pubblici” di FastWeb. Tuttavia, se Fastweb collabora o è costretta a collaborare, l’identificazione dell’utente che ha tentato l’accesso a TPB è tecnicamente semplice e rapida. Fastweb, come qualsiasi altro ISP italiano, conserva nei log tutte le tracce di connessione, inclusi tutti gli indirizzi contattati, e li associa all’IP e numero telefonico assegnato all’utente residenziale.
Alcune precisazioni anche sulla tecnica per l’accesso a TPB con l’identità di un certo utente una volta sottratto il cookie.
E’ indispensabile, affinché la tecnica descritta da Flora funzioni, che il cookie sia nella cache del browser (è molto facile configurare un browser affinché cancelli i cookies ad ogni chiusura, per esempio) e che il browser stesso accetti il Javascript (ormai di default abilitato in tutti i principali browser, ma comunque disattivabile).
Inoltre, una volta duplicato il cookie per accedere con falsa identità in TPB, è possibile fare il login e quindi visionare le statistiche dell’utente (nonché postare messaggi ecc.), ma non è immediatamente possibile modificare la password (d’altra parte non sarebbe desiderabile se lo scopo fosse di “effettuare pressioni” sull’utente, vedasi caso Peppermint, perché allerterebbe immediatamente l’utente stesso).
Questo perché nel cookie la password è criptata e al momento della modifica invece TPB richiede, in chiaro, la vecchia password da cambiare. Naturalmente è possibile decriptare la password e si può presumere che tale operazione sia alla portata tecnica delle associazioni di cui si sta parlando.
Naturalmente tutte le eventuali operazioni descritte sui cookies, oltre al dirottamento (hijacking) realmente eseguito, configurerebbero una serie di reati che avete secondo me correttamente evidenziato, e che, mi dicono, sono descritti anche nella legislazione del Regno Unito. Quindi non riesco a comprendere come tali dati possano essere legittimamente usati in un tribunale italiano o inglese e quale valore possano avere (nel senso che possono essere facilmente “alterati” per comodità, o più semplicemente il server di TPB potrebbe mantenere statistiche degli utenti non corrispondenti alla realtà). Forse l’unico reale utilizzo può consistere a fini di raccolta di dati statistici e di tentativi di intimidazione generici, con o senza seguito di lettera raccomandata “alla Peppermint”: anche senza seguito di minacce scritte, far capire ambiguamente che certe informazioni possono essere catturate rappresenterebbe forse, nell’ottica delle associazioni dei discografici, un deterrente all’accesso a The Pirate Bay e siti simili. O forse, per quanto improbabile, potrebbero servire come “indizio” per cominciare a “tener d’occhio” (o più appropriatamente spiare) particolari utenti, con lo scopo di raccogliere in seguito ulteriori, più importanti informazioni. L’obiettivo finale potrebbe essere “colpirne 1 per educarne 100″.
Cordiali saluti e complimenti per il fantastico blog.
Paolo
Pubblicato il 31 08 2008 alle 18:52 quota
Non è necessario javascript affinché possano essere raccolti i cookies.
Pubblicato il 31 08 2008 alle 23:07 quota