Ninux.org Wireless Community

La Commissione Federale per le Comunicazioni americana (FCC) sta seriamente pensando di approvare nuove norme per i dispositivi dotati di una radio wireless operante nella banda dei 5 GHz (U-NII). Se approvate, obbligheranno i produttori ad applicare meccanismi di protezione che impediranno di sostituire i firmware di questi dispositivi (router, ma non solo: smartphone, tablet, qualsiasi cosa con una radio WiFi 5GHz) con versioni non approvate dal produttore, inclusi i sistemi operativi open source e Linux-based come Android e OpenWrt.

FCC vs OpenWRT: una decisione contro i firmware open source, fai sentire la tua voce! http://t.co/NCXueaX5oB pic.twitter.com/csFi3jSlzV

— ninux.org (@ninuxorg) September 3, 2015

Queste norme sarebbero un disastro per la sicurezza e per la riduzione dei costi di noi utenti, per la possibilità di sperimentare e innovare nel campo delle comunicazioni wireless. Ma soprattutto costituirebbero un macigno sullo sviluppo delle reti comunitarie come Ninux, che utilizzano router a basso costo modificati con versioni personalizzate di Linux.

I produttori quasi sempre abbandonano gli aggiornamenti ai dispositivi poco dopo la loro immissione sul mercato. Questo impedisce che i bug di sicurezza vengano corretti per tempo, lasciando dispositivi centrali come i router esposti su Internet con delle vulnerabilità facilmente sfruttabili. La possibilità di sostituire il software consente all’utente di allungare la vita utile (e sicura) dei dispositivi che acquista.

Inoltre le funzionalità disponibili sono pressoché identiche tra i produttori, quasi sempre quelle più necessarie (e quindi lucrative), ma senza la possibilità di espandere l’utilizzo ad altri scenari meno comuni ma non meno importanti. La ricerca e l’innovazione sulle comunicazioni wireless hanno accelerato grazie alle modifiche illimitate finora possibili su dispositivi a basso costo. Lo sviluppo e l’avanzamento dei protocolli di routing che rendono possibili reti wireless mesh come Ninux, avvengono anche grazie a queste sperimentazioni.

Con ogni probabilità questa decisione non impatterà solo gli Stati Uniti: per come funziona la produzione massiccia dei dispositivi elettronici, quasi ogni produttore sceglie i forti risparmi che derivano dallo sviluppare un’unica soluzione che vada bene per tutti i mercati. Il blocco ai firmware dei router diventerà quindi il nuovo minimo comun denominatore per quasi tutti i nuovi router sul mercato nel 2016, dunque anche qui in Europa/Italia.

C’è ancora la possibilità di impedire che questo accada: la FCC è in fase di consultazione pubblica su queste nuove norme fino al 9 Settembre. Visitate questa pagina e inviate i vostri commenti cliccando su Submit a Formal Comment. Se non avete dimestichezza con l’inglese o non avete molto tempo per elaborare un testo originale, potete copiaincollare e/o modificare il testo qui sotto.

Per approfondire le ramificazioni di questa decisione, potete consultare il wiki SaveWifi, e questi tre articoli.

I ask the FCC to refrain from implementing such measures on restricting the modification of U-NII devices. It will hamper security, commerce, and innovation.

* manufacturers are known for their terrible record in providing security fixes, most of the devices involved are *never* updated during their lifetime, instead preferring to just ignore current devices and iterate on a new product. This has come to its ultimate consequences recently, when a software bug affecting a *billion* of smartphones has been discovered and won’t be fixed for almost all of the affected devices. 3rd-party firmwares are the only safeguard against this kind of situations: manufactures are not and cannot be forced to provide security fixes.

* Without the ability to modify the software running on these devices, nothing more than the very limited, more lucrative use cases addressed by the manufacturer would be implemented. This leaves behind advanced and/or custom scenarios which businesses could integrate on their services/products with very small costs by replacing the software.

* Research and innovation in wireless communications, ranging from entirely new designs, models and protocols to software implementations, would basically come to an halt, severely harmed by the unavailability of low-cost, readily-available solutions upon which to experiment. Community Mesh Networks are entirely reliant on the ability to customize low-cost networking equipment.

* These rules are overreaching and not even helping in ensuring compliance. Virtually none of the FCC rule breaches is due to 3rd-party software modification. It is however *still* possible to trivially enable non-compliant modes on unmodified devices on major wireless equipment manufactures.

Thanks for listening.

Rivedendo i video degli interventi alla tavola rotonda di “Free Italia Wifi”, non ho potuto fare a meno di constatare con quanta disinvoltura si faccia passare il messaggio che una sorta di autenticazione sia scontatamente necessaria per chi si affacci in rete. Sul modo però ci si può venire incontro, dato che sembriamo tutti d’accordo (Pisanu compreso) che il decreto Pisanu abbia fatto più danni che altro.

Allora mi chiedo, perchè  è così necessario che qualcuno sappia chi sono quando mi collego a Internet?

Per questo volevo condividere tre riflessioni:

Riflessione 1: Comunicazione tradizionale vs Comunicazione via Internet
La comunicazione orale è senz’altro molto più vecchia della comunicazione digitale, si presuppone quindi che le regole a cui è sottoposta, essendo il frutto di millenni di storia, siano oggi abbastanza acquisite e condivisibili.
E allora per quale motivo posso uscire di casa e chiedere l’ora a un passante senza fargli vedere la carta d’identità (vi immaginate la scena?), mentre se lo faccio in modo digitale utilizzando il protocollo NTP devo per forza accettare che una terza parte sappia chi sono e cosa faccio?
Stessa cosa per le e-mail, per le chat, il VoIP e per gli altri miliardi di servizi che Internet offre. Finché la comunicazione è orale o scritta è una assurdità solo il pensare di esibire ogni volta un documento (pensiamo anche alle poste dove possiamo spedire lettere senza specificare il mittente). Quando la comunicazione passa attraverso Internet invece cambia tutto e l’autenticazione diventa la più scontata delle cose.
Continuando il confronto, non è che non ci sia mai richiesto di presentare un documento. Ci sono molti casi in cui è necessario autenticarsi anche nella “vita reale”, e in quei casi, guarda caso, appare giusta l’autenticazione anche quando si passa su mezzo elettronico.
Quando andiamo in banca dobbiamo mostrare la carta d’identità così come quando andiamo sul sito web della banca è necessario -giustamente- autenticarci.  Idem se vogliamo ritirare un pacco alla posta, e infatti Gmail giustamente ci chiede la password prima di farci vedere la nostra posta elettronica.
Questo tipo di autenticazione però è un’altra cosa. E’ una autenticazione “end-to-end” tra il fornitore e il fruitore di un servizio (banca/posta). E gli operatori che ci danno la connettività ad Internet che c’entrano? Nulla, appunto…

Riflessione 2: E il terrorismo? L’autenticazione serve a prendere i cattivi!
Il trucco di scandalizzare l’opinione pubblica con i “cattivi” (pedofili, terroristi etc etc) per far passare come accettabili dei “piccoli sacrifici”  come l’autenticazione per l’accesso alla Rete, è ormai vecchio come il cucco sia per quanto riguarda l’ambito digitale che non. Qualcuno, forse un precursore, nel 1936 scriveva che “Chi non ha nulla da nascondere non ha nulla da temere“.
Supponiamo di fare volentieri questo sforzo e che tutti gli utenti di Internet in Italia sono d’accordo per far registrare agli operatori chi sono e che fanno, in modo che le autorità all’occorrenza possono controllare i file di log. Questo basterebbe per prendere i cattivi?
Decisamente no!! infatti per gli utenti più “smart” ci sono migliaia di modi per eludere i controlli. Se fossimo veramente dei “cattivi” cosa potrebbero fare le autorità italiane per beccarci se cifrassimo il nostro traffico e lo spedissimo in qualche stato estero attraverso una VPN?
O dovrebbero risolvere alcuni problemi matematici piuttosto complicati per decodificare il traffico cifrato (!), o dovrebbero imporre  a tutti i paesi del mondo (!!) di fare data retention a modo nostro. Ma non serve nemmeno di scomodare le VPN, per essere totalmente anonimi ci basterebbe collegarsi alla prima rete wireless aperta o “apribile” che troviamo. Se invece siamo un po’ più paronici possiamo sempre usare  l’Onion Routing. Insomma ce n’è per tutti i gusti!

L’alibi della guerra contro i cattivi appare quindi particolarmente debole specialmente se portata in ambito digitale.
A tutto questo aggiungiamo il fatto che nella nazione che ha subito l’11 settembre, gli Stati Uniti, negli hotel spesso non è necessaria nessuna autenticazione (se non per motivi di accounting o di billing).

Riflessione 3: Cosa vuol dire “autenticare chi si connette ad Internet” ?
Il fatto che in molti che ne parlano non sappiano che cosa sia nè come funzioni Internet genera dei simpatici paradossi.
Se abbiamo una rete locale a casa nostra staccata dal “mondo“, fortunatamente non siamo costretti a chiedere le carte d’identità di madri/padri/amici o sorelle che con il loro computer si connettono ad un nostro server per vedere le foto della vacanza. A questo punto però, dato che siamo amici del vicino, inseriamo un router nella nostra rete e congiungiamo le nostre LAN in modo da poter vedere anche le foto della vacanza del vicino. Dato che se scriviamo “vu vu vu guugol punto it” non ci risponde nessuno (c’è solo la nostra rete locale collegata con quella del vicino!), probabilmente secondo molti legislatori non siamo “connessi ad Internet”.
Tuttavia se anche il vicino fa la stessa cosa con un altro vicino, e così via ecco che abbiamo ri-creato Internet, e dimostrato per induzione che l’autenticazione non serve!

Conclusione:
L’autenticazione per l’accesso all’informazione genera più impicci che altro, e quindi come diceva Cavour probabilmente “la legge migliore è nessuna”. Le forze dell’ordine per trovare i colpevoli hanno altri modi che non obbligare tutti i cittadini a fornire i loro dati agli operatori. Appare quindi decisamente “contro natura” ogni qual forma di controllo sugli accessi al “mezzo Internet”. Se poi a farlo è l’Italia, spesso quello che esce è un grottesco siparietto come sintetizzato brillantemente da Adriano Casissa nel suo blog con questi passaggi:

1. scoperta di una nuova risorsa  ( in questo caso il wi-fi )
2. totale disinteresse da parte delle autorità ( uiaifai ? e che è ? aaaah pe annà in internette ! )
3. divulgazione libera ed incontrollata ( lasciamoli fare … so ragazzi… )
4. attenzione da parte dei legislatori allertati da tecnici ( Onorevole mi consenta, Le dovrei spiegare una cosa molto importante )
5. repressione del fenomeno con divieti di ogni tipo ( occorre quindi fornire c.i. c.f. numero di scarpe ed intenzioni di navigazione)
6. accettazione di tale limitazione da parte dei cittadini ( Panem et circenses )
   
7. diffusa violazione silenziosa delle normative ( giga e giga di film porno nell armadio )
8. repressione a campione degli insorti ( super multa all’evasor !)
9. manifestazione di disappunto da parte di minoranze informate ( eccomi )
10. attenzione da parte dei legislatori allertati da tecnici (bis)
11. dibattimento parlametare tra incompetenti ( e quelli competenti messi a tacere )
12. abrogazione dei divieti e ri-liberalizzazione totale ( w l’Italia )

OrazioPirataDelloSpazio

PS ovviamente questa è la mia opinione personale eh!