Fino al 2018, il domain fronting abilitato da Google, Amazon e Microsoft consentiva agli utenti Web di eludere i divieti e la sorveglianza di Internet. Lo ripristineranno in Iran?
Ora che il governo iraniano ha adottato misure estreme per limitare l’accesso ad Internet in risposta alle proteste a favore della democrazia che hanno riempito le strade del paese da metà settembre, le società tecnologiche occidentali si sono affrettate a riaprire l’accesso ai cittadini iraniani.
Signal ha chiesto ai suoi utenti di aiutare a gestire i server proxy con il supporto dell’azienda. Google ha offerto crediti per aiutare gli iraniani a connettersi online utilizzando Outline, la VPN dell’azienda. E in risposta a un post del Segretario di Stato americano Antony Blinken sulla censura iraniana, Elon Musk ha rapidamente twittato: “Starlink Attivato…”
Ma queste soluzioni alternative non sono sufficienti. Nonostante siano arrivati in Iran i primi satelliti Starlink di contrabbando, il ripristino di Internet ne richiederà probabilmente diverse migliaia in più. Signal spiega al MIT Technology Review di aver incontrato difficoltà con “fornitori di telecomunicazioni iraniani che hanno impedito la consegna di alcuni codici di convalida SMS”.
E l’Iran ha già rilevato e disattivato la VPN di Google, un evento comune quando una singola VPN diventa troppo popolare (in più, a differenza della maggior parte delle VPN, Outline ha un costo in denaro).
Per non parlare del fatto che “non esiste un meccanismo affidabile che permetta agli utenti iraniani di trovare questi proxy“, sottolinea Nima Fatemi, capo dell’organizzazione no profit per la sicurezza informatica globale Kandoo. Vengono promossi sui social network, già di loro vietati in Iran. “Anche se apprezzo l’interessamento”, aggiunge, “non è particolarmente ben pensato o efficace”.
C’è qualcosa di più che Big Tech potrebbe fare, secondo alcuni attivisti pro-democrazia ed esperti di libertà digitale. È una proposta che ha ricevuto poca attenzione, nonostante si tratti di uno strumento che molti dei principali fornitori di servizi offrivano fino a pochi anni fa.
“Una cosa di cui la gente non parla è di domain fronting“, dichiara Mahsa Alimardani, ricercatrice di Internet presso l’Università di Oxford e Article19, un’organizzazione per i diritti umani incentrata sulla libertà di espressione e informazione. È una tecnica che gli sviluppatori hanno utilizzato per anni per aggirare restrizioni di Internet come quelle che hanno reso incredibilmente difficile agli iraniani comunicare in sicurezza.
In sostanza, il domain fronting consente alle app di mascherare il traffico diretto nella loro direzione; ad esempio, quando qualcuno digita l’indirizzo di un sito in un browser, questa tecnica interviene in quel bit di comunicazione tra browser e sito per confondere ciò che il computer vede nel back-end e mascherare la vera identità del sito d’arrivo.
Ai tempi del domain fronting, “le piattaforme cloud venivano utilizzate per eludere le restrizioni“, spiega Alimardani. Dal 2016 al 2018, app di messaggistica sicure come Telegram e Signal hanno utilizzato l’infrastruttura di cloud hosting di Google, Amazon e Microsoft, su cui gira la maggior parte del Web, per mascherare il traffico degli utenti e contrastare con successo i divieti e la sorveglianza in Russia e in tutto il Medio Oriente.
Google e Amazon hanno interrotto la pratica nel 2018, dopo la reazione del governo russo e citando preoccupazioni su possibili abusi da parte di hacker. Ora gli attivisti che lavorano sul crocevia tra diritti umani e tecnologia dichiarano che ripristinare la tecnica, con alcune modifiche, permetterebbe all’industria del Big Tech di utilizzare questo strumento per restituire rapidamente internet agli iraniani.
Secondo Alimardani, ripristinare il domain fronting “sarebbe un buon punto di partenza“, se i giganti della tecnologia fossero davvero intenzionati a dare una mano. “Dare una mano con le tecnologie di elusione della sorveglianza richiede un investimento e aver soppresso la pratica del domain fronting non è davvero una buona idea”.
Il domain fronting potrebbe essere uno strumento fondamentale per aiutare i manifestanti e gli attivisti a rimanere in contatto tra loro per organizzarsi, proteggersi e mantenere aggiornati familiari e amici preoccupati in un periodo di tumulti.
“Ogni volta che usciamo di casa sappiamo che potrebbe essere l’ultima volta che li vediamo”, spiega Elmira, una donna iraniana sulla trentina che ha chiesto di essere identificata solo con il suo nome per motivi di sicurezza.
Tuttavia, nessuna grande azienda ha dichiarato pubblicamente che prenderà in considerazione il lancio o il ripristino dello strumento anticensura. Due dei tre principali fornitori di servizi che in precedenza facevano uso di domain fronting, Google e Microsoft, non hanno risposto ai tentativi di contatto.
Il terzo, Amazon, ha indirizzato MIT Technology Review a un post sul blog del 2019 in cui un product manager descriveva i passaggi che l’azienda ha intrapreso per ridurre al minimo “l’abuso delle pratiche di domain fronting”.
Il gatto che gioca col topo
Ormai, la maggior parte dei cittadini iraniani si aspetta un controllo al tappeto delle proprie comunicazioni da parte dei poteri dello stato. “Ascoltano e controllano quasi tutte le comunicazioni per contrastare le manifestazioni”, afferma Elmira. “È come venire soffocati.”
Questo non è, in generale, un fenomeno nuovo nel paese. Ma ha raggiunto un punto di crisi negli ultimi due mesi, durante una crescente ondata di proteste antigovernative scatenate dalla morte della 22enne Mahsa Amini il 16 settembre dopo che la Guidance Patrol iraniana, più comunemente nota come la polizia morale, l’ha arrestata per aver indossato il hijab diversamente da come prescritto.
“Il mondo intero ha scoperto che la questione dell’hijab, che io stessa credo debba essere una scelta personale, può trasformarsi in un incidente che causa la morte di una ragazza”, spiega Elmira.
Secondo i gruppi per i diritti umani, oltre 300 persone, tra cui almeno 41 bambini, sono state uccise dall’inizio delle proteste. La repressione è stata particolarmente brutale nell’Iran occidentale, in gran parte curdo, da dove proveniva Amini e dove ora vive Elmira. Limitare severamente l’accesso a Internet è stato un modo per il regime di reprimere ulteriormente il dissenso.
I semi dell’odierna repressione digitale risalgono al 2006, quando l’Iran annunciò l’intenzione di creare una propria intranet, una rete nazionale esclusiva progettata per tenere gli iraniani fuori dal World Wide Web.
“Si tratta di un obiettivo difficile da realizzare“, dichiara Kian Vesteinsson, analista senior per l’organizzazione no profit per la democrazia globale Freedom House. difficile in quanto richiede la creazione di una copia dell’infrastruttura globale con risorse domestiche mentre si taglia l’accesso al web globale.
Il vantaggio sono “spazi digitali più facili da monitorare e controllare”, afferma Vesteinsson. Dei sette paesi che cercano di isolarsi da Internet globale, l’Iran è attualmente quello più avanti.
“Non è la prima volta che i servizi Internet vengono interrotti in Iran”, afferma Elmira. “La ragione di questa azione è la paura del governo, perché qui non c’è libertà di parola”
L’Iran ha debuttato con la sua rete nazionale di informazioni nel 2019, quando le autorità hanno attivato un kill switch nazionale sul web globale tra le proteste sui prezzi del gas.
Nel corso di una singola settimana in cui il Paese è stato isolato elettronicamente dal resto del mondo, il regime ha ucciso 1.500 persone e l’economia iraniana, che fa affidamento su di una connettività più ampia per fare affari, ha perso oltre un miliardo di dollari.
Sebbene recentemente l’Iran abbia interrotto in modo intermittente l’accesso all’intera Internet globale in alcune regioni, non ha istituito un’altra chiusura totale del Web globale. Persegue, piuttosto, strategie di censura progettate per schiacciare il dissenso senza compromettere l’economia.
Il “coprifuoco digitale” entra in vigore alle 16 circa, fino alle prime ore del mattino, rendendo l’accesso indicibilmente difficile proprio negli orari chiave delle proteste. Il governo ha bloccato le app più popolari, tra cui Twitter, Instagram, Facebook e WhatsApp, a favore di imitazioni locali in cui nessun messaggio o ricerca è privato.
“Le app di messaggistica che utilizziamo, come WhatsApp, hanno un certo livello di protezione incorporato nella loro codifica”, afferma Elmira. “Ci sentiamo più a nostro agio nell’usarli. [Il governo] non può avere il controllo su di loro e, di conseguenza, ne limitano l’accesso”.
Il regime iraniano sta anche chiudendo in modo aggressivo le VPN, un’ancora di salvezza per molti iraniani e la soluzione più popolare contro la censura del paese. Circa l’80% degli iraniani utilizza strumenti per aggirare la censura e utilizza le app che preferisce.
“Anche mio nonno sa come installare un’app VPN”, mi dice una donna iraniana che ha chiesto l’anonimato per motivi di sicurezza
Per reprimere l’uso delle VPN, il governo iraniano ha investito molto nella “deep packet inspection”, una tecnologia che scruta la stampa fine del traffico Internet e può riconoscere e chiudere quasi tutte le VPN.
Si è quindi creata una situazione simile ad un “gioco tra gatto e topo”, afferma Alimardani. “Devi offrire, tipo, migliaia di VPN“, dice, in modo che alcune rimangano disponibili mentre l’Iran ne riconosce e ne blocca diligentemente altre. Senza un numero sufficiente di VPN, agli attivisti non vengono lasciate abbastanza opzioni di comunicazione sicure, il che rende molto più difficile per gli iraniani coordinare le proteste e comunicare con il mondo esterno mentre il bilancio delle vittime aumenta.
Domain fronting per battere la censura
Il domain fronting funziona nascondendo l’app o il sito Web che un utente desidera raggiungere. È un po’ come mettere una cartolina con l’indirizzo corretto in una busta con una destinazione diversa e innocua, e poi farsi consegnare a mano da qualcuno all’indirizzo falso.
La tecnica è interessante perché implementata da fornitori di servizi piuttosto che dagli individui, che possono essere, o meno, esperti di tecnologia. Rende anche più difficile ai governi implementare una politica di censura.
L’unico modo per vietare un’app domain-fronted è chiudere l’intero provider di web hosting utilizzato dall’app, comprese una valanga di altre app e siti. E poiché Microsoft, Amazon e Google forniscono servizi di hosting per la maggior parte del mondo digitale, se tali società applicassero la pratica, costringerebbero i paesi a bloccare gran parte di Internet per negare l’accesso ad una singola app.
“Non c’è modo di bloccare, per esempio, solo Telegram. Questo è il potere del domain fronting”, afferma Erik Hunstad, esperto di sicurezza e CTO della società di sicurezza informatica SixGen.
Tuttavia, nell’aprile 2018, la Russia ha bloccato Amazon, Google e una serie di altri servizi popolari per eliminare l’app di messaggistica sicura Telegram, che inizialmente utilizzava il domain fronting proprio per sconfiggere la censura. Queste interruzioni hanno reso il divieto ampiamente impopolare tra i russi medi, non solo tra gli attivisti che hanno favorito l’app.
Il governo russo, a sua volta, ha esercitato pressioni su Amazon e Google per porre fine alla pratica. Nell’aprile 2018, le società hanno interrotto ogni pratica di domain fronting. “Amazon e Google hanno appena disabilitato completamente questo servizio potenzialmente estremamente utile”, afferma Alimardani.
Google ha apportato la modifica in silenzio, per poi descrivere la tecnica sula rivista The Verge come “stravaganza” del proprio software. Nel suo stesso annuncio, Amazon dichiara che il domain fronting comporterebbe il rischio di veicolare malware nel normale traffico internet. È vero che gli hacker possono abusare della tecnica: il gruppo di hacker russo APT29 ha utilizzato il domain fronting, insieme ad altri mezzi, per accedere a dati riservati.
Ciononostante, Signal, che ha iniziato a utilizzare la tecnologia nel 2016 per operare in diversi paesi del Medio Oriente che stano tentanto di bloccare l’app, all’epoca dichiarò apertamente che: “I censori di questi paesi hanno (almeno temporaneamente) raggiunto i loro obiettivi”.
“Sebbene il domain fronting funzioni ancora con domini ospitati su reti più piccole, ciò limita notevolmente l’attuale utilità della tecnica”, afferma Simon Migliano, esperto di privacy digitale e responsabile della ricerca presso Top10VPN, un sito Web indipendente di recensioni di VPN.
Microsoft ha eliminato il domain fronting nel 2021, ma l’infrastruttura cloud che consente la tecnica è intatta. All’inizio di questa settimana, Microsoft ha scritto che, in futuro, “bloccherà qualsiasi richiesta HTTP che faccia uso di domain fronting”.
Migliano fa eco a Google nel descrivere il domain fronting come “essenzialmente un bug” e ammette che presenta “rischi per la sicurezza molto reali“. È «certamente un peccato» che le aziende lo stiano revocando, dice, «ma potete capire la loro posizione».
Ma secondo Hunstad, che lavora anche nella sicurezza informatica, ci sarebbe modo di ridurre al minimo i rischi per la sicurezza informatica del domain fronting preservandone l’utilità come strumento anticensura. È suo parere che per come le reti elaborano le richieste degli utenti, Google, Amazon o Microsoft potrebbero facilmente attivare permettere il domain fronting per determinate app, come WhatsApp o Telegram, vietando altrimenti la tattica.
Non è tanto un problema tecnico ad impedire ai grandi fornitore di riattivare il domain fronting, dice Hunstad, quanto piuttosto di un classico “dilemma del prigioniero”: sono bloccati tra la pressione dei governi autoritari e la protesta degli attivisti. E sicuramente non mancano i motivi fianziari.
“Se sto ospitando il mio sito Web su Google e l’azienda decide di abilitare il domain fronting per Signal e Telegram, o magari per l’intero sistema, nel momento in cui alcuni paesi dovessero decidere di chiudere l’accesso a tutto Google per questo motivo, tutti i siti si ritrovano una copertura più ristretta, dice Hunstad. “Mi limiterò a rivolgermi al fornitore che non sta facendo uso di una pratica che mi danneggia e Google perderà business”.
La probabilità che Amazon o Google ripristinino il domain fronting dipende da un cinico calcolo tra “profitto e buone intenzioni”, Hunstad
Cosa accade ora
Sebbene Fatemi, di Kandoo, sostenga che il ripristino domain fronting sarebbe utile per i manifestanti iraniani, ci tiene anche a sottolineare che non si tratterebbe di una soluzione miracolosa.
“Sarebbe una soluzione a breve termine per permettere alle persone, ad esempio, di utilizzare Signal o connettersi a dei VPN”, afferma. Aggiunge che aziende come Google potrebbero collaborare con organizzazioni non profit specializzate nell’implementazione della tecnologia in situazioni vulnerabili, se volessero veramente produrre soluzioni di supporto veloci.
Ma le aziende Big Tech devono anche impegnare una fetta maggiore delle proprie risorse e del proprio talento nello sviluppo di tecnologie in grado di battere la censura di Internet, afferma: “[Il domain fronting è] un cerotto posto su di un problema molto più ampio. Se vogliamo affrontare il problema più grande, servono ingegneri specializzati”.
Fino a quando il mondo non troverà una soluzione duratura ai tentativi autoritari di frammentare il web globale, le aziende tecnologiche che vogliono aiutare le persone saranno lasciate da sole a cercare tattiche reattive.
“Dovrebbe esserci un intero toolkit di diversi tipi di VPN e strumenti di elusione, perché quello che stanno facendo è altamente sofisticato”, afferma Alimardani. “Google è una delle aziende più ricche e potenti del mondo. E offrire una singolo VPN non è davvero sufficiente.”
Quindi per ora, a sette settimane dall’inizio delle proteste iraniane, l’accesso a Internet e VPN rimane limitato, le restrizioni non mostrano segni di rallentamento e il domain fronting rimane inattivo. E sono i cittadini in prima linea che devono sopportare il peso maggiore delle azioni del governo.
“Le condizioni sono disastrose qui”, mi dice Elmira. La mancanza di connettività ha reso i massacri difficili da verificare e ha complicato gli sforzi per sostenere le proteste e l’attivismo. “Per contrastare le manifestazioni, hanno interrotto il nostro accesso a Internet e ai social media”, afferma.
“Io e molti dei miei amici ora usciamo senza paura”, dice Elmira. “Sappiamo che potrebbero spararci. Ma vale la pena correre questo rischio e uscire e fare del nostro meglio, piuttosto che stare a casa e continuare a subire”
