Skip to content →

Αόρατες Υποδομές: Κατανοώντας τα Αυτόνομα Συστήματα

από: labs.rs [10.02.2015]

μετάφραση

Ο πυρήνας του διαδικτύου (internet) δεν είναι αυτό που οι περισσότεροι αντιλαμβάνονται όταν είναι “online”. Ναι μεν είναι ένας αφηρημένος χώρος που παρέχει άπειρες δυνατότητες, αλλά αποτελείται στην ουσία από υλικό, εκατομμύρια διακομιστές (servers), διανομείς (routers), καλώδια και άλλες περιφερειακές δικτυακές συσκευές. Στην πλειονότητα των περιπτώσεων υπάρχει μια ενσύρματη η ασύρματη σύνδεση που “φτάνει” τον κάθε χρήστη του διαδικτύου. Κάθε μια από τις συνδεδεμένες στο διαδίκτυο συσκευές έχει την δική της φυσική τοποθεσία. Μερικές από αυτές τις συσκευές είναι ομαδοποιημένες, κάτι το οποίο καθιστά τις τοποθεσίες τους ένα τρόπον τινά “σταυροδρόμι” του διαδικτύου.

Ένας από τους λόγους που σπάνια συζητάμε περί της αόρατης αυτής δικτυακής υποδομής του internet είναι το γεγονός ότι η ταχύτητα των πακέτων δεδομένων που ταξιδεύουν μέσα στο δίκτυο είναι τόσο μεγάλη που τις περισσότερες φορές δεν νιώθουμε αισθητή διαφορά είτε το πακέτο ταξιδεύει λίγα τετράγωνα πιο κάτω είτε στην άλλη άκρη του κόσμου.

Η παρατήρηση, πως αυτή η ταχύτητα παραμένει “αόρατη” σε εμάς, δεν αλλάζει το γεγονός πως αυτά τα πακέτα μέσα σε λίγα κλάσματα του δευτερολέπτου, ταξιδεύουν χιλιάδες χιλιόμετρα καλωδίων, μέσω μυριάδων διακομιστών, σε διαφορετικές εθνικές περιοχές και περνούν από μερικά εν δυνάμει σημεία οπού (τα πακέτα) μπορούν να ληφθούν, να επιβραδυνθούν, να αποθηκευθούν, να αντιγραφούν ή να παρατηρηθούν.

Σε αντίθεση με το τηλεφωνικό δίκτυο, το οποίο για αρκετά χρόνια αποτελούσε εταιρικό μονοπώλιο στις περισσότερες χώρες, ο παγκόσμιος ιστός αποτελείται από δεκάδες χιλιάδες διασυνδεδεμένα δίκτυα τα οποία διαχειρίζονται τηλεπικοινωνιακές εταιρείες, πάροχοι internet, μεμονωμένες εταιρείες, πανεπιστήμια, κυβερνήσεις και άλλοι. Αυτές οι οντότητες διέπονται από διαφορετικές νομοθετικές ρυθμίσεις, επιχειρησιακές και τεχνικές σχέσεις, πολιτικές ιδιωτικότητας και μοντέλα ιδιοκτησίας. Ακόμα και οι συνηθέστερες και πιο ευαίσθητες μορφές επικοινωνίας μας στηρίζονται σε αυτές τις οντότητες. Παρόλα αυτά, τις περισσότερες φορές, η γνώση μας για τον τρόπο διασύνδεσης αυτών των δικτύων και τον τρόπο χειρισμού των δεδομένων μας παραμένει ελλιπής.

Το πρώτο βήμα για να κατανοήσουμε αυτό το αόρατο δίκτυο είναι η προσπάθεια κατανόησης της δομής του κοντινότερου σε εμάς δικτύου, αυτού που διαχειρίζεται ο πάροχος internet (Internet Service Provider) και αποτελεί ιδιοκτησία του. Κάθε πάροχος είναι μοναδικός, έχοντας διαφορετικό αριθμό χρηστών, διαφορετικό αριθμό διασυνδεδεμένων routers που με τη σειρά τους οργανώνονται σε διαφορετικές δομές.

Κάθε συσκευή που συνδέεται στο internet (ο προσωπικός σας υπολογιστής, τα routers, οι servers) έχουν μια διεύθυνση IP. Η διεύθυνση IP (Internet Protocol)  είναι μια λογική διεύθυνση του διαδικτύου που καθιστά δυνατή τη ροή δεδομένων στο internet. Ο οργανισμός IANA (Internet Assigned Numbers Authority) μέσω των RIR (Regional Internet Registries) αναθέτει τις διευθύνσεις αυτές σε οντότητες που επιθυμούν να τις αγοράσουν και καταρτεί μια βάση δεδομένων με το εύρος διευθύνσεων που ανήκει σε αυτές καθώς και με άλλα δεδομένα όπως το εύρος διευθύνσεων που κατέχει η κάθε χώρα. Έτσι ο κάθε ISP (πάροχος internet) έχει μια πεπερασμένη και ορισμένη λίστα διευθύνσεων IP που με τη σειρά του διαθέτει στους χρήστες των υπηρεσιών του και στις ίδιες δομές του.

Αυτή η λίστα, το ευρύ πλήθος των διευθύνσεων IP που κατέχει ο κάθε πάροχος, αποτέλεσε το αρχικό σημείο της έρευνάς μας.

Χρησιμοποιήσαμε τα εύρη των διευθύνσεων IP του κάθε παρόχου και δημιουργήσαμε ένα τοπολογικό χάρτη δικτύου για τον κάθε ένα. Προκειμένου να οπτικοποιήσουμε μεγάλες ομάδες δεδομένων, στην περίπτωση μας περισσότερες από 300.000 διευθύνσεις IP και τους μεταξύ τους συνδέσμους,  έπρεπε να χρησιμοποιήσουμε ένα εργαλείο ικανό να αναπαραστήσει, να επεξεργαστεί και να μετατρέψει το δίκτυο σε ένα χάρτη. Χρησιμοποιήσαμε, λοιπόν, το Gephi, μια διαδραστική πλατφόρμα οπτικοποίησης και διερεύνησης δεδομένων, κατάλληλη για διαφόρων ειδών δίκτυα και πολύπλοκα συστήματα, δυναμικούς και ιεραρχικούς γράφους. Τα παραγόμενα αποτελέσματα παρατίθενται παρακάτω σε μορφή 30 διαφορετικών χαρτών που αφορούν την Σερβία.

Διαφορετικές δομές και τι μπορούμε να μάθουμε από αυτές.
Η ανάλυση της δομής ενός δικτύου μπορεί να είναι χρήσιμη για διάφορες πτυχές της ασφάλειας του ίδιου, καθώς και της απόδοσής του, αλλά το κύριο ενδιαφέρον μας ως ερευνητές σε αυτή την περίπτωση σχετίζεται με την πιθανή κατάχρηση της ιδιωτικότητας στο δίκτυο, την ψηφιακή παρακολούθηση, την αποθήκευση πληροφοριών και τα διαφορετικά είδη φιλτραρίσματος του παγκοσμίου ιστού, που περιλαμβάνουν τον έλεγχο του περιεχομένου του και την λογοκρισία.

Υπάρχουν τρεις βασικές δομές δικτύων:
Κεντροποιημένο. Όλες οι συσκευές συνδέονται σε ένα κέντρο. Αυτό το κέντρο έχει προνομιούχα πρόσβαση και εξαιτίας αυτού αντιπροσωπεύει την κυρίαρχη οντότητα σε αυτό το δίκτυο.
Αποκεντρωμένο. Παρόλο που το κέντρο είναι ακόμα το σημείο με την μεγαλύτερη προσβασιμότητα, το δίκτυο είναι δομημένο έτσι ώστε τα υπο-κέντρα να έχουν επίσης σημαντικό εύρος προσβασιμότητας.
Κατανεμημένο. Κανένα κέντρο δεν έχει εύρος προσβασιμότητας που να διαφέρει σημαντικά από το εύρος των άλλων κέντρων.

Αναλύοντας, λοιπόν, τους χάρτες των Σέρβων παρόχων παρατηρήσαμε πως υπάρχουν τόσο κεντροποιημένα όσο και αποκεντρωμένα μοντέλα. Ένα κεντροποιημένο μοντέλο μπορεί να αποδοθεί στον κρατικό πάροχο ονοματι Telekom Serbia ενώ ένα παράδειγμα αποκεντρωμένου δικτύου συναντάνται στην περίπτωση του πανεπιστημιακού δικτύου – Amres.

Αλλά εκτός από την ικανοποίηση της περιέργειας μας για μια βαθύτερη κατανόηση του τεχνολογικού μας περιβάλλοντος και του πάθους μας για οπτικοποίηση μεγάλου όγκου δεδομένων, μπορούμε να έχουμε κάποια πρακτική χρήση αυτών των χαρτών στο πεδίο της ελευθερίας του διαδικτύου και της ιδιωτικότητας του κάθε χρήστη;

Το παιχνίδι του φιλτραρίσματος
Το διαδικτυακό φιλτράρισμα (ή αλλιώς Διαδικτυακή Λογοκρισία) είναι μια από τις πιο διαδεδομένες κυβερνητικές πρακτικές για τον διαδικτυακό έλεγχο. Η διαδικτυακή ελευθερία ανά τον κόσμο παρουσιάζει μείωση για τέταρτη συνεχόμενη χρονιά, με τον αριθμό των χωρών που εισάγουν διαδικτυακή λογοκρισία και τακτικές ελέγχου πιο επιθετικές και πιο εκλεπτυσμένες ταυτόχρονα όσον αφορά την στόχευση μεμονωμένων χρηστών του διαδικτύου να αυξάνει.

Υπάρχουν τρεις κοινότοπες πρακτικές αποκλεισμού πρόσβασης σε ιστότοπους του διαδικτύου: Το “μπλοκάρισμα” της διεύθυνσης IP, η αλλοίωση του DNS και το “μπλοκάρισμα” του URL μέσω proxy. Αυτές οι τεχνικές χρησιμοποιούνται για να αποτρέψουν την πρόσβαση σε συγκεκριμένες ιστοσελίδες, σε συγκεκριμένα πεδία του διαδικτύου ή σε συγκεκριμένες διευθύνσεις αυτού. Όταν οι ιστοσελίδες που θέλουμε να στοχεύσουμε είναι εκτός νομικής δικαιοδοσίας της εκάστοτε κυβέρνησης (δηλαδή εδρεύουν σε μια ξένη χώρα) τότε η παραπάνω τεχνική αποτελεί την πλέον αποτελεσματική επιλογή για να αποτραπεί η είσοδος στους κατοίκους της χώρας. Υπάρχουν, βέβαια, και πιο ανεπτυγμένες τεχνικές (το “μπλοκάρισμα” αναζήτησης που εμπεριέχει απαγορευμένους όρους, η ανάλυση με την χρήση λέξεων κλειδιών, η δυναμική ανάλυση περιεχομένου) οι οποίες όμως είναι πιο σπάνιες και για τις οποίες θα γίνει λόγος σε επόμενο μέρος της έρευνάς μας.

Μεγάλο ενδιαφέρον, σχετικά με την χαρτογράφηση των παρόχων, εγείρει η εξής ερώτηση: Σε ποιό ακριβώς σημείο της δικτυακής τοπολογίας του παρόχου θα συμβεί η φραγή; Σύμφωνα με την έρευνα της πρωτοβουλίας OpenNet, η διαδικτυακή φραγή μπορεί να συμβεί σε κάθε έναν ή και στο σύνολο των τεσσάρων κόμβων του δικτύου, που καταγράφονται παρακάτω:
1) ΜΕΜΟΝΩΜΕΝΟΙ ΥΠΟΛΟΓΙΣΤΕΣ
2) ΟΡΓΑΝΙΣΜΟΙ. Το να γίνεται φιλτράρισμα του δικτύου σε επίπεδο οργανισμών χρησιμοποιώντας τεχνικό μπλοκάρισμα
3) ΠΑΡΟΧΟΙ INTERNET. Η φραγή με εντολή της κυβέρνησης συνήθως υλοποιείται από τους παρόχους internet (ISP) χρησιμοποιώντας οποιαδήποτε μια ή και συνδυασμό των άνωθι τεχνικών φραγής.
4) ΔΙΑΔΙΚΤΥΑΚΗ ΥΠΟΔΟΜΗ. Η κρατική υλοποίηση φραγής σε εθνικό επίπεδο και η εφαρμογή τεχνολογιών φραγής μπορεί να επιτευχθεί με παρέμβαση στο επίπεδο της υποδομής του διαδικτύου, επηρεάζοντας έτσι την διαδικτυακή πρόσβαση σε ολόκληρη τη χώρα. Αυτό συνήθως συμβαίνει στο international gateway (διεθνή πύλη ροής δεδομένων) της κάθε χώρας.

Σε μια προηγούμενη μας έρευνα σχετικά με τον τρόπο διαδικτυακού φιλτραρίσματος που ακολούθησε το εθνικό ερευνητικό και εκπαιδευτικό δίκτυο της Σερβίας – AMRES, ανακαλύψαμε μια αποκεντρωμένη μέθοδο φιλτραρίσματος περιεχομένου, που κατ’ εξουσιοδότηση υλοποιούνταν μέσω τοπικών διαχειριστών δικτύου και διακομιστών σε κάθε Σέρβικο πανεπιστήμιο. Κάθε τοπικός διαχειριστής ήταν υπεύθυνος για τη δική του λίστα με απαγορευμένες ιστοσελίδες και ροές. Το δίκτυο AMRES είναι ένας από τους παλαιότερους παρόχους internet στη Σερβία, που καθιερώθηκε στις αρχές της δεκαετίας του ’90, και η μέθοδος φραγής που παρουσιάστηκε παραπάνω αποτελεί φιλτράρισμα σε επίπεδο οργανισμού. Εάν ρίξουμε μια ματιά στην οπτικοποίηση του δικτύου AMRES, μπορούμε να δούμε ξεκάθαρα γιατί αυτή η μέθοδος φραγής αποτέλεσε την πλέον κατάλληλη – η αποκεντρωμένη δομή του δικτύου κατά κάποιον τρόπο επιβάλλει μια τέτοιου τύπου στρατηγική.

Κατά τη γνώμη μας, αυτό το είδος και η πολυπλοκότητα μιας δικτυακής δομής, το μοντέλο ιδιοκτησίας και οι ανάγκες διαχείρισης παίζουν σημαντικό ρόλο στον καθορισμό του μοντέλου διαδικτυακού φιλτραρίσματος καθώς και στην ποσότητα και τον τύπο εξοπλισμού που θα χρησιμοποιηθεί για αυτό το σκοπό. Για εμάς, χρήστες ή ερευνητές, που δεν έχουμε πρόσβαση σε προνομιούχες πληροφορίες, η ανάλυση των δικτυακών τοπολογικών χαρτών, μπορεί να αποτελέσει σημείο έναρξης για την καλύτερη κατανόηση δομών ελέγχου και πιθανής καταστολής.

Το Δεκέμβριο του 2014, η κυβέρνηση της Σερβίας έστειλε στην Βουλή ένα σχέδιο τροπολογίας για τον νόμο περί τυχερών παιγνίων. Οι προτεινόμενες αλλαγές υιοθετήθηκαν χωρίς συζήτηση και δημόσια επανατροφοδότηση, παρόλο που η έγκριση αυτών των μέτρων θα εισήγαγε διαδικτυακή λογοκρισία στην Σερβία μέσω μιας κερκόπορτας. Η πρόταση με τα περισσότερα προβλήματα αφορούσε την τροπολογία που απαγόρευε “την παροχή πρόσβασης σε ιστότοπους μέσω των εγχώριων ISPs σε νομικά πρόσωπα ή μεμονωμένους πολίτες που διοργανώνουν τυχερά παίγνια χωρίς την έγκριση ή την συγκατάθεση της διοικούσας υπηρεσίας.”

Ευτυχώς, μετά από την ανάλυση της πρότασης από το ίδρυμα SHARE το τελευταίο ξεκίνησε μια ενημερωτική εκστρατεία στα μέσα μαζικής ενημέρωσης και η αλλαγή του νόμου αποσύρθηκε από την κοινοβουλευτική διαδικασία μετά από κυβερνητική παρέμβαση. Σε μια παράγραφο του σχεδίου της τροπολογίας αναφερόταν πως η εγκατάσταση, η συντήρηση και το κόστος του εξοπλισμού που προορίζονταν για το διαδικτυακό φιλτράρισμα θα ήταν ευθύνη του εκάστοτε παρόχου. Με σκοπό να παρέχουμε ένα επιχείρημα σχετικά με τα παράλογα κόστη που θα επωμιζόταν κάθε πάροχος, προσπαθήσαμε να αναλύσουμε τον τοπολογικό χάρτη κάθε Σέρβικου παρόχου και κατ’ επέκταση την ποσότητα και το είδος του εξοπλισμού που αυτός θα χρειαζόταν να προμηθευθεί. Παρόλο που η μέθοδος μας δεν είναι 100% ακριβής, είχαμε στα χέρια μας κάτι με το οποίο μπορούσαμε να εργαστούμε, κάτι το οποίο μας έδωσε μια κάποια επίγνωση του άγνωστου και αόρατου σχεδιασμού αυτών των δικτύων. Κοιτώντας το χάρτη δικτύου της εταιρείας Telekom Serbia, του μεγαλύτερου παρόχου στη Σερβία και κατόχου του μεγαλύτερου μέρους της δικτυακής υποδομής, μπορούσαμε να παρατηρήσουμε την υψηλά συγκεντρωτική δομή στην οποία σχεδόν όλοι οι κύριοι κόμβοι και διακομιστές συνδέονται μέσω μόνον δύο κεντρικών servers. Το λογικό συμπέρασμα είναι πως προκειμένου να επιτύχουν φιλτράρισμα σε πραγματικό χρόνο θα χρειαστεί να εγκαταστήσουν εξοπλισμό μονάχα σε αυτούς τους κεντρικούς κόμβους. Από την άλλη βέβαια, κρίνοντας από τον αριθμό κόμβων που προσάπτονται σε αυτούς τους δύο κεντρικούς κόμβους, μπορούμε να μαντέψουμε πως οι τελευταίοι είναι ικανοί να επεξεργαστούν τεράστιες ποσότητες πληροφορίας και για αυτό το λόγο και ο εξοπλισμός που πρέπει να εγκατασταθεί θα έπρεπε να είναι υπερ-υψηλής επίδοσης. Μπορέσαμε λοιπόν να εκτιμήσουμε τον τύπο και το κόστος αυτού του εξοπλισμού με δεδομένο το μικρό πλήθος κατασκευαστών τέτοιου εξοπλισμού.

Παίξαμε το παιχνίδι του φιλτραρίσματος στους χάρτες και των άλλων παρόχων και κάθε ένας ήταν μια ιδιαίτερη περίπτωση. Οι περισσότεροι από αυτούς ήταν πολύ περισσότερο αποκεντρωμένοι και χρειαστήκαμε περισσότερες προσπάθειες για να ανακαλύψουμε που θα μπορούσε πρακτικά να εφαρμοστεί το φιλτράρισμα. Τα αποκεντρωμένα δίκτυα είναι πιο πολύπλοκα όσον αφορά τον έλεγχο, εμπλέκουν περισσότερα σταυροδρόμια, περισσότερα σημεία που πρέπει να καλύψεις αν θέλεις να έχεις πρόσβαση σε όλες τις ροές δεδομένων. Παρόλα αυτά είναι δύσκολο να μην δει κανείς το σχήμα της δικτυακής δομής “Πανόπτη” στην περίπτωση υποδομών παρόμοιων με την περίπτωση της Telekom Serbia.

Δεδομένου ότι η ανάλυση μας εφαρμόζεται ακόμα στο επίπεδο μεμονωμένων παρόχων, αυτό αποτελεί μόνο ένα μικρό κομμάτι της ιστορίας. Το internet είναι ένα δίκτυο αποτελούμενο από δίκτυα και προκειμένου να αναγνωρίσουμε και να κατανοήσουμε που βρίσκονται τα σημεία ελέγχου, πρέπει να εξετάσουμε τις τοπικές τους διασυνδέσεις με τα διεθνή δίκτυα. Αυτό όμως αποτελεί το ζήτημα της επόμενής μας ανάλυσης.