Il controllo di internet è nelle mani di 14 persone

Solo quando succedono cose strane — tipo Facebook e Twitter che crashano — l'opinione pubblica si ritrova a capire qualcosa di essenziale: internet, la cosa più potente che l' homo sapiens abbia mai creato dopo la scrittura, non funziona grazie all'operato dello Spirito Santo dell'ADSL e delle linee telefoniche. La rete mondiale, monolitica com'è, ha delle vulnerabilità strutturali critiche, e la centralizzazione dei DNS ( domain name server) è solo una delle tante.

Dopo l'attacco che ha paralizzato il DNS Dyn e il panico che è seguito, l'autunno scorso, la stampa specializzata si è rapidamente svegliata dal sonno per tirare delle conclusioni impietose: la sopravvivenza del web dipenderà dalla protezione delle cose dall'eventuale asservimento alle botnet e dalla decentralizzazione dei servizi essenziali al funzionamento della rete, tra cui il DNS. Rendiamoci conto del fatto che, in tutto il globo, non esistono che 13 root nameserver — quelli a cui il vostro fornitore d'accesso invia una richiesta di indirizzo IP quando cercate un url con il vostro browser — per generare tutti i protocolli DNS (non immaginate 13 server fisici, ma 13 tipi di indirizzi generati da una moltitudine di server.) Cosa criticatissima dai fanatici dell' Internet atomizzato: quelli del project TOR, i fanatici della blockchain o i creatori di protocolli alternativi come OpenDNS. La sicurezza della rete, di fatto, tutta è nelle mani di 14 persone.

Ma torniamo a noi: il funzionamento di internet dipende, in gran parte, dal protocollo DNS che permette di trasformare un URL (linguaggio umano) in un IP (linguaggio macchina) per dirigerci al sito desiderato. Questo protocollo è generato da dei server DNS, come per esempio Dyn, che comunicano a loro volta con dei DNS-centrali, più alti in gerarchia. Non esistono che 13 tipi di server DNS in tutto il globo, 13 indirizzi IP distribuiti su 130 server. In cima alla piramide c'è il ICANN, che sta per Internet Corporation for Assigned Names and Numbers. L'ICANN sta all'internet come le poste stanno alla corrispondenza: definisce come si scrivono gli indirizzi, gestisce e aggiorna i codici postali, e si assicura che le reti di comunicazione funzionino.

Controllare il database di ICANN significa controllare lo scambio di informazioni di una parte dell'internet. E il problema è che il protocollo DNS è stato inventato in un periodo in cui il web non era ancora lontanamente complesso come oggi. E gli hacker non ci hanno messo molto a trovare la falla (chiamata DNS cache poisoning) che gli permette di dirigere il traffico dove meglio credono (per esempio verso una imitazione perfetta del sito della vostra banca, nell'intento di rubare i vostri dati.) Ed è qui che entra in gioco l'estensione DNSSEC, che permette di verificare che la fonte dati DNS sia ben autenticata. Questa estensione non cifra i vostri dati (è compito di HTTPS o SSL), ma vi avvisa quando la pagina che state visitando non è più affidabile. Sviluppata progressivamente nel corso di una decina di anni, è però ancora lontana dall'essere utilizzata dai più: al momento, soltanto il 15% degli utenti usano DNSSEC, tra cui il server DNS public di Google. Ma a poco a poco il tasso di adozione dell'estensione aumenta, e i grossi operatori come Comcast la propongono ai loro clienti. Infine, DNSSEC è impiegata sull'89% dei 1518 domini di livello superiore (TLDs) come .com, .net e .org, molto alti nella gerarchia DNS.

Per garantire il futuro di DNSSEC, l'ICANN ha quindi messo in piedi nel 2010 un protocollo di sicurezza che riposa su un sistema di chiavi, sia fisiche che numeriche, per proteggere la "fonte" del DNS. Ed è qui che inizia lo spasso. I partigiani dell'internet atomizzato (come dicevo, quelli del project TOR, i fan della blockchain o i creatori di protocolli alternativi come OpenDNS) sono molto contrari perché queste chiavi sono nelle mani di quattordici persone . Sei anni fa, l'ICANN ha selezionato sette persone di fiducia, chiamate Trusted Community Representatives (TCR), e ha consegnato a ognuna un mazzo di chiavi durante una cerimonia solenne che includeva fiaccolate, rituali in maschera e sacrifici di giovani vergini (ok, questo forse no.)

Poi ha ripetuto l'operazione per consacrare sette rimpiazzi (prima regola dell'informatica: avere sempre un backup). Quindi, nel mondo, ci sono 14 uomini e donne che possiedono le chiavi di sicurezza del protocollo DNSSEC a casa loro. Ma rassicuratevi: se dovesse succedere qualsiasi cosa a uno di loro, internet non smetterà di funzionare. Si tornerebbe tranquillamente al vecchio sistema, un po' meno sicuro, e nessuno vedrà la differenza. Tuttavia, se il protocollo dovesse essere compromesso, un'enorme quantità di traffico potrebbe essere rediretto a volontà. Per questa ragione, scrive Business insider, ogni tre mesi dal 2010 il club si riunisce per la "cerimonia delle chiavi", ultra-protocollare, durante la quali i mazzi vengono aggiornati.

Scan della retina, "tasso di disonestà" e sensori sismici

Affinché l'aggiornamento vada come si deve, almeno tre di questi semi-dei deve essere presente, perché servono tre chiavi per aprire la cassetta di sicurezza — sì una vera cassetta di sicurezza in metallo — che contiene le chiavi numeriche. Una volta utilizzate, queste chiavi aprono il sistema che detiene il codice ultimo di internet, due serie di caratteri alfanumerici chiamati "root zone-signing key" (RSK). La RSK è utilizzata per generare delle coppie di codici ragionati, chiamati ZSK, che assicurano le diverse parti dell'internet.

Abbiamo testimonianza di una delle ultime cerimonie, avvenuta il 13 agosto, che Ólafur Guðmundsson, uno dei cripto-ufficiali dell'ICANN ha descritto sul sito di Cloudflare. Il livello di sicurezza è assolutamente sbalorditivo. L'intero protocollo è stabilito con una minuzia di particolari ai limiti del paranoico e inviato a tutti i participanti così che tutti sappiano se qualcuno per caso sta facendo qualcosa di strano durante la cerimonia. La cerimonia poi, filmata e diffusa in streaming, ha luogo dentro una delle due sedi ad altissima sicurezza dell'ICANN (prima regola dell'informatica: avere sempre un backup), in California o in Virginia. Ogni TCR si vede assegnare un compito specifico da effettuare in modo che esista "una possibilità su un milione che un gruppo di cospiratori possa compromettere la RSK, ipotizzando un tasso di malafede del 5%". Sì, la stima in numeri è presente nel regolamento.

Per accedere alla sala blindata, i cripto-ufficiali devono passare attraverso una serie inverosimile di porte che si aprono grazie a delle carte, delle chiavi, dei badge e degli scan della retina. Chiunque voglia penetrare nel complesso utilizzando le maniere forti, attiverebbe i sensori sismici, che corromperebbero irrimediabilmente i dati. La prima sala blindata contiene altre sale blindate, aperte da tre detentori di chiave. Visto che la RSK è conservata in una cassaforte digitale senza interfaccia (chiamata hardware security module, o HSM), i cripto-ufficiali utilizzano un computer portatile modificato: oltre a non essere — ovviamente — connesso a internet, non possiede né batteria né hard disk né batteria dell'orologio interno affinché la RSK non possa lasciare la sua cassaforte digitale. Una volta preparata la RSK, ognuno dei crypto-ufficiali pone la sua firma premendo "Y" su una linea di comando. Il tutto in un ambiente dissoluto tanto quanto un weekend di integrazione alla scuola di commercio, probabilmente. Una volta terminata la cerimonia, vengono pubblicati i diari di bordo, viene messo online il video e tutti tornano a casa con la sensazione di aver fatto il proprio dovere.

La cerimonia del 27 ottobre è stata diversa: storica e ben più complessa, perché la chiave è stata aggiornata per la prima volta dalla sua creazione, nel 2010. Per questione di sicurezza, internet ha cambiato la serratura. Una volta generata la nuova RSK, è stata trasferita nell'altro stabilimento dell'ICANN (utilizzando, questo è un po' deludente, dei mezzi di trasporto commerciali convenzionali). La componente pubblica della nuova chiave viene poi distribuita ai diversi organismi, tra cui gli internet provider, i fabbricanti di materiali o gli sviluppatori Linux che ne hanno bisogno per aggiornare i loro prodotti.

In tutto, il processo durerà circa due anni, anche se la nuova chiave sarà progressivamente utilizzata per le firme a partire da ottobre 2017. Resta ora da passare parola agli attori di internet, così che tutti si aggiornino. Il tutto, nel modo più trasparente possibile. Dopotutto, il protocollo DNS che garantisce la sicurezza di gran parte dei contenuti di internet è basato sulla fiducia riposta in quattordici esseri umani.