Ciò che non trovate scritto nel contratto Speedy di SeleneBS

Penso di fare cosa gradita, sia a SeleneBS che ai clienti attuali e potenziali, evidenziando qui un fatto importante, non menzionato nel contratto Speedy (connessione a internet via rete elettrica attivo per la città di Brescia). Faccio qui riferimento in particolare al contratto Speedy 4U, da me sottoscritto.

Viene infatti utilizzato un software di Intrusion prevention (SNORT) per filtrare il traffico internet degli utenti Speedy.
Tale filtro analizza il contenuto del traffico in transito, troncando la sessione nel caso venga trovata una corrispondenza con pattern prestabiliti. In particolare il filtro agisce sulle sessioni di navigazione internet (porta di destinazione 80, protocollo TCP).

Questo può comportare per il cliente di Speedy alcuni "piccoli" disguidi, come ad esempio:

Impossibilità di completare una transazione con trenitalia per l'acquisto di un biglietto ferroviario[1];
Impossibilità di aggiornare il proprio PC[2].

Supponiamo, per fare un esempio, che un cliente Speedy non riesca a visualizzare una specifica pagina web. Tale problema viene in genere addebitato al browser utilizzato, o al server che fornisce la pagina, invece potrebbe proprio essere causato da questo filtro. Non esitate dunque in caso di dubbio a contattare il servizio di assistenza di Speedy, magari citando questa pagina web a supporto della vostra richiesta.

Ci sono molti argomenti a supporto della tesi che un filtro del tipo implementato da SeleneBS non dovrebbe esistere, eccone alcuni:

La reale minaccia di un contenuto che viene filtrato dipende in realtà quasi sempre dalla particolare configurazione del PC di casa del cliente. Se ad esempio viene utilizzato Linux, con ogni probabilità un virus in arrivo sarà del tutto innocuo; a volte capita di voler consapevolmente scaricare un virus/malware, ad esempio per testare il proprio sistema, o per motivi di studio. Sarà responsabilità del cliente se poi il virus causa dei danni sul proprio PC.
L'utente non viene messo al corrente in nessun modo del fatto che una sua sessione è stata manomessa. Questo è il fatto più grave... Ulteriormente aggravato dal fatto che nel caso specifico di speedy l'utente viene tenuto all'oscuro dell'esistenza del filtro;
I falsi positivi ci potranno essere sempre... se non altro per il fatto che il significato di un certo contenuto dipende dal contesto in cui si trova. un filtro automatico non è così astuto da riuscire ad elaborare un particolare contenuto in base al suo contesto. Ad esempio, potrebbe essere impossibile visualizzare una pagina di un archivio di mail solo perché una di queste contiene riferimenti ad un virus (assolutamente innocui in tale contesto);
Gli effetti collaterali di un falso positivo possono essere banali, come disastrosi. E' proprio il fatto che il comportamento dipenda dal contenuto del traffico che rende in alcuni casi il risultato incredibilmente difficile da sbrogliare.

Anche nel caso in cui un utente sia effettivamente giunto alla conclusione che il problema che ha è dovuto alla presenza del filtro risulta difficile riuscire a cooperare con i responsabili della sicurezza per migliorare il servizio, infatti:

Il primo ostacolo: la telefonata al numero verde. Risulta difficile, se non impossibile, convincere l'help desk che il problema "La tal pagina non si visualizza" possa essere dovuto a problemi del provider. La risposta che con ogni probabilità si ottiene sarà: "se il problema si ha solo con una particolare pagina, allora la responsabilità è del browser utilizzato, oppure del server che fornisce la pagina, non certo nostra!".
Con ogni probabilità il file/documento/pagina-web che non passava sarà poi stato scaricato dall'utente con altri mezzi: non c'è più l'interesse immediato per risolvere quel particolare problema, mentre, passato un po' di tempo, il fastidio probabilmente si ripresenterà con altri files, ed è ogni volta un macello solo capire che il problema sta nel filtro.
il traffico in transito è un fatto privato. Appare improprio dover comunicare all'assistenza speedy dettagli sul contenuto del traffico per permettere la messa a punto dei filtri. Sarebbe un po' come se si dovesse elencare all'assistenza telecom gli improperi del proprio vocabolario per evitare fastidiosi "beep" durante le telefonate (ma questo, per fortuna, non succede ancora).

Ulteriori informazioni:

Discussione sull'argomento circolata sulla mailing list del lugBS;
Precedente versione di questa pagina, che ha originato la discussione di cui al punto precedente.

Note:

[1] Fatto realmente avvenuto a fine maggio 2008. Nel caso specifico tra i pattern riconosciuti dal sistema di Intrusion Prevention c'erano le sequenze "c.exe" e "x.exe" [sic]. In altre parole capitava che una sessione veniva bloccata se al suo interno compariva una di tali sequenze. Nel caso specifico, la pagina di risposta da parte di trenitalia a conferma del completamento della transazione con carta di credito, contenente tra l'altro anche il codice PNR necessario per il ritiro dei biglietti, caricava un file di nome utility.js contenente varie funzioni JavaScript e con al suo interno la sequenza "x.exe" (ecco un estratto dal file: var results = regex.exec( window.location.href );). La cosa è stata poi risolta su mia segnalazione, ma oramai la frittata era fatta.

[2] Fatto realmente avvenuto nel mese di novembre 2008. In particolare uno dei pacchetti rpm necessari per l'aggiornamento (kernel-devel-2.6.27.5-37.fc9.i686.rpm) conteneva al suo interno una sequenza di caratteri che evidentemente faceva scattare il meccanismo di "prevention". L'effetto di questo era che la procedura di aggiornamento del PC, ritenendo che il file che tentava di scaricare fosse corrotto, cercava di scaricarlo da un altro mirror, e poi da un altro ancora e così via fino ad esaurimento della lista dei circa 60 mirrors disponibili. Solo dopo parecchi giorni mi è venuto il sospetto che il problema non risiedesse in una inconsistenza nel contenuto dei mirrors di aggiornamento, ma che fosse causato dal filtro di Speedy. Il pacchetto in questione si è potuto scaricare solo dopo segnalazione al servizio di assistenza. Peraltro, una volta capito che il problema è di Speedy e qual è il file problematico, è molto più rapido e salutare procurarsi il file per altra via (favore ad un amico, connessione in dialup con modem seriale, ecc.) piuttosto che aprire una chiamata al servizio assistenza.