Foneros in pericolo

Roma – Un titolo apparentemente allarmista richiede subito una spiegazione: la comunità Fon, in particolare quella italiana, costituita ad oggi da 2229 persone, si trova in una doppia situazione di pericolo, sia dal punto di vista legale che da quello informatico.

Fon è un progetto nato qualche tempo fa , allo scopo di creare una comunità di utenti (detti appunto “foneros”) che, tramite opportuni access point wireless collegati alle proprie ADSL flat, creassero una struttura di accesso wireless pervasiva, non centralizzata e gratuita.

Il progetto ha attraversato alcuni notevoli cambiamenti ed adesso si è evoluto in una iniziativa commerciale, portata avanti da una società spagnola, FON Technology S.L. non quotata in borsa, che ha ricevuto finanziamenti sia da Google che, pare, da Skype, con la quale presenta diverse similitudini in termini di piano di marketing.

La rete conta su circa 20mila punti di accesso al mondo di cui oltre 2mila in Italia.
La situazione organizzativa attuale prevede che gli utenti che vogliono utilizzare la rete Fon (in questo caso definiti di tipo “Linus”) debbano registrarsi ed installare un router wireless Fon collegandolo con la propria linea ADSL.
Un router Fon non è altro che un router Linksys WRT54Gx o Netgear di modello opportuno, modificato caricandovi sopra un firmware ad hoc, fornito da Fon. Questo firmware è ottenuto utilizzando due noti software GPL che sono una distribuzione GNU/Linux chiamata OpenWRT e Chillispot .

Chi si è registrato al sito di Fon.com, registrando successivamente anche il suo router, abilita il suo username all'utilizzo di tutti gli hotspot Fon al mondo.

Chi non potesse o non volesse eseguire tutte le operazioni necessarie per costruire un router Fon funzionante, può approfittare di una interessante offerta di Fon.com che vende un Linksys WRT54GL già modificato a prezzi stracciati; nel trascorso mese di maggio questo prezzo è variato da 25 ad 1 (dicasi 1) euro, di fronte ad un valore commerciale del router di oltre 60 euro. È da notare che le spese di spedizione e le tasse aggiungono altri 24 euro al costo, e che se il router non viene collegato alla rete e registrato entro 30 giorni, FON Technology si riserva di addebitare al mancato fonero altri 25 euro.

Visto che il progetto è portato avanti non da una fondazione benefica ma da una società privata, dove è il business, che ha addirittura interessato Google?

Per quello che è dato di sapere, prossimamente dovrebbero essere definiti altri due tipi di foneros oltre quelli “Linus”, che sono i soli attualmente esistenti, i quali si chiameranno “Bill” ed “Alien”.

Mentre i Linus continueranno ad avere e fornire accesso gratuito tra loro, gli utenti Bill (dotati di router) faranno pagare tramite FON Technology agli utenti Alien (non dotati di router) una certa quota oraria, che verrà suddivisa tra FON Technology ed il possessore del punto di accesso utilizzato.

Non entriamo qui nella bontà o meno di questo piano di marketing. È comunque il caso di notare che Fon.com è oggi una iniziativa commerciale il cui controllo gestionale, commerciale e tecnologico, è completamente centralizzato nelle mani di FON Technology. Si tratta quindi di cosa ben diversa da altre iniziative no-profit e collettive come ad esempio NYCwireless , che vogliono costruire lo stesso tipo di struttura, ma su base esclusivamente volontaria e gratuita, utilizzando tecnologie non centralizzate ma distribuite dette “reti mesh” come Pebble .

Una partecipazione diretta a Fon ha rivelato alcuni punti critici del progetto, che fanno sorgere dubbi sulla opportunità di iniziare o continuare a parteciparvi. Cominciamo dal più grave, che riguarda solo i 2mila foneros italiani. Mettendo in linea un router Fon e consentendo agli altri foneros di utilizzarlo, un fonero compie senz'altro una buona azione che non gli costerà niente e che gli permetterà anche di avere connessioni gratuite.

Purtroppo egli violerà almeno due leggi italiane, commettendo due reati che possono configurare fattispecie sia civili che penali. Quanto segue è frutto di un onesto lavoro di interpretazione della legge fatto da un ingegnere, quindi opinioni, spiegazioni e correzioni da parte di addetti ai lavori saranno graditissime.

Il “Codice delle Comunicazioni Elettroniche” meglio noto come “Legge Gasparri” stabilisce che le tecnologie wireless, ed in particolare le IEEE 802.11a/b/g, meglio note con il nome commerciale di “WiFi”, possano essere usate solo in ambienti privati, e non devono essere utilizzate od anche solo attraversare suolo pubblico. Inoltre per fornire accesso commerciale a terzi è necessario essere a tutti gli effetti degli ISP , con adempimenti e costi impossibili od improponibili per un privato.

Un fonero di tipo Linus viola quindi con certezza il primo punto, e forse anche il secondo; un fonero di tipo Bill li viola tutti e due.

Passiamo oltre. Il “Decreto Pisanu” emanato a luglio 2005 obbliga chiunque fornisca accesso pubblico a reti telematiche ad identificare gli utenti ed a conservare registrazione degli accessi almeno fino a dicembre 2007. Bontà od iniquità di detto decreto non sono qui discusse; ci interessa solo sapere che attualmente si tratta di una legge in vigore in Italia.

La formulazione del decreto è molto ambigua, e puo' essere interpretata in senso molto estensivo (è l'interpretazione più comune) fino a comprendere anche gli accessi non commerciali. Un fonero quindi, probabilmente se di tipo Linus, con certezza se di tipo Bill, fatti salvi altri problemi, deve conservare i log degli accessi fino al 12/2007 pena la certezza dell'illegalità. Il firmware Fon non conserva permanentemente nessun log, in quanto logga in una zona di memoria limitata (buffer circolare di 16 kB) che viene tipicamente sovrascritta circa ogni 12 ore e comunque persa allo spegnimento del router.

Il possessore di un router che vuole conservare i log deve quindi collegarsi alla console del router ogni 12 ore ed usare il comando “logread” per stampare e salvare una copia del log prima che venga sovrascritta, oppure lasciare una sessione ssh aperta su un'altra macchina, in modalità di cattura di testo, lanciando il comando “logread -f” che stampa tutti i nuovi record del log. Puo' poi filtrare i record che contengono la stringa “UAM” che sono le registrazioni di chi si collega alla rete Fon effettuate sul server centrale di FON Technology e conservarle. Non è affatto sicuro che questo basti a soddisfare gli incerti requisiti del Decreto Pisanu, ma certamente almeno questo è indispensabile. Implementare una registrazione degli accessi al livello di firmware che li invii via mail o li logghi compattati in area flash sarebbe un lavoro di poche ore ed una “cortesia” dovuta a chi partecipa al progetto.

L'unico aspetto legale su cui la documentazione ed il contratto che i foneros devono accettare si perde in dettagli è riguardo al tipo di ADSL posseduta; infatti molti contratti ADSL vietano espressamente la rivendita e la cessione a terzi del servizio. Questo comporterebbe, ove rilevato, la cessazione della fornitura da parte dell'ISP ed anche possibili conseguenze economiche in sede civile, da cui Fon.com si rende esente.

Parliamo ora di questioni tecniche. Iniziamo notando che FON Technology si definisca “una compagnia open source” ed usi software sotto licenza GPL; in versioni precedenti del firmware pare però che i sorgenti forniti fossero incompleti, e che quindi venisse violata la licenza GPL come avvenne anche nel famoso caso di KISS-Technology .

Notiamo poi che il firmware in versione corrente contiene un enorme buco di sicurezza, che se non prontamente risolto prima di collegare alla Rete il router, mette la rete locale del possessore alla mercè di chiunque si colleghi via wireless. Infatti l'accesso ssh del router e tutta la LAN locale del proprietario è raggiungibile da chiunque si colleghi via wireless, la password di default del router è nota, e la sua modifica non è resa obbligatoria (e nemmeno suggerita) dalla procedura di registrazione. Visto che Fon non è un progetto diretto ad informatici, ma anche ad utenti di ADSL “normali”, questo livello di “disattenzione” non dovrebbe essere ammissibile; un problema di sicurezza di questo tipo sembra più una carenza di base della sicurezza del firmware nel suo complesso.

Una soluzione a questo problema di accesso alla shell è disponibile sui forum, ma sorprendentemente non è stato rilasciato od almeno annunciato un firmware aggiornato, e neppure messo un avviso rosso lampeggiante sulla home del sito. Se ne è solo parlato qua e la nei forum, come se si trattasse di un problema secondario.

In queste ultime ore, infine, alcuni messaggi ed interi board sui problemi di sicurezza del firmware Fon rintracciabili su siti specializzati non sono più raggiungibili.
Il problema legale legato al Decreto Pisanu è stato segnalato al supporto utenti di FON Technology, che ha fornito una risposta tanto tranquillizzante quanto assolutamente fuori tema, ed irrilevante per la questione sollevata. Un ulteriore messaggio di chiarificazione del quesito ha prodotto una risposta altrettanto irrilevante ma questa volta infastidita. Un terzo messaggio non ha avuto risposta.
Un messaggio riguardante il problema della mancata pubblicazione del codice sorgente, indirizzato personalmente ad uno dei fondatori di Fon.com, non ha avuto risposta.

Le conclusioni possono variare molto a secondo dell'approccio “esistenziale” e della propensione al rischio di chi gestisce il router ma, almeno in Italia, possono potenzialmente portare a gravi problemi sia civili che penali.

Il progetto Fon è sicuramente una iniziativa interessante e filosoficamente lodevole ma per poter essere consigliato deve correggere assolutamente questi problemi legali e di sicurezza che gravano solo sui partecipanti al progetto e non su FON Technology.

La sensazione, comune ad altri progetti di questo tipo, è che ci sia molta più attenzione alle strategie di marketing ed ai piani di business che ai problemi tecnici e legali, in particolare se riguardano solo gli utenti. Ma per potersi espandere senza collassare, FON Technology dovrà dedicare molta più attenzione e risorse agli aspetti tecnici e legali, soprattutto in relazione alla incolumità dei foneros ed alla efficacia e chiarezza della comunicazione con loro.

Marco Calamari

Le precedenti release di Cassandra Crossing sono disponibili su questa pagina