Ovvero: come avere un tracker BitTorrent e dormire sonni tranquilli.

di Nicola D’Agostino

Quello del filesharing è un mare sempre in burrasca altamente rischioso per marinai inesperti.
Per chi però è intenzionato a emulare la ciurma di The Pirate Bay, ecco che viene in aiuto il sito TorrentFreak, che ha contattato un amministratore che ha fornito un po’ di riflessioni sulla difficile arte di aprire e curare un tracker BitTorrent e rischiare il meno possibile.

La lista di consigli, che potete leggere in inglese su TorrentFreak, si può ridurre a cinque punti essenziali:
1. Se non si è identificabili non si è perseguibili in alcun modo.
2. Non ignorare mai le richieste di takedown e, se richiesto, rimuovere il materiale incriminato. Meglio non farsi nemici.
3. Evitare il seeding in prima persona. Delegare agli utenti e limitarsi al tracker.
4. Non offrire formule di download a pagamento a meno di non voler attirare l’attenzione delle forze dell’ordine.
5. Vedere il punto 1 ;-)

Analizziamo e approfondiamo i vari punti avvertendo che si tratta di speculazioni e che il rischio di illecito civile e anche penale è sempre dietro l’angolo.

Identità sconosciuta

L’idea di fondo è di rendere il più difficile possibile risalire al tipo di traffico che si genera e a chi lo genera. Quindi largo all’uso di connessioni crittografate ed anonime. Sono indicate come soluzioni valide sia l’uso di VPN (Virtual Private Network) che il più elementare approfittare di un hotspot wifi lasciato aperto. Con un po’ di discrezione si evita anche che, in caso di domande o richiesta di log, il responsabile punti il dito nella direzione giusta.
Allo stesso modo è bene evitare scatti di orgoglio e di vantarsi e di far circolare il proprio nickname. Un nick può rivelare molte più informazioni di quanto si può pensare, perché magari usato inavvertitamente su altri siti o servizi. E un pezzetto alla volta il puzzle dell’identità viene ricostruito.

Sito? Dove? Quale sito?

Uno dei punti deboli di qualsiasi attività pubblica su Internet è la visibilità data dal WHOIS quando si registra un dominio. Se possibile cercare di non registrare in prima persona e usare qualche tipo di schermo, che sia un servizio che fa da proxy o intestando ad altri il sito o ancora fornire informazioni inesatte.
Altrettanto utile è evitare di prendere un dominio e hosting in un paese con una legislazione notoriamente restrittiva in materia di filesharing o comunque con lobby potenti dalla repressione facile come la BSA o la RIAA.
Il fornitore di hosting è l’alleato più prezioso (dopo i seeder) e bisogna tenerselo buono e tranquillo pagando sempre regolarmente quanto dovuto. Se poi si riesce a trovare un servizio che fa poche domande e magari non tiene traccia di quanto si fa sul server e di chi lo fa tanto meglio. L’alternativa è mettere un server su Sealand o in qualche società di ‘metacolocation’ ma l’operazione e la spesa non è alla portata di tutti e anche lì i rischi non mancano.

Communication breakdown

Anche nelle comunicazioni la non rintracciabilità è la chiave di tutto quindi occhio all’indirizzo da cui si spedisce la posta elettronica. Come per i nickname è bene tenere separati gli account evitando accuratamente di usare lo stesso indirizzo per altri usi che non siano gli affari legati al P2P. Se possibile usare un sistema che celi l’IP di provenienza del messaggio e se proprio si vuole esagerare ci sono gli anonymizer o gli indirizzi a perdere, che solitamente si usano per evitare lo spam. Sempre di privacy si tratta, dopotutto.

Dare e ricevere… con discrezione

I servizi vanno pagati e per pagare il dovuto al fornitore di spazio sono consigliati sistemi non legati alla persona che fa il versamento. Invece di un bonifico o di un vaglia usare carte di credito a perdere o -se accettati- una serie di account Paypal “non verificati” e anche questi sacrificabili.
Paypal o altri sistemi di micropagamento digitale sono utili anche per raccogliere in modo discreto le eventuali donazioni. Per evitare problemi fiscali ma anche di immagine con gli utenti (che siano seeder o leecher) una soluzione è di rigirare i contributi direttamente al provider in maniera trasparente.

Evitare i problemi

A scanso di equivoci e in maniera un po’ pedante ecco un altro invito a non infrangere la legge. gestire un tracker è un’attività discussa ma non illegale in assoluto. La legislazione in merito è ancora tutta da scrivere (come testimonia l’indagine contro The Pirate Bay) ed è bene tenere a mente che alcuni stati sono più permissivi di altri. Se poi si riesce a non vantarsi pubblicamente sul sito dei TeraByte di materiale transitato e probabilmente protetto da copyright tanto meglio. Del resto la tecnologia Bit Torrent è uno strumento neutrale e nei suoi “tubi” (chi riconosce la citazione?) ci può passare l’ultimo software aziendale proprietario e ipercostoso come anche una distribuzione Linux o un filmato di pubblico dominio.

Amici e nemici

L’anonimato è cosa buona e giusta non solo per chi è il creatore del tracker ma anche per tutti i collaboratori a vari livelli. Evitare i contatti di persona e usare pseudonimi anche tra gli ‘admin’ incoraggiando la massima discrezione e zero spacconate.
Al bando anche i profili pieni di dettagli preziosi, anche dall’interno: c’è sempre il rischio che ci sia una “talpa” o qualche ex amico un po’ vendicativo o divenuto un ‘concorrente’ (di attenzione). Allo stesso modo è consigliato prevenire scontri, tenendo buoni rapporti con gli amministratori e fondatori di altri Tracker: il mondo del P2P è piccolo e di pressioni e ostilità ce n’è già a sufficienza dall’esterno.

Imparare dagli errori… degli altri

I casi come Oink di servizi chiusi con clamore (e causa a seguire) non sono solamente un’ammonizione di cautela per gli utenti o spunto di discussione per chi contesta diritti restrittivi e mercati miopi. Possono essere fonti preziose su come migliorare le misure di sicurezza e privacy, fermo restando che con la popolarità crescono esponenzialmente i rischi.

Una versione di questo articolo è stata pubblicata su "Hacker Journal" n. 148 del 3 aprile 2008