Skip to content

Sul lunedì nero dei social network

Condividiamo un estratto dalla newsletter Guerre di Rete del 10 ottobre, in cui Carola Frediani analizza in modo approfondito il down globale di Facebook, Whatsapp e Telegram.

Per quasi sei ore, lunedì scorso [4 ottobre n.d.r.], Facebook, Messenger, Instagram, Whatsapp, OculusVR sono stati irraggiungibili e inutilizzabili. Come scomparsi improvvisamente dalla Rete. E’ il peggiore disservizio di Facebook dal marzo 2019, quando per 24 ore il social network (ma anche, come avvenuto in questi giorni, Instagram e Whatsapp) risultarono offline per moltissimi utenti. Con la differenza che questa volta l’interruzione sembra essere stata, sebbene più breve, davvero globale.

La spiegazione di Facebook
Facebook ha pubblicato già lunedì notte, dopo essere tornata online, una prima spiegazione di quanto accaduto, tecnicamente piuttosto succinta (ne seguirà un’altra di cui parlo più avanti). Spiegazione che però sembra confermare quello che molti analisti nelle ore precedenti avevano ipotizzato sulla base di vari indicatori: che cioè il down non fosse stato provocato da alcun attacco informatico o intervento esterno bensì da un cambio di configurazione interno. Un errore da parte della stessa Facebook, insomma.

“Riteniamo che la causa principale di questa interruzione sia un errato cambio di configurazione”, ha specificato la comunicazione ufficiale dell’azienda, escludendo danni o ripercussioni sui dati degli utenti. Poi il post va insieme nel tecnico e nel vago. Riporto letteralmente. “I cambi di configurazione sui router backbone che coordinano il traffico di rete tra i nostri data center hanno causato dei problemi che hanno interrotto questa comunicazione. Tale interruzione al traffico di rete ha avuto un effetto a cascata sul modo in cui i nostri data center comunicano, fermando i nostri servizi”.

Dunque cosa è successo?
Sembra che i server di Facebook, a un certo punto, abbiano chiesto al mondo di essere tolti dalle mappe della rete, prova a spiegare The Verge. Quindi c’erano ma nessuno aveva più i loro indirizzi. Altri su Twitter hanno provato a spiegarla così: è come se Facebook avesse abbattuto i cartelli stradali che portano alla sua sede.

O ancora. “E’ come se qualcuno avesse staccato tutti i cavi dai loro data center e li avesse disconnessi da internet”, riassume un post tecnico di Cloudflare, nota società di servizi di rete. Che prosegue descrivendo quello che si è potuto analizzare dall’esterno di Facebook.

BGP e DNS, l’uno-due che ha steso Facebook
Prima una premessa di base (se siete lettori esperti del tema saltate al paragrafo successivo. Se invece volete una spiegazione facile e breve, allora guardate il mio intervento di venerdì a Propaganda Live su La7 (VIDEO). Altrimenti andate avanti…).
Internet è una rete di reti più piccole chiamate AS, Autonomous Systems, gestite da università, ISP, aziende di telecomunicazioni e simili. Se immaginiamo internet come una mappa, queste reti (AS) sono i villaggi o le città, interconnesse fra loro. Tale interconnessione è resa possibile anche da un protocollo (un insieme di regole) chiamato BGP (Border Gateway Protocol) che definisce i percorsi per le informazioni (i pacchetti di dati) che devono viaggiare da una parte all’altra. Qualcuno l’ha chiamato il servizio postale di internet. I router BGP fanno da punto di ingresso e uscita di queste reti e si scambiano informazioni, indirizzi e “mappe” con quelli di altre reti (AS). Detto più tecnicamente: “BGP consente ad un sistema autonomo di annunciare le destinazioni raggiungibili al suo interno o attraverso esso, e apprendere tali informazioni da un altro sistema autonomo”.

Altro elemento da tenere in considerazione, il DNS, Domain Name System, ovvero il sistema dei nomi di dominio che traduce nomi comprensibili come www.facebook.com in numeri, gli indirizzi IP utilizzati dai computer. Spesso paragonati a una rubrica telefonica, perché stabiliscono una corrispondenza tra nomi e numeri, i server DNS (ce ne sono di vari tipi) si occupano di tradurre le interrogazioni (query) di nomi in indirizzi IP. In questo sistema, i server DNS autoritativi hanno la massima autorità su un dominio e sono all’origine della risposte alle query degli utenti. 

Bene, ora torniamo al caso Facebook. Tutto parte proprio dal meccanismo per scambiare informazioni sul traffico tra reti individuali (AS, Autonomous Systems) su internet, ovvero dal BGP, Border Gateway Protocol. Come abbiamo visto, BGP è un sistema (un protocollo) che tiene insieme le diverse reti di cui si compone internet. In che modo? “BGP permette a una rete (diciamo Facebook) di pubblicizzare la sua presenza ad altre reti che formano internet”, scrive Cloudflare. Se non lo fa, le altre reti non possono trovare quella di Facebook. Ogni sistema autonomo deve dunque annunciare i suoi indirizzi al resto della rete usando BGP, “altrimenti nessuno saprà come connettersi e dove trovarlo”. Così è almeno come funziona normalmente (detto molto grosso modo… sappiate che siamo in uno dei territori più complessi della rete e che anche fra addetti ai lavori si tratta di materia non banale).

Ora Cloudflare ha notato che poco prima del down dei vari servizi Facebook, il social (probabilmente come effetto di quel cambio di configurazione di cui abbiamo detto sopra) ha smesso di annunciare le rotte per suoi server DNS (Domain Name System), cioè per quei server che come abbiamo visto connettono un dominio (Facebook.com) al relativo indirizzo IP numerico. Significa che i server DNS di Facebook non erano più disponibili. E di conseguenza nessuno sapeva più come raggiungere Facebook e le altre piattaforme sorelle.
Ricapitolando, e usando le parole dell’esperto di sicurezza Kevin Beaumont: ““Non avendo più gli annunci BGP per i tuoi name server DNS, il DNS cade a pezzi ovvero nessuno può trovarti su internet. (…) In pratica Facebook ha fatto deplatforming di se stessa”. O, come ha scritto anche Disinformatico: “L’errore ha causato l’eliminazione improvvisa dei route (percorsi) BGP che consentivano di accedere ai server DNS di Facebook, per cui il DNS di Facebook non va più”

Dunque, come ha detto Troy Mursch, capo della ricerca della società di cyber intelligence Bad Packets, a Wired US, il down di Facebook “è stato causato dai DNS, e tuttavia questo è solo il sintomo del problema”. La causa è che Facebook ha ritirato il percorso (route) BGP che contiene gli indirizzi IP dei suoi nameserver DNS. Se i DNS sono la rubrica di internet, BGP è il suo sistema di navigazione: decide quale percorso devono prendere i dati. Quindi, per dirla con il crittografo Matt Blaze, “è stato BGP + DNS”.

Il secondo comunicato di Facebook
Questo quadro è stato poi confermato da una seconda comunicazione di Facebook, molto più dettagliata (che per questo ha anche raccolto vari plausi. E nessun stagista – o dipendente – messo sulla graticola, diversamente da altri casi).
Alla luce di quanto abbiamo scritto finora, vediamola assieme.

“Durante uno di questi lavori di manutenzione di routine, è stato dato un comando (…) che senza volere ha mandato offline tutte le connessioni nella nostra rete backbone, disconnettendo i data center di Facebook. I nostri sistemi sono progettati per verificare (audit) comandi come questi e prevenire errori del genere, ma un bug nello strumento di verifica/controllo ha impedito di fermare il comando. Il cambio ha causato una completa disconnessione delle connessioni del nostro server tra i data center e internet. Questa perdita di connessione ha causato un secondo problema che ha aggravato la situazione. Uno dei compiti affidati alle nostre strutture più piccole è rispondere alle richieste DNS, la rubrica di internet, che permette di tradurre i nomi web digitati nel browser in specifici indirizzi IP. Queste interrogazioni (queries) di traduzione ricevono risposta da parte dei name server autoritativi che occupano noti indirizzi IP, che poi sono pubblicizzati al resto di internet attraverso un altro protocollo chiamato BGP. I nostri DNS server disabilitano quegli annunci BGP se non possono parlare ai nostri data center, perché questo indica un problema nella connessione di rete [unhealthy]”
Proprio tale meccanismo avrebbe dunque disabilitato, nel momento in cui la backbone è stata sconnessa, gli annunci BGP. “Il risultato finale è che i nostri server DNS sono diventati irraggiungibili anche se ancora operativi. Ciò ha reso impossibile per il resto di internet trovare i nostri server”.

“Gli ingegneri hanno poi trovato due ostacoli”, prosegue Facebook: “non era possibile accedere ai data center attraverso mezzi normali; e la perdita totale di DNS ha rotto molti strumenti interni usati per investigare e risolvere disservizi come questi. Allora abbiamo mandato ingegneri in loco nei data center per risolvere (debug) il problema e far ripartire il sistema. Ma c’è voluto del tempo, perché le strutture sono progettate con alti livelli di sicurezza fisici e sistemi di sicurezza. Difficile arrivarci e quando ci sei dentro hardware e router sono progettati per essere difficili da modificare anche quando hai accesso fisico agli stessi”. 

Effetti collaterali
Tra le conseguenze del disservizio, va segnalato anche il fatto che non era più possibile usare il Login con Facebook per entrare in siti terzi. Non solo. Le continue richieste di connessione avrebbero creato problemi anche ad altri servizi, almeno secondo alcuni osservatori.
Scrive il giornalista tech Brian Krebs: “Un interessante effetto collaterale dell’interruzione di Facebook: molte organizzazioni hanno visto dei picchi enormi nel traffico DNS con miliardi di sistemi che richiedevano costantemente nuove coordinate per FB/Instagram/Whatsapp. E’ stato riferito che degli operatori mobili hanno avuto problemi nelle stesse ore dell’interruzione”.

Ci sono anche altri effetti collaterali, in questo caso per gli stessi lavoratori di Facebook. La manutenzione andata male ha anche significato che chi lavorava da remoto non riusciva più a connettersi per rimettere mano alle configurazioni; e chi aveva accesso fisico non aveva le autorizzazioni necessarie, ha scritto ancora Krebs citando fonti interne all’azienda. Ciò spiegherebbe perché, come riportava anche il New York Times, a un certo punto sia stato inviato un team nei data center di Santa Clara per tentare un “reset manuale” dei server dell’azienda (questo lo abbiamo poi visto in parte confermato dal comunicato di Facebook citato sopra).
Come ha scritto ancora Disinformatico: “Il problema è che correggere questo errore richiede che si acceda fisicamente a questi peering router, visto che non sono più raggiungibili da remoto, ma chi può farlo non è necessariamente dotato delle autorizzazioni e dell’autenticazione che sono necessari. Non solo: questo errore implica che non funziona più nessuno dei servizi interni di Facebook (mail, strumenti di gestione), visto che sono tutti sul dominio Facebook.com, che è totalmente irraggiungibile, per cui neppure i dipendenti dell’azienda possono usarli per comunicare tra loro”.
Che i dipendenti non avessero più accesso agli strumenti aziendali e di comunicazione interna è accennato anche nel comunicato Facebook. E vari resoconti giornalistici raccontano di come abbiano dovuto ricorrere a piattaforme esterne, da Zoom a Discord, per parlarsi. Alcuni media hanno anche riportato badge non funzionanti.

La coincidenza coi Facebook Files e leaks dubbi
Tutto questo è però avvenuto nei giorni in cui Facebook era investita da forti polemiche per i Facebook Files, una serie di rivelazioni basate su dei documenti interni cui il Wall Street Journal ha avuto accesso. E un giorno prima che la whistleblower dietro questi stessi leak, l’ex dipendente Frances Haugen (una product manager che lavorava nel gruppo sulla Civic Integrity) si presentasse a testimoniare davanti al Congresso. 

La coincidenza temporale di tutto ciò ha aperto la strada ad alcune teorie più o meno complottiste. Una di queste è che l’interruzione fosse legata a un presunto mega leak da 1,5 miliardi di record venduto su un forum di hacking. Ma come ha scritto Vice, non ci sarebbe stato alcun furto di dati e l’operazione sul forum sembrerebbe uno scam, una truffa. 

Le reazioni degli utenti
In quelle sei ore gli utenti improvvisamente tagliati fuori dalle piattaforme di Facebook hanno manifestato la loro contrarietà (o ironia) su Twitter, e molti (invitati anche da varie personalità online) si sono scaricati l’app di messaggistica Signal (nell’ordine di milioni), come testimoniato dalla medesima app, dal picco di interesse nelle ricerche online, e da Cloudflare. Telegram, dal suo canto, avrebbe aggiunto ben 70 milioni di nuovi iscritti in quella giornata, una cifra record, almeno secondo quanto riferito da Pavel Durov, fondatore dell’app di messaggistica (questi picchi sono stati confermati in parte anche dalla società di analisi App Annie).

Effetti politici e riflessioni sulla concentrazione di potere
Più interessanti invece le ripercussioni politiche della vicenda. Se qualcuno voleva toccare con mano la dimostrazione pratica dei rischi associati a concentrare quasi tutte le proprie comunicazioni e attività nella mani di un unico soggetto, ne ha avuto un assaggio. Molti ci hanno scherzato su, come abbiamo visto, e molti avranno usato altri canali di comunicazione, ma una quantità di risorse (pagine, gruppi e via dicendo) che stavano solo su Facebook/Whatsapp ecc non erano così sostituibili nell’immediato. Inoltre, come hanno notato vari osservatori, l’indisponibilità di Whatsapp è stata particolarmente pesante in Paesi (da India a Brasile a Filippine) in cui per moltissime persone l’app è il principale sistema di comunicazione coi famigliari, specie se lontani, e viene anche molto usata per ragioni di business, o addirittura per servizi governativi.
“Facebook, WhatsApp, e  Instagram che vanno down assieme sembra un esempio facilmente comprensibile e popolare del perché spezzare un certo monopolio in almeno tre pezzi possa non essere una cattiva idea”, ha twittato Edward Snowden.

Facebook Files e Frances Haugen: il dibattito
A proposito delle rivelazioni e delle critiche di Frances Haugen, la whistleblower di Facebook, si è già letto tanto. Qui mi limito a dare spunti un po’ differenti rispetto a quello che ho visto in prevalenza. Ad esempio, una prospettiva diversa arriva dalla newsletter Big di Matt Stoller, giornalista che si occupa di monopoli.
“Haugen ha ragione sul fatto che dovremmo semplificare il modello di business di Facebook liberandoci dell’amplificazione algoritmica. E lo potremmo fare mettendo al bando l’advertising di sorveglianza [quel genere di pubblicità ultramirata che si basa sulla raccolta di grandi quantità di dati personali, nda], o mettendo mano agli algoritmi, o entrambe le cose.  E’ la stessa idea. Ma per favorire la competizione è anche fondamentale in questo settore il fatto di dividere Facebook, perché se non lo si fa non ci sarà alcun incentivo per Zuckerberg a fare qualcosa di diverso che non sia cercare di influenzare i nuovi regolatori. Non ci sarà alcuna pressione di mercato su Zuckerberg per cambiare perché gli inserzionisti non avranno altro posto dove andare”.

Altra prospettiva diversa sugli studi interni di Facebook e i presunti effetti negativi sui teenager. Una ricercatrice indipendente, intervistata da NPR, sottolinea come i dati di quegli studi siano in realtà inconcludenti. E respinge il paragone, fatto davanti al Congresso, di Facebook con Big Tobacco, la lobby del fumo, con due motivazioni: le prove a sostegno della dannosità non sarebbero ugualmente evidenti; e soprattutto i social media possono avere anche effetti positivi (diversamente dalle sigarette).

Aiutaci a diffondere il giornalismo libero e indipendente.

Articoli correlati

Sulle violenze e gli abusi in rete in Italia
di Carola Frediani /
Iper-mondo, meta-mondo e fine del mondo
di Franco Berardi Bifo /