Ilaria Montoro : 5 Ottobre 2021 20:01
Era solamente aprile, quando in un articolo su quanto fosse sottile la linea rossa tra la Cina e la Russia, facemmo luce su società straniere come Nortel Networks e Cisco Systems, assunte per supervisionare lo sviluppo e fornire hardware e software necessari per la costruzione del più grande sistema di rete di sicurezza al mondo, contribuendo così alle violazioni dei diritti umani in Cina. Perché bisogna riconoscere che sotto il Great Firewall (GFW), sono stati impiegati diversi metodi per consentire una misura globale.
Ebbene, risale a fine luglio – da un rapporto congiunto pubblicato da tre organizzazioni che monitorano la censura cinese: iYouPort , l’ Università del Maryland e il Great Firewall Report – la notizia che il governo cinese abbia implementato un aggiornamento al suo strumento di censura nazionale, per bloccare le connessioni HTTPS crittografate che vengono impostate, utilizzando moderni protocolli e tecnologie a prova di intercettazione.
Nello specifico, Attraverso il nuovo aggiornamento GFW, i funzionari cinesi prendono di mira solo il traffico HTTPS che viene impostato con nuove tecnologie come TLS 1.3 e ESNI (Encrypted Server Name Indication).
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ma come sempre, procediamo con assunti di base: TLS è la base della sicurezza per la comunicazione di rete (HTTPS). La crittografia di autenticazione fornita da TLS consente agli utenti di determinare con chi stanno comunicando e di garantire che le informazioni di comunicazione non siano viste o manomesse dagli intermediari.
I censori, inclusa la Cina, utilizzano questa estensione per controllare e impedire agli utenti di accedere a siti Web specifici. TLS1.3 ha ora introdotto SNI crittografato (ESNI), utilizzato per impedire all’intermediario di visualizzare il sito Web specifico che il client desidera visitare.A questo punto, mettendosi nelle vesti di un censore, si dovrebbe decidere se non bloccare alcuna connessione ESNI o al contrario, bloccare tutte le connessioni. Ed ovviamente i revisori cinesi hanno scelto quest’ultimo., come se si vivesse eternamente in appunti presi su un diario senza layout web.
Principali introduzioni TLS 1.3 con l’introduzione ESM
Altro traffico HTTPS invece, è ancora consentito attraverso il Great Firewall, se utilizza versioni precedenti degli stessi protocolli, come TLS 1.1 o 1.2 o SNI (Server Name Indication), dato che per le connessioni HTTPS impostate tramite questi vecchi protocolli, i censori cinesi possono dedurre a quale dominio un utente stia tentando di connettersi. Questo viene svolto esaminando il campo SNI (in chiaro) nelle prime fasi di una connessione HTTPS.
Anche ZDNet, ha confermato i risultati del rapporto con due fonti aggiuntive – vale a dire i membri di un provider di telecomunicazioni degli Stati Uniti e un Internet Exchange Point (IXP) – utilizzando le istruzioni fornite in questa mailing list.
Alla resa dei conti, potremmo definire come il governo cinese, stia ad oggi abbandonando tutto il traffico HTTPS dove TLS 1.3 ed ESNI sono utilizzati, e temporaneamente vietando gli indirizzi IP coinvolti nella connessione, per piccoli intervalli di tempo che possono variare tra due e tre minuti.
Ma è parte di noi, è bisogno di ogni uomo non evadere, ma arredare la prigionia della realtà. E allora si decide di chiamare l’architetto del web e implementare 6 strategie di evasione sul lato client e 4 da implementare sul lato server.
Tutto grazie a Geneva, che in 48 ore, l’hanno formata dal lato Client e Server per trovare tattiche utili per aggirare la censura. Geneva (Genetic Evasion), è un algoritmo genetico sviluppato dai ricercatori dell’Università del Maryland, che scopre automaticamente nuove strategie per evitare la censura durante il processo di evoluzione. Lavora confondendo il censore iniettando, sostituendo, dividendo o scartando il flusso di pacchetti di dati senza influire sulla connessione originale. Si prega di notare che Geneva è un prototipo di ricerca in versione beta e non risulta ancora ottimizzato per la velocità. Il motore di strategia è open source disponibile su GitHub , quindi queste strategie possono essere implementate e utilizzate da chiunque.
Ciascuna, ha un’affidabilità quasi del 100% e può essere utilizzata per aggirare la revisione ESNI:
In particolare, si è scoperto che il GFW ha bisogno di vedere un handshake TCP completo per attivare il blocco ESNI.
Bannedbook.org ha dichiarato di aver condotto due esperimenti su server cinesi dall’esterno. Nel primo esperimento, senza inviare alcun pacchetto SYN, il client invia un messaggio “ClientHello” con estensione ESNI ogni 2 secondi. Nel secondo esperimento, il client invia un pacchetto SYN e un messaggio “ClientHello” con estensione ESNI ogni 2 secondi; ma il server non risponderà a nessun pacchetto (né invierà SYN + ACK per completare l’handshake).
In ogni esperimento, si son inviati 10 messaggi “ClientHello”. Risulta così che, nessuna revisione residua sia stata attivata e che tutti i messaggi “ClientHello” arrivino effettivamente al server. Questo risultato mostrerebbe quindi, come l’handshake TCP ( SYN+ ACK+ SYN-ACK+ FIN) sia una condizione necessaria prima che venga attivato l’audit basato su ESNI. Allo stesso modo, ciò mostrerebbe anche che, simile alla macchina di revisione basata su SNI di GFW, anche la macchina di revisione di ESNI è stateful.
Ma sappiamo tutti che queste strategie non sono permanenti: il Great Firewall continuerà a migliorare le sue capacità per ingabbiare la rete.
D’altronde è dallo scorso anno che Il governo russo sta lavorando per aggiornare le sue leggi tecnologiche in modo da poter vietare l’uso di moderni protocolli Internet che possano ostacolare la sua capacità di sorveglianza e censura.Secondo una copia delle modifiche di legge proposte e una nota esplicativa, il divieto si rivolge a protocolli Internet e tecnologie come TLS 1.3, Doh, Dot e ESNI. Sembrerebbe ad oggi, che i funzionari di Mosca non stiano cercando di vietare l’HTTPS e le comunicazioni criptate nel suo complesso, in quanto sono essenziali per le transazioni finanziarie moderne, le comunicazioni, militari e infrastrutture critiche.Ma è senza dubbio scopo del governo vietare l’uso di protocolli Internet che nascondino “il nome (identificatore) di una pagina web” all’interno del traffico HTTPS.
Brescia capitalista- la Cina spiegata in vignetta
E allora ci appelliamo alle parole del professor Giulio Sapelli, il quale in un’intervista senza filtri, rilasciata a Progetto Manager, in cui non risparmia critiche a Pechino, predice la Cina del 2050 in una crisi molto profonda:
“La vedo in frantumi, amico mio. Vede, nessuno ha mai governato la Cina. La rivoluzione culturale è stata una lotta all’interno del Partito con l’esercito, si scontravano le forze armate. Quindi, chi può credere al potere di Xi Jinping? Sono tutte stupidaggini. Il potere centralizzato non è fatto per la Cina, non lo è mai stato. Io poi credo nella forza secolare della democrazia e della libertà.”
Ed il problema, spesso consiste ancora nell’intavolare questi argomenti in salotti di programmi dedicati, in cui si mette la stupidità conclamata di certi conduttori che è funzionale al regime: serve a minimizzare e vanificare argomenti quanto più che vicini a noi. O che quanto meno ci possano far comprendere sul serio quanto siamo di fronte ad una tecnologia che andrà sempre più regolamentata e compresa. E no, l’Occidente non può permettersi di riderci su.
“E come killer proveremo ad uscirne come topi nelle scatole di Skinner.”