11 ago. 2020

El "Gran Firewall de China" bloquea el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos

China no se anda con chiquitas a la hora de bloquear tráfico que no es bien visto por el Gobierno de ese país. Su "Gran Firewall" -en alusión a la gran muralla china- lleva años actuando como herramienta de censura para evitar que sus ciudadanos puedan acceder a ciertos sitios y servicios web.

Ahora esta plataforma se ha actualizado para bloquear todo el tráfico HTTPS que hace uso del protocolo TLS 1.3 y de la tecnología ESNI (Encrypted Server Name Indication). La razón es evidente: con esa combinación el Gobierno chino tiene más difícil que nunca tratar de controlar qué servicios están siendo accedidos y por parte de quién. Así que la solución es obvia para ellos: prohíben dichas comunicaciones.

Un estudio de diversos expertos ha descubierto cómo desde finales de julio China está "aparentemente bloqueando las conexiones TLS con la extensión ESNI en China". La prohibición ha estado vigente durante al menos una semana, desde finales de julio, según un informe conjunto publicado esta semana por tres organizaciones que rastrean la censura china: iYouPort, University of Maryland, y Great Firewall Report.

El análisis del tipo de protocolos para tráfico seguro de datos muestra el auge de un TLS v1.3 que se lo pone más difícil que nunca a los censores chinos.

El tráfico HTTPS con versiones más antiguas del protocolo TLS (la 1.1 o la 1.2) y con la extensión SNI que no cifra con quién quiere conectarse aquel que realiza la petición de información.

Como explican en el estudio, aunque TLS esconde el contenido de la comunicación, "no siempre esconde con quién se está comunicando el usuario". En el llamado handshake que se produce al conectar ambos extremos se produce la transmisión del campo llamado Server Name Indication (SNI) que permite que el cliente del usuario informe al servidor con qué sitio web se quiere comunicar.

China ha utilizado ese campo para bloquear el acceso a ciertos destinos en transmisiones vía HTTPS, pero con TLS 1.3 se permitía el uso de un SNI cifrado que no pudiera usarse para detectar ese destino. ¿Qué ha hecho China? Asumir que el destino era un destino prohibido y bloquear todo ese tráfico directamente.

Aunque el bloqueo ya está activo, estos investigadores han descubierto al menos seis técnicas distintas que se pueden aplicar en el lado del cliente y otras cuatro en el lado del servidor para evitar el bloqueo actual de la plataforma de censura china. El código de Geneva es Open Source.

Aún así, avisan, dichas técnicas "no parecen ser una solución a largo plazo", y aquí probablemente se plantee una típica persecución del gato y el ratón en la que el Gobierno de China tratará de ir atajando esas técnicas mientras aparecen otras nuevas.

Fuente: Xataka | ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!