La limitación de Twitter de Rusia puede dar a los censores capacidades nunca antes vistas

Candado de dibujos animados y vidrios rotos superpuestos a una bandera rusa.
Agrandar / ¿Qué pasó con la bandera de Rusia?

Rusia ha implementado un método de censura novedoso en un esfuerzo continuo por silenciar a Twitter. En lugar de bloquear directamente el sitio de redes sociales, el país está utilizando técnicas nunca antes vistas para ralentizar el tráfico y hacer que el sitio sea prácticamente inutilizable para las personas dentro del país.

La investigación publicada el martes dice que la aceleración r alentiza el tráfico que viaja entre Twitter y los usuarios finales con sede en Rusia a unos miserables 128 kbps. Mientras que las técnicas de censura de Internet utilizadas en el pasado por Rusia y otros estados-nación se han basado en el bloqueo absoluto, la ralentización del tráfico que pasa hacia y desde un servicio de Internet ampliamente utilizado es una técnica relativamente nueva que proporciona beneficios a la parte censora.

Fácil de implementar, difícil de eludir

“A diferencia del bloqueo, donde el acceso al contenido está bloqueado, la aceleración tiene como objetivo degradar la calidad del servicio, lo que hace que sea casi imposible para los usuarios distinguir la aceleración impuesta / intencional de razones matizadas como una alta carga del servidor o una congestión de la red”, investigadores de Censored Planet, una plataforma de medición de la censura que recopila datos en más de 200 países, escribió en un informe. “Con la prevalencia de tecnologías de ‘uso dual’ como los dispositivos de inspección profunda de paquetes (DPI), la limitación es sencilla de implementar para las autoridades, pero difícil de atribuir o eludir a los usuarios”.

El estrangulamiento comenzó el 10 de marzo, como se documenta en los tweets. aquí y aquí de Doug Madory, director de análisis de Internet de la empresa de medición de Internet Kentik.

Madory descubrió que, en un intento de ralentizar el tráfico destinado a Twitter, los reguladores rusos apuntaron a t.co, el dominio utilizado para alojar todo el contenido compartido en el sitio. En el proceso, también se limitaron todos los dominios que tenían la cadena * t.co * (por ejemplo, Microsoft.com o reddit.com).

Ese movimiento provocó problemas generalizados en Internet porque dejó los dominios afectados como efectivamente inutilizables. La limitación también consumió la memoria y los recursos de la CPU de los servidores afectados porque les exigió mantener las conexiones durante mucho más tiempo de lo normal.

Roskomnadzor—El órgano ejecutivo de Rusia que regula las comunicaciones masivas en el país — ha dicho el mes pasado, estranguló a Twitter por no eliminar contenido relacionado con pornografía infantil, drogas y suicidio. Continuó diciendo que la desaceleración afectó la entrega de audio, video y gráficos, pero no a Twitter en sí. Los críticos de la censura del gobierno, sin embargo, dicen que Rusia está tergiversando sus razones para frenar la disponibilidad de Twitter. Twitter se negó a comentar para esta publicación.

¿Tor y las VPN se ven afectadas? Quizás

El informe del martes dice que la regulación la lleva a cabo una gran flota de “cajas intermedias” que los ISP rusos instalan lo más cerca posible del cliente. Este hardware, me dijo Leonid Evdokimov, investigador de Censored Planet, es típicamente un servidor con una tarjeta de interfaz de red de 10 Gbps y software personalizado. Una autoridad central rusa alimenta las cajas con instrucciones sobre qué dominios se deben controlar.

Las cajas intermedias inspeccionan tanto las solicitudes enviadas por los usuarios finales rusos como las respuestas que devuelve Twitter. Eso significa que la nueva técnica puede tener capacidades que no se encuentran en los regímenes de censura de Internet más antiguos, como el filtrado de conexiones mediante VPN, Tor y aplicaciones para eludir la censura. Ars escribió anteriormente sobre los servidores aquí.

Las cajas intermedias utilizan la inspección profunda de paquetes para extraer información, incluido el SNI. Abreviatura de “identificación del nombre del servidor”, el SNI es el nombre de dominio del sitio web HTTPS que se envía en texto plano durante una transacción normal de Internet. Los censores rusos utilizan el texto sin formato para un bloqueo y limitación más granular de sitios web. El bloqueo por dirección IP, por el contrario, puede tener consecuencias no deseadas porque a menudo bloquea el contenido que el censor quiere mantener en su lugar.

Una contramedida para eludir la limitación es el uso de ECH o ClientHello cifrado. Una actualización para el protocolo de seguridad de la capa de transporte, ECH evita el bloqueo o la limitación por parte de los dominios, por lo que los censores deben recurrir al bloqueo a nivel de IP. Los activistas contra la censura dicen que esto conduce a lo que ellos llaman “libertad colateral” porque el riesgo de bloquear servicios esenciales a menudo deja al censor no dispuesto a aceptar el daño colateral resultante del bloqueo directo por dirección IP.

En total, el informe del martes enumera siete contramedidas:

  • TLS ClientHello segmentación / fragmentación (implementado en GoodbyeDPI y zapret)
  • Inflado TLS ClientHello con extensión de relleno para que sea más grande que 1 paquete (más de 1500 bytes)
  • Anteponer paquetes reales con un paquete falso y codificado de al menos 101 bytes
  • Anteponer los registros de saludo del cliente con otros registros TLS, como cambiar la especificación de cifrado
  • Mantener la conexión inactiva y esperar a que el acelerador caiga el estado
  • Agregar un punto final al SNI
  • Cualquier túnel / proxy / VPN cifrado

Es posible que algunas de las contramedidas puedan ser habilitadas por software anti-censura como GoodbyeDPI, Psiphon o Lantern. La limitación, sin embargo, es que las contramedidas explotan errores en la implementación de aceleración actual de Rusia. Eso significa que el tira y afloja en curso entre los censores y los defensores de la anti-censura puede llegar a ser prolongado.

Leave a Reply

Your email address will not be published. Required fields are marked *