Great Firewall of a China & TLS 1.3: PAGE BLOCKED

Ilaria Montoro : 5 Ottobre 2021 20:01

Autore: Ilaria Montoro

Data Pubblicazione: 4/10/2021

Era solamente aprile, quando in un articolo su quanto fosse sottile la linea rossa tra la Cina e la Russia, facemmo luce su società straniere come Nortel Networks e Cisco Systems, assunte per supervisionare lo sviluppo e fornire hardware e software necessari per la costruzione del più grande sistema di rete di sicurezza al mondo, contribuendo così alle violazioni dei diritti umani in Cina. Perché bisogna riconoscere che sotto il Great Firewall (GFW), sono stati impiegati diversi metodi per consentire una misura globale.

Ebbene, risale a fine luglio – da un rapporto congiunto pubblicato da tre organizzazioni che monitorano la censura cinese: iYouPort , l’ Università del Maryland e il Great Firewall Report – la notizia che il governo cinese abbia implementato un aggiornamento al suo strumento di censura nazionale, per bloccare le connessioni HTTPS crittografate che vengono impostate, utilizzando moderni protocolli e tecnologie a prova di intercettazione.

Le novità del grande firewall cinese

Nello specifico, Attraverso il nuovo aggiornamento GFW, i funzionari cinesi prendono di mira solo il traffico HTTPS che viene impostato con nuove tecnologie come TLS 1.3 e ESNI (Encrypted Server Name Indication).

Ma come sempre, procediamo con assunti di base: TLS è la base della sicurezza per la comunicazione di rete (HTTPS). La crittografia di autenticazione fornita da TLS consente agli utenti di determinare con chi stanno comunicando e di garantire che le informazioni di comunicazione non siano viste o manomesse dagli intermediari.

I censori, inclusa la Cina, utilizzano questa estensione per controllare e impedire agli utenti di accedere a siti Web specifici. TLS1.3 ha ora introdotto SNI crittografato (ESNI), utilizzato per impedire all’intermediario di visualizzare il sito Web specifico che il client desidera visitare.A questo punto, mettendosi nelle vesti di un censore, si dovrebbe decidere se non bloccare alcuna connessione ESNI o al contrario, bloccare tutte le connessioni. Ed ovviamente i revisori cinesi hanno scelto quest’ultimo., come se si vivesse eternamente in appunti presi su un diario senza layout web.

Principali introduzioni TLS 1.3 con l’introduzione ESM

• GFW impedisce le connessioni ESNI rilasciando pacchetti di dati dal client al server;
• Il blocco può essere attivato in entrambe le direzioni dall’interno e dall’esterno del GFW;
• Il flag di estensione 0xffce (che segnala, con il suo valore, se un dato evento si è verificato oppure no, o se il sistema è in un certo stato oppure no) è una condizione necessaria per attivare il blocco;
• Il blocco può verificarsi su tutte le porte da 1 a 65535;
• Una volta che il GFW blocca una connessione, la restante censura continuerà a bloccare tutto il traffico TCP relativo alla tripletta di (IP originale, IP di destinazione, porta di destinazione) per 120 o 180 secondi.

Altro traffico HTTPS invece, è ancora consentito attraverso il Great Firewall, se utilizza versioni precedenti degli stessi protocolli, come TLS 1.1 o 1.2 o SNI (Server Name Indication), dato che per le connessioni HTTPS impostate tramite questi vecchi protocolli, i censori cinesi possono dedurre a quale dominio un utente stia tentando di connettersi. Questo viene svolto esaminando il campo SNI (in chiaro) nelle prime fasi di una connessione HTTPS.

Anche ZDNet, ha confermato i risultati del rapporto con due fonti aggiuntive – vale a dire i membri di un provider di telecomunicazioni degli Stati Uniti e un Internet Exchange Point (IXP) – utilizzando le istruzioni fornite in questa mailing list.

Alla resa dei conti, potremmo definire come il governo cinese, stia ad oggi abbandonando tutto il traffico HTTPS dove TLS 1.3 ed ESNI sono utilizzati, e temporaneamente vietando gli indirizzi IP coinvolti nella connessione, per piccoli intervalli di tempo che possono variare tra due e tre minuti.

Ma c’è una soluzione per l’evasione al controllo

Ma è parte di noi, è bisogno di ogni uomo non evadere, ma arredare la prigionia della realtà. E allora si decide di chiamare l’architetto del web e implementare 6 strategie di evasione sul lato client e 4 da implementare sul lato server.

Tutto grazie a Geneva, che in 48 ore, l’hanno formata dal lato Client e Server per trovare tattiche utili per aggirare la censura. Geneva (Genetic Evasion), è un algoritmo genetico sviluppato dai ricercatori dell’Università del Maryland, che scopre automaticamente nuove strategie per evitare la censura durante il processo di evoluzione. Lavora confondendo il censore iniettando, sostituendo, dividendo o scartando il flusso di pacchetti di dati senza influire sulla connessione originale. Si prega di notare che Geneva è un prototipo di ricerca in versione beta e non risulta ancora ottimizzato per la velocità. Il motore di strategia è open source disponibile su GitHub , quindi queste strategie possono essere implementate e utilizzate da chiunque.

Ciascuna, ha un’affidabilità quasi del 100% e può essere utilizzata per aggirare la revisione ESNI:

• Triple Syn, avviare l’handshake a tre vie TCP con tre pacchetti SYN, in modo che il numero di sequenza del terzo SYN sia sbagliato. Questa strategia può essere implementata anche sul lato server.
• Segmentazione a quattro byte, può essere utilizzata anche dal client o dal server.In questa strategia, il client divide la richiesta ESNI in due segmenti TCP e la lunghezza del primo segmento TCP è inferiore o uguale a 4 byte.
• Smontaggio TCB (TCP Control Block) Teardown: il client inietta un pacchetto RST – un tipo di flag utilizzato dal protocollo TCP che permette il reset immediato della connessione – con un checksum errato nella connessione. Ciò indurrà il GFW a pensare che la connessione sia stata interrotta.
• FIN + SYN, in questa strategia, il client (o il server) invia un pacchetto di dati e imposta sia FIN che SYN durante l’handshake a tre vie. Sembra che l’aspetto di FIN farà sincronizzare immediatamente GFW al tracciamento della connessione corrente, ma l’aspetto di SYN farà pensare che il numero di serie effettivo differisca dal valore effettivo di +1, il che fa deviare il GFW dalla connessione effettiva.
• Inversione di tendenza del TCB, La strategia TCB Turnaround prima che il client avvii l’handshake a tre vie, invia un pacchetto SYN + ACK al server. SYN + ACK fa confondere al GFW i ruoli di client e server, in modo che il client possa comunicare senza impedimenti. L’attacco Turnaround TCB è ancora efficace in Kazakistan, ma sul GFW l’attacco Turnaround TCB non funziona su altri protocolli.
• TCB non sincronizzato, Infine, Geneva ha scoperto un semplice attacco di salto TCB basato sul payload. Dal client, l’iniezione di un pacchetto con un payload e un checksum errato è sufficiente per far saltare la sincronizzazione del GFW con la connessione corrente.

In particolare, si è scoperto che il GFW ha bisogno di vedere un handshake TCP completo per attivare il blocco ESNI.

Gli esperimenti fino ad oggi condotti

Bannedbook.org ha dichiarato di aver condotto due esperimenti su server cinesi dall’esterno. Nel primo esperimento, senza inviare alcun pacchetto SYN, il client invia un messaggio “ClientHello” con estensione ESNI ogni 2 secondi. Nel secondo esperimento, il client invia un pacchetto SYN e un messaggio “ClientHello” con estensione ESNI ogni 2 secondi; ma il server non risponderà a nessun pacchetto (né invierà SYN + ACK per completare l’handshake).

In ogni esperimento, si son inviati 10 messaggi “ClientHello”. Risulta così che, nessuna revisione residua sia stata attivata e che tutti i messaggi “ClientHello” arrivino effettivamente al server. Questo risultato mostrerebbe quindi, come l’handshake TCP ( SYN+ ACK+ SYN-ACK+ FIN) sia una condizione necessaria prima che venga attivato l’audit basato su ESNI. Allo stesso modo, ciò mostrerebbe anche che, simile alla macchina di revisione basata su SNI di GFW, anche la macchina di revisione di ESNI è stateful.

Ma sappiamo tutti che queste strategie non sono permanenti: il Great Firewall continuerà a migliorare le sue capacità per ingabbiare la rete.

Ma la censura non è solo il nemico della democrazia.

D’altronde è dallo scorso anno che Il governo russo sta lavorando per aggiornare le sue leggi tecnologiche in modo da poter vietare l’uso di moderni protocolli Internet che possano ostacolare la sua capacità di sorveglianza e censura.Secondo una copia delle modifiche di legge proposte e una nota esplicativa, il divieto si rivolge a protocolli Internet e tecnologie come TLS 1.3, Doh, Dot e ESNI. Sembrerebbe ad oggi, che i funzionari di Mosca non stiano cercando di vietare l’HTTPS e le comunicazioni criptate nel suo complesso, in quanto sono essenziali per le transazioni finanziarie moderne, le comunicazioni, militari e infrastrutture critiche.Ma è senza dubbio scopo del governo vietare l’uso di protocolli Internet che nascondino “il nome (identificatore) di una pagina web” all’interno del traffico HTTPS.

Brescia capitalista- la Cina spiegata in vignetta

E allora ci appelliamo alle parole del professor Giulio Sapelli, il quale in un’intervista senza filtri, rilasciata a Progetto Manager, in cui non risparmia critiche a Pechino, predice la Cina del 2050 in una crisi molto profonda:

“La vedo in frantumi, amico mio. Vede, nessuno ha mai governato la Cina. La rivoluzione culturale è stata una lotta all’interno del Partito con l’esercito, si scontravano le forze armate. Quindi, chi può credere al potere di Xi Jinping? Sono tutte stupidaggini. Il potere centralizzato non è fatto per la Cina, non lo è mai stato. Io poi credo nella forza secolare della democrazia e della libertà.”

Ed il problema, spesso consiste ancora nell’intavolare questi argomenti in salotti di programmi dedicati, in cui si mette la stupidità conclamata di certi conduttori che è funzionale al regime: serve a minimizzare e vanificare argomenti quanto più che vicini a noi. O che quanto meno ci possano far comprendere sul serio quanto siamo di fronte ad una tecnologia che andrà sempre più regolamentata e compresa. E no, l’Occidente non può permettersi di riderci su.

“E come killer proveremo ad uscirne come topi nelle scatole di Skinner.”

Ilaria Montoro
Laureata in Ricerca sociale, Politiche della sicurezza e Criminalità, dopo aver maturato un percorso di Laurea triennale in Scienze e tecniche di psicologia cognitiva. Sono in possesso dell’attestato del corso in Criminologia clinica e Psicopatologia dei reati passionali ed ho conseguito il Master executive in Cyber Security, Digital Forensics & Computer Crimes.