julho 20, 2006

[Segurança] Grande Firewall da China

Recentemente recebi através da lista anti-hackers a notícia de que foi "Quebrada segurança do firewall que China usa para censurar a Internet". O título da matéria é sensacionalista, e a redação se enrola um pouco para explicar que pesquisadores de Cambridge (Inglaterra) publicaram um trabalho no qual avaliaram o comportamento dos acessos para sites chineses e deduzidam qual é o sistema de bloqueio utilizado pelo governo Chinês: é baseado no reset das conexões TCP (coisas que os IDS's fazem há anos para interromper ataques e que alguns produtos comerciais de monitoração de conteúdo também fazem).

Na verdade a novidade não é a tecnologia utilizada em si, mas sim o fato de que eles descobriram (deduziram) como o governo chinês faz o bloqueio. Há várias formas de fazer este bloqueio. É falsa a imagem do "Grande Firewall Chinês" (algo equivalente no mundo virtual à Grande Muralha da China). Isto está mais para "um grande IDS" ou "um grande simples filtro de conteúdo".

E o método usado para descobrir foi simples: uma vez que o controle é bidirecional, eles avaliaram o fluxo de pacotes referentes aos acessos que eles faziam. Quando envolvia alguma palavra que poderia ser bloqueada, eles recebiam pacotes forjados de "TCP Reset". Hum... Por que forjados? Simplesmente pq os pacotes de RST tinham um TTL diferente do que os pacotes originais (e, portanto, foram enviados de outro equipamento, localizado antes do site de destino).

Ou seja, se alguém tenta fazer algo "proibido", o "Grande Firewall" envia um reset para a conexão e ela não se finaliza: as duas partes (cliente e servidor) interrompem a comunicação pensando que a outra fez o reset.

Outro ponto sensacionalista da reportagem é que é fácil burlar a comunicação. Na verdade, os pesquisadores conseguiram recuperar os pacotes recebidos durante o reset da conexão (não tratando o pacote de TCP RST). Porém isto não significa que o controle caiu: do outro lado, certamente, o site (ou usuário) também recebeu o reset e, este sim, abortou a conexão. Ou seja, a comunicação inteira, completa, não pode ser mantida - somente é possível recuperar o restante dos pacotes sendo parcialmente transmitidos. Só é possível, neste caso, recuperar os dados recebidos na ponta onde você tem controle, referente aos dados recebidos do último request - porém o "lado chinês" vai inevitavelmente interromper o envio de dados.

A reportagem contém um link para o trabalho dos pesquisadores: "Ignoring the Great Firewall of China".

Um comentário:

Gustavo Araujo Bittencourt disse...

Anchises, o primeiro link está quebrado. A propósito, muito clara e didática sua explicação sobre o funcionamento da "muralha".

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.