Immagine:
Oggi, una parte significativa di tutto il contenuto su internet viene distribuito utilizzando reti CDN. Tuttavia, ci sono ricerche su come diversi censori esercitano la loro influenza su tali reti. Gli studiosi dell'Università del Massachusetts i possibili metodi di blocco dei contenuti CDN, esaminando le pratiche delle autorità cinesi, e hanno sviluppato uno strumento per eludere tali blocchi.
Abbiamo preparato un materiale riepilogativo con le principali conclusioni e risultati di questo esperimento.
Introduzione
La censura è una minaccia globale alla libertà di espressione su internet e all'accesso libero alle informazioni. Questo è possibile in gran parte perché internet ha preso in prestito il modello di "comunicazione end-to-end" dalle reti telefoniche degli anni '70. Questo consente di bloccare l'accesso ai contenuti o le comunicazioni degli utenti senza sforzi o costi significativi, semplicemente basandosi sugli indirizzi IP. Ci sono vari metodi, dalla semplice attivazione del blocco degli indirizzi con contenuti proibiti fino al blocco della possibilità per gli utenti di scoprirli attraverso manomissioni del DNS.
Lo sviluppo di Internet ha portato anche all'emergere di nuovi modi di diffusione delle informazioni. Uno di questi è l'uso di contenuti memorizzati nella cache per migliorare le prestazioni e accelerare le comunicazioni. Oggi i fornitori di CDN gestiscono un volume significativo di tutto il traffico mondiale: solo il leader del settore, Akamai, gestisce fino al 30% del traffico web statico globale.
Una rete CDN è un sistema distribuito per la consegna di contenuti web con la massima velocità. Una tipica rete CDN è costituita da server in diverse località geografiche, che memorizzano nella cache il contenuto per 'fornirlo' a quegli utenti che si trovano più vicino a ciascun server. Questo consente di aumentare significativamente la velocità delle comunicazioni online.
Oltre a migliorare la qualità del servizio per gli utenti finali, l'hosting CDN aiuta i creatori di contenuti a scalare i loro progetti, riducendo il carico sull'infrastruttura.
Censura del contenuto CDN
Nonostante il fatto che il traffico CDN rappresenti già una parte significativa di tutte le informazioni trasmesse attraverso Internet, finora ci sono poche ricerche su come i censori nel mondo reale affrontano il suo controllo.
Gli autori dello studio hanno iniziato esaminando le tecniche di censura che possono essere applicate ai CDN. Successivamente, hanno analizzato i veri e propri meccanismi utilizzati dalle autorità cinesi.
Iniziamo a discutere dei possibili metodi di censura e della loro applicabilità al controllo dei CDN.
Filtraggio per IP
Questa è la tecnica di censura di Internet più semplice ed economica. Utilizzando questo approccio, il censore identifica e mette in black list gli indirizzi IP delle risorse che ospitano contenuti vietati. Di conseguenza, i fornitori di servizi Internet controllati smettono di consegnare i pacchetti inviati a tali indirizzi.
Il blocco basato su IP è uno dei metodi di censura di Internet più comuni. La maggior parte dei dispositivi di rete commerciali è dotata di funzionalità per attuare tali blocchi senza costi computazionali significativi.
Tuttavia, questo metodo non è molto adatto per bloccare il traffico CDN a causa di alcune caratteristiche della tecnologia stessa:
- Cache distribuita – per garantire la migliore disponibilità dei contenuti e ottimizzare le prestazioni, le reti CDN memorizzano nella cache i contenuti degli utenti su un gran numero di edge server, situati in posizioni geografiche distribuite. Per filtrare tali contenuti in base all'indirizzo IP, il censore dovrà conoscere gli indirizzi di tutti gli edge server e metterli nella lista nera. Questo comprometterebbe le principali caratteristiche del metodo, poiché il suo principale vantaggio è che in uno schema normale il blocco di un server consente di "tagliare" l'accesso a contenuti vietati per un gran numero di persone.
- IP condivisi – i provider CDN commerciali condividono la propria infrastruttura (cioè edge server, sistema di mappatura, ecc.) tra molti clienti. Di conseguenza, i contenuti CDN vietati vengono caricati dagli stessi indirizzi IP dei contenuti non vietati. Di conseguenza, qualsiasi tentativo di filtraggio IP comporterebbe il blocco di un'enorme quantità di siti e contenuti che non interessano ai censori.
- Assegnazione IP ad alte prestazioni – per ottimizzare il bilanciamento del carico e migliorare la qualità del servizio, il mapping tra edge server e utenti finali avviene in modo molto rapido e dinamico. Ad esempio, Akamai aggiorna gli indirizzi IP restituiti ogni minuto. Questo rende quasi impossibile il processo di associazione degli indirizzi a contenuti vietati.
Interferenza DNS
Oltre alla filtrazione degli IP, un altro metodo comune di censura è l'interferenza DNS. Questo approccio prevede azioni da parte dei censori per impedire agli utenti di scoprire gli indirizzi IP delle risorse con contenuti vietati. Ciò significa che l'intervento avviene a livello di risoluzione dei nomi di dominio. Esistono diversi modi per farlo, tra cui l'intercettazione delle connessioni DNS, l'uso della tecnica del DNS poisoning e il blocco delle richieste DNS verso siti vietati.
Si tratta di un metodo molto efficace per il blocco, ma può essere aggirato se si utilizzano metodi non standard per la risoluzione DNS, come i canali out-of-band. Perciò, di solito i censori combinano il blocco DNS con l'uso della filtrazione IP. Tuttavia, come già detto, la filtrazione IP non è efficace per censurare i contenuti CDN.
Filtrazione per URL / Parole chiave tramite DPI
Le attrezzature moderne per il monitoraggio dell'attività di rete possono essere utilizzate per analizzare URL specifici e parole chiave nei pacchetti di dati trasmessi. Questa tecnologia è conosciuta come DPI (deep packet inspection). Tali sistemi rilevano menzioni di parole e risorse vietate, dopo di che intervengono nelle comunicazioni online. Di conseguenza, i pacchetti vengono semplicemente scartati.
Questo metodo è efficace, ma più complesso e richiede più risorse, poiché richiede la deframmentazione di tutti i pacchetti di dati inviati all'interno di determinati flussi.
Il contenuto CDN può essere protetto da tale filtrazione proprio come i contenuti 'normali' – in entrambi i casi l'uso della crittografia (cioè HTTPS) è utile.
Oltre all'uso del DPI per la ricerca di parole chiave o URL di risorse vietate, questi strumenti possono essere utilizzati per analisi più avanzate. Tra questi approcci ci sono l'analisi statistica del traffico online/offline e l'analisi dei log di identificazione. Questi metodi sono estremamente dispendiosi in termini di risorse e al momento non ci sono prove sufficienti del loro utilizzo da parte dei censori in un volume significativo.
Autocensura dei fornitori CDN
Se il censore è uno stato, ha piena possibilità di vietare l'operato nel paese ai fornitori CDN che non si conformano alle leggi locali che regolano l'accesso ai contenuti. Non esiste alcun modo per opporsi all'autocensura: quindi, se un'azienda fornitrice di CDN è interessata a operare in un determinato paese, sarà costretta a rispettare le leggi locali, anche se queste limitano la libertà di parola.
Come la Cina censura i contenuti CDN
Il Grande firewall cinese è considerato, a ragion veduta, il sistema più efficace e avanzato per garantire la censura su Internet.
Metodologia di ricerca
I ricercatori hanno condotto esperimenti utilizzando un nodo Linux situato all'interno della Cina. Hanno anche avuto accesso a diversi computer al di fuori del paese. Innanzitutto, gli studiosi hanno verificato che il nodo fosse soggetto a censure simili a quelle applicate agli altri utenti cinesi: per farlo, hanno provato ad aprire vari siti vietati da quella macchina. È stata così confermata la presenza dello stesso livello di censura.
L'elenco dei siti bloccati in Cina che utilizzano CDN è stato prelevato dal sito GreatFire.org. È stata successivamente effettuata un'analisi dei metodi di blocco in ciascun caso.
Secondo dati pubblici, l'unico grande attore del mercato CDN con una propria infrastruttura in Cina è Akamai. Altri fornitori coinvolti nello studio sono: CloudFlare, Amazon CloudFront, EdgeCast, Fastly e SoftLayer.
Durante gli esperimenti, i ricercatori hanno identificato gli indirizzi dei server edge di Akamai all'interno del paese, e hanno poi tentato di accedere ai contenuti autorizzati in cache tramite di essi. Non è stato possibile accedere a contenuti proibiti (è stato restituito l'errore HTTP 403 Forbidden) – è evidente che l'azienda pratica l'autocensura per mantenere la possibilità di operare nel paese. Tuttavia, al di fuori del paese, l'accesso a queste risorse è rimasto aperto.
I fornitori senza infrastruttura in Cina non utilizzano l'autocensura per gli utenti locali.
Per quanto riguarda gli altri fornitori, il metodo di blocco più frequentemente adottato è stato la filtrazione DNS: le richieste ai siti bloccati vengono risolte in indirizzi IP errati. Inoltre, il firewall non blocca i server edge delle CDN, poiché questi ultimi contengono sia informazioni proibite che autorizzate.
Se nel caso del traffico non crittografato le autorità possono bloccare singole pagine di siti tramite DPI, con l'uso di HTTPS possono solo vietare l'accesso all'intero dominio. Questo porta anche al blocco di contenuti autorizzati.
In Cina, ci sono anche fornitori di CDN locali, tra cui reti come ChinaCache, ChinaNetCenter e CDNetworks. Tutte queste aziende rispettano pienamente la legislazione del paese e bloccano i contenuti vietati.
CacheBrowser: strumento per bypassare i blocchi utilizzando la CDN
Secondo l'analisi, è piuttosto difficile per i censori bloccare i contenuti della CDN. Pertanto, i ricercatori hanno deciso di andare oltre e sviluppare uno strumento per eludere i blocchi online che non utilizza la tecnologia proxy.
L'idea principale dello strumento è che i censori devono intervenire nel funzionamento del DNS per bloccare la CDN, ma in realtà non è necessario utilizzare la risoluzione dei nomi di dominio per caricare i contenuti della CDN. In questo modo, l'utente può accedere ai contenuti desiderati direttamente contattando il server edge dove sono già memorizzati nella cache.
Nella diagramma qui sotto è presentato il funzionamento del sistema.

Un software client è installato sul computer dell'utente e un comune browser viene utilizzato per accedere al contenuto.
Quando viene richiesta un'URL o una parte di contenuto già richiesto, il browser invia una richiesta al sistema DNS locale (LocalDNS) per ottenere l'indirizzo IP dell'hosting. Il DNS normale viene interrogato solo per i domini che non sono già contenuti nel database di LocalDNS. Il modulo Scraper controlla costantemente gli URL richiesti e cerca nella lista nomi di dominio potenzialmente bloccati. Successivamente, Scraper contatta il modulo Resolver per risolvere i nuovi domini bloccati scoperti; questo modulo esegue l'operazione e aggiunge la registrazione a LocalDNS. Infine, la cache DNS del browser viene svuotata per rimuovere le registrazioni DNS esistenti per il dominio bloccato.
Se il modulo Resolver non riesce a capire a quale provider CDN appartiene il dominio, chiederà aiuto al modulo Bootstrapper.
Come funziona in pratica
Il software client del prodotto è stato realizzato per Linux, ma può essere facilmente portato anche su Windows. Viene utilizzato come browser il comune Mozilla
Firefox. I moduli Scraper e Resolver sono scritti in Python e i database Customer-to-CDN e CDN-to-IP sono memorizzati in file .txt. Come database, LocalDNS utilizza un normale file /etc/hosts in Linux.
Di conseguenza, per un URL bloccato del tipo Lo script recupererà l'indirizzo IP del server edge dal file /etc/hosts e invierà una richiesta HTTP GET per accedere a BlockedURL.html con i campi dell'intestazione HTTP Host:
blocked.com/ e User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Il modulo Bootstrapper è stato realizzato utilizzando lo strumento gratuito digwebinterface.com. Questo DNS resolver non può essere bloccato e risponde alle richieste DNS per conto di numerosi server DNS distribuiti geograficamente in diverse aree di rete.
Grazie a questo strumento, i ricercatori sono riusciti a ottenere accesso a Facebook dalla loro nodo cinese – anche se il social network è stato a lungo bloccato in Cina.

Conclusione
L'esperimento ha dimostrato che è possibile sfruttare i problemi che i censori incontrano nel tentativo di bloccare i contenuti CDN per creare un sistema di bypass. Questo strumento consente di aggirare i blocchi anche in Cina, dove esiste uno dei sistemi di censura online più potenti.
Altri articoli relativi all'uso di per le aziende:
Fonte: habr.com
