Censura en el estado español de womenonweb.org: Explicación técnica

Notícies

Ilustración araña informática
15.05.2020 - 09:18
Àmbits de Treball: 

Anteriormente alertamos de la censura de esta web, ahora ampliamos aquí como fue hecha esta censura por las ISPs (Internet Service Providers). Agradecemos al equipo que ha creado este excelente informe técnico que nos permite entender como las diferentes ISPs españolas pueden censurar webs y aprovechamos para reivindicar el derecho de la ciudadania a la transparencia de las instituciones del estado para que el listado de las webs censuradas sea público.

 

Women On Web, web censurada en España

May, 15, 2020
Vasilis Ververis, Fadelkon, Ana, Bita, Samba

Translation(s):

 

Web bloqueada: womenonweb.org Los vendedores de cajas intermedias de DPI: Allot, Fortinet
Métodos de bloqueo: Manipulación de DNS, Bloqueo de HTTP, Interceptación TLS, Reinicios de TCP
Bloqueada en las ISP: Vodafone (AS12357 y AS12430), Vodafone Ono (AS6739), Orange (AS12479 y AS12715), CSUC (AS13041), MÁSMÓVIL (AS15704), XFERA (AS16299), Telefónica/Movistar (AS3352)

WoW blocking logo

Con este artículo queremos concienciar sobre la creciente censura de sitios web y los controles de información que iniciaron las compañías proveedoras de servicios de Internet del estado español. Compartimos todos los detalles técnicos del consistente bloqueo de la página web de Women On Web en la mayoría de las ISP españolas.

Introducción

La web Women On Web womenonweb.org, una organización sin ánimo de lucro que ofrece apoyo a mujeres y a personas embarazadas, ha sido bloqueada por varias compañías proveedoras de servicios de internet, ISP (por sus siglas en inglés) por toda España. El observatorio abierto de interferencias en la red, OONI, una comunidad global que mide las censuras en internet, provee herramientas facilitando que cualquiera, teniendo una conexión de red, pueda contribuir voluntariamente con su datos a informes globales. Las medidas recientes indican que la web de Women On Web ha sido bloqueada desde finales de enero de 2020 y sigue a día de hoy, mientras la realización de este escrito, bloqueada en la mayoría de las compañías proveedoras de servicios de internet españolas.

Esta no es la primera vez que la web Women on Web ha sido bloqueada. OONI publicó un informe en 2019 analizando como las webs Women on Waves y Women on Web confirmaron ser bloqueadas en Brasil, Irán y Turquía, Corea del Sur y Arabia Saudí.

Esta es la primera vez que vemos Women on Web bloqueada en España.

En éste artículo describimos como la mayoría de compañías ISP en España bloquean la web womenonweb.org. Susodichas han bloqueado la web por médio de manipulación de DNS, reinicio de TCP, bloqueo de HTTP usando la infraestructura de inspección profunda de paquetes (DPI por sus siglas en inglés). Nuestro análisis de datos se basa en medidas de la red, informaciones procedentes de OONI.

Estrategias de bloqueo de la red de las ISP

Diagráma de diferentes Técnicas de Censura de Web designed by sub.marin.li

Tabla de sumário

ISP Metodología de bloqueo Caja intermediaria DPI
Telefónica/Movistar Manipulación DNS, Bloqueo HTTP, Reinício TCP Fortinet
Vodafone/Ono Bloqueo HTTP, Interceptación TLS, Reinício TCP Allot
Orange/Jazztel Manipulación DNS -
MASMÓVIL/XFERA Manipulación DNS -
CSUC Bloqueo HTTP, Reinício TCP Fortinet

Puedes descargar nuestro análisis de datos (como un archivo CSV) [aquí]/wow-blocking-post/magma-womenonweb-es-ooni-data.csv).

AS/gráfica de tiempos

El gráfico ilustra las mediciones de red de OONI des del 1 de enero de 2020 hasta el 30 de abril de 2020 de las webs www.womenonweb.org y www.womenonwaves.org. En el eje ‘y’ del gráfico aparecen los nombres de las redes de sistemas autónomos (AS) de los proveedores de servicios de Internet y en el eje ‘x’ la fecha de las mediciones. Los colores del gráfico indican el tipo de bloqueo (dns, http-diff, http-failure y tcp_ip) o sin ningún tipo de bloqueo en gris. Estos tipos de bloqueo están descritos en detalle en OONI en las especificaciones de la prueba de conectividad web. En la parte superior del gráfico podemos ver las medidas de red de la web www.womenonwaves.org la cuál no esta bloqueada por ninguna ISP en España (al menos de las que tenemos datos); todas las mediciones son de color gris significando que no hay bloqueo. En la parte inferior del gráfico podemos ver las medidas de red de la web www.womenonweb.org. Aquí podemos ver un escenario muy diferente donde la mayoría de compañías ISP están bloqueando la web por medio de manipulación del DNS, reinicio de TCP y bloqueo HTTP con el uso de DPI.

Diagram on different Website Censorship Techniques

La web www.womenonweb.org esta bloqueada en las siguientes redes: Vodafone (AS12357 y AS12430), Vodafone Ono (AS6739), Orange (AS12479 y AS12715), CSUC (AS13041), MÁSMÓVIL (AS15704), XFERA Móviles (AS16299), Telefónica/Movistar (AS3352). En las siguientes secciones vamos a analizar como las compañías ISP han bloqueado la web.

Manipulación del DNS

Nos hemos encontrado que las compañías ISP de Orange (AS12715 y AS12479), XFERA Móviles (AS16299), Telefónica (AS3352) y MÁSMÓVIL (AS15704) bloquean el accéso a la web www.womenonweb.org mediante la manipulación del DNS.

Las ISP de Telefónica (AS3352) y Orange (AS12715 y AS12479) bloquean la web secuestrando el nombre del dominio y señalando su DNS (A registro) a la dirección IP 127.0.0.1. Esta dirección IP es asignada para su uso como la dirección de bucle de retorno del huésped de Internet y dichas direcciones IP no deben aparecer en ninguna red y en ningún lugar (de acuerdo con RFC1700).

De forma similar MÁSMÓVIL (AS15704) y XFERA (AS16299) están bloqueando la web secuestrando el nombre del dominio de la web womenonweb.org para señalar falsamente a la dirección IP 192.168.1.254, la cuál pertenece a un espacio de dirección privada. Normalmente esta es una dirección IP destinada a redes privadas en viviendas o oficinas pequeñas, y nunca deberían ser usadas para servidores de web pública o para un servício online que no puede ser dirigido a través del Internet público. En ningún caso esta no es una dirección IP perteneciente a www.womenonweb.org.

En estos dos casos de manipulación del DNS, una visitante a la web no verá una página de bloqueo o ninguna información en ella del por qué la web se encuentra bloqueada e inaccesible. Visitantes a dicha web procedentes de Orange y Telefónica pueden falsamente entender que hay un problema técnico con la web y no que se encuentra bloqueada por sus ISP.

A continuación podemos ver todas las ISP con las últimas mediciones de la red que muestran evidencias del bloqueo de la web mediante la manipulación del DNS.

ASN ISP Web bloqueada Informe de OONI Método de bloqueo
AS12715 Orange www.womeonweb.org 2020-04-24 17:49:32 DNS tampering
AS12479 Orange www.womeonweb.org 2020-04-25 19:42:54 DNS tampering
AS16299 XFERA www.womeonweb.org 2020-04-25 15:01:30 DNS tampering
AS3352 Telefónica www.womeonweb.org 2020-02-23 12:33:58 DNS tampering
AS15704 MÁSMÓVIL www.womeonweb.org 2020-04-25 08:17:30 DNS tampering

 

Deep Packet Inspection

De las muchas técnicas usadas por las compañías ISP para censurar webs, la “inspección profunda de paquetes” es la base de las formas más avanzadas de censura. Generalmente, las compañías ISP desarrollan la censura manipulando el regístro DNS de las webs en cuestión. Sin embargo, algunas compañías ISP usan tecnologías más invasivas para censurar webs: la DPI. Éstas la usan para hacer una vigilancia más intrusiva o para interceptar las comunicaciones de la red de sus usuarias, lo cual no es posible con una simple manipulación del DNS.

Hay aparatos especiales que tienen la facilidad, no solamente de mirar en la capa 3 o las cabeceras de la capa 4 de la red, sinó también mirar en el interior de la carga útil de cada uno de los paquetes. Dichos aparatos no sólo pueden distinguir paquetes que van al servidor sinó también impedir que alcancen su objetivo, cambiar la respuesta del servidor, e incluso redirigir los paquetes a otro servidor. Estos dispositivos realizan un trabajo hostil y activo de ataque del ‘monstruo-en-el-medio’ (MITM) en cada uno de los clientes que se conectan a la red a través de ellas.

Durante nuestra búsqueda hemos identificado 2 diferentes compañías de DPI: Fortinet en la red de Telefónica y Allot en la red de Vodafone. Ambas han sido usadas para manipular activamente el tráfico de red de las usuarias y bloquear la web de womenonweb.org.

Bloqueo por HTTP

Una visión general de Movistar con Fortinet

Hemos encontrado que AS3352, propiedad de Movistar (una compañía de Telefónica), intercepta la comunicación de sus usuarias para mostrar un sitio web falso con un texto que dice HTTP 404 error, es decir, un código de estado de la web para anunciar que la página específica no existe. Sin embargo, esto no es cierto, ya que como podemos observar en las mediciones de control de OONI Web Connectivity, hay datos recolectados al mismo tiempo pero en otras redes, que confirman que la página sí que existe.

Además, dentro de la página HTML de la respuesta HTTP, podemos ver más evidencias que esta proveedora de internet está usando DPI para censurar la web www.womenonweb.org. Dentro del HTML mostrado a continuación, encontramos la cadena FGT_HOSTNAME. A partir de esta, podemos deducir que esta compañía está usando un producto DPI de Fortinet llamado Fortigate. Confirmado por esta Página de ayuda de Fortinet. Más específicamente, el valor de este campo (FGT_HOSTNAME), parece ser el identificador único de host de la máquina de DPI que ha generado esta respuesta falsificada, RFFBTB1-01.

Buscando online por este identificador único de host, RFFBTB1-01, podemos encontrar una respuesta del servicio de asistencia de la comunidad de Movistar diciendo ‘Bloqueo de página web’. Una usuaria en dicho servicio de asistencia de la comunidad de Movistar estuvo preguntando el porqué la web http://www.argenteam.net/ estaba siendo bloqueada. Leyendo a lo largo del post, fuimos capaces de encontrar textualmente la misma página de bloqueo (ERROR 404 - File not found) que la encontrada en el bloqueo de la web de Women on Web. Además, la presencia del hostname (FGT_HOSTNAME: RFFBTB1-01) en el servicio de asistencia de Movistar implica que otras webs están siendo bloqueadas por la red de Movistar con la misma metodología.

Adicionalmente, el mismo tipo de página de bloqueo de Movistar ha sido encontrado en unas mediciones de red de OONI en 2018, mostrando el bloqueo de la web thepiratebay.org.

Página de bloqueo de Movistar con Fortinet

Movistar utiliza la siguiente página de bloqueo para censurar el acceso a la web de Women on Web:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<!--
CATEGORY:
DEST_IP: 67.213.76.19
FGT_HOSTNAME: RFFBTB1-01
SOURCE_IP: [REDACTED]
-->
<html>
<head>
<title id="3">
Error 404
</title>
</head>
<body>
<CENTER>
<h1>
ERROR 404 - File not found
</h1>
</CENTER>
</body>
</html>

Los detalles completos de la página de bloqueo y de la evidencia técnica del bloqueo pueden encontrarse en las mediciones de red de OONI.

Gracias a las mediciones desde diferentes puntos de la red de Movistar, hemos sido capaces de identificar dos identificadores de página de bloqueo con diferéntes nombres de host Fortigate establecidos como RFFBTB1-01, RFFBTB1-02 y RFFMNO1-01. Adicionalmente, el título de las etiquétas HTML de la página de bloqueo parecen ser diferéntes por cada servidor/hostname id="1", id="3" y id="4". Basados en sus estructuras de configuración y en sus nombres de hostname son probablemente diferéntes servidores DPI operando para la misma ISP.

Comparación en paralelo de las tres páginas de bloqueo devueltas por la herramienta DPI Fortigate de Fortinet. En la línea 6 hay únicamente 3 hostnames de Fortigate. Las mediciones de red de OONI revelan la página de bloqueo de Movistar con todos los detalles técnicos que se pueden encontrar aquí, aquí y aquí.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

<!DOCTYPE html PUBLIC "-//W3C//DTD | <!DOCTYPE html PUBLIC "-//W3C//DTD | <!DOCTYPE html PUBLIC "-//W3C//DTD
<!-- | <!-- | <!--
CATEGORY: | CATEGORY: | CATEGORY:
DEST_IP: 67.213.76.19 | DEST_IP: 67.213.76.19 | DEST_IP: 67.213.76.19
FGT_HOSTNAME: RFFMNO1-01 # FGT_HOSTNAME: RFFBTB1-01 # FGT_HOSTNAME: RFFBTB1-02
SOURCE_IP: [REDACTED] | SOURCE_IP: [REDACTED] | SOURCE_IP: [REDACTED]
--> | --> | -->
<html> | <html> | <html>
<head> | <head> | <head>
<title id="1"> # <title id="3"> # <title id="4">
Error 404 | Error 404 | Error 404
</title> | </title> | </title>
</head> | </head> | </head>
<body> | <body> | <body>
<CENTER> | <CENTER> | <CENTER>
<h1> | <h1> | <h1>
ERROR 404 - File not found | ERROR 404 - File not found | ERROR 404 - File not found
</h1> | </h1> | </h1>
</CENTER> | </CENTER> | </CENTER>
</body> | </body> | </body>
</html> | </html> | </html>

Algunas mediciones de red de OONI del Consorci de Serveis Universitaris de Catalunya (CSUC) revelan la misma página de bloqueo con Telefónica, dado que el CSUC aparentemente utiliza Telefónica como su ISP.

ASN ISP Web bloqueada Informe de OONI Método de bloqueo
AS3352 Telefónica www.womeonweb.org 2020-04-17 08:31:33 HTTP blocking (DPI)
AS13041 CSUC www.womeonweb.org 2020-02-18 08:34:35 HTTP blocking (DPI)

Página de bloqueo de Vodafone

A las usuarias de Vodafone ISP (AS12357 y AS12430) se les muestra la siguiente página de bloqueo genérico cuando visitan (la versión HTTP) del sitio web womenonweb.org

Esta página de bloqueo es otra indicación que Vodafone bloquea el sitio web.

 "Por causas ajenas a Vodafone, esta web no está disponible"

Interceptación de TLS

La proveedora Vodafone (AS12357 y AS12430), igual que Movistar, está usando una técnica conocida en seguridad de redes como “middle-person attack”, o “ataque de intermediaria”.

Vodafone no corta la conexión TCP durante el handshake TLS, como hace Movistar, sino que suplanta el servidor web de www.womenonweb.org. Hemos comprobado que en las redes AS12357 y AS12430 el handshake TLS se puede completar correctamente, con la salvedad que el certificado TLS que el navegador usuario recibe, es totalmente inválido. Asegura representar la web bloqueada y va firmado por la empresa Allot.com.

ASN ISP Web bloqueada Muestras OONI Técnica de bloqueo
AS12357 Vodafone www.womeonweb.org 2020-04-23 15:20:11 TLS interception
AS12430 Vodafone www.womeonweb.org 2020-04-25 19:41:43 TLS interception

En redes de Vodafone (AS 12357 y AS 12430) encontramos muchas muestras con errores de verificación de certificado (ssl_error: error:14007086:SSL routines:CONNECT_CR_CERT:certificate verify failed), lo que indica que es altamente probable que la proveedora haya desplegado una regla de interceptación de TLS para el dominio www.womenonweb.org. Este mensaje de error de la librería OpenSSL indica que el handshake TLS ha terminado sin que el cliente haya podido verificar el certificado que ha recibido de parte del servidor.

Usando la herramienta de línea de comandos que ofrece OpenSSL para hacer pruebas más detalladas, hemos confirmado la interceptación TLS para las conexiones al servidor web de Women on Web, condicionada a unos supuestos que especificamos a continuación.

Certificado TLS falsificado

Una vez establecida la conexión TCP (no vemos un reinicio TCP aquí), el navegador que quiere acceder a la web HTTPS envía al servidor un mensaje TLS del tipo Client Hello, como primer paso para establecer un canal autentificado. Lo reproducimos aquí con la línea de comandos de OpenSSL:

> openssl s_client -connect 67.213.76.19:443 -servername www.womenonweb.org < /dev/null |& egrep 'issuer|subject'
subject=CN = www.womenonweb.org
issuer=C = ES, ST = Madrid, L = Madrid, O = Allot, OU = Allot, CN = allot.com/emailAddress=info [arroba] allot.com

Detalle del comando OpenSSL:

  1. s_client: Usa el cliente TLS integrado
  2. -connect …: Conecta a la dirección IP de Women on Web al puerto HTTPS (443)
  3. -servername …: Indica el hostname al que queremos acceder
  4. < /dev/null: Cierra la conexión TLS una vez establecida
  5. |& egrep …: Muestra sólo las líneas que contengan los campos issuer y subject del certificado recibido.

El resultado del comando anterior muestra claramente cómo la respuesta presenta un certificado TLS falseado, asegurando ser válido para www.womenonweb.org (campo “Common Name” del subject) y emitido por Allot, que de ninguna manera es una Autoridad de Certificación reconocida.

Como las pruebas de OONI no guardan los certificados TLS que devuelven los servidores, nuestro equipo ha subido el certificado falseado de Allot para la inspección pública. El certificado ofrecido por Vodafone tiene fecha de emisión del 27 de enero de 2019, un año antes de que nuestro análisis de datos mostrara señales de bloqueo.

Captura de pantalla del navegador Chromium mostrando el certificado falsificado para www.womenonweb.org

Filtrado por SNI

Un detalle importante del comando de antes es el parámetro -servername que añadimos. Controla la extensión de TLS llamada “Server Name Indication” (SNI), que se envía dentro del mensaje ClientHello. Se envía sin cifrar del cliente al servidor y su uso previsto es ayudar a los servidores web que alojan más de un sítio HTTPS, a poder responder con el ServerHello correspondiente al sítio pedido. Es necesário porque cada sítio HTTPS puede tener su própio certificado.

Sin embargo, esto también conlleva un riesgo. Como el campo SNI se envía sin cifrar, hay sistémas de censura que lo usan para identificar e interceptar las conexiónes a los dominios o webs que quieren bloquear. Por este motivo, hemos intentado repetir la conexión anterior pero quitando el campo SNI, por medio de la opción -noservername de la herramienta de OpenSSL. Es decir:

> openssl s_client -connect 67.213.76.19:443 -noservername < /dev/null |& egrep 'issuer|subject'
subject=CN = womenonweb.org
issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

La respuesta abreviada nos muestra un certificado emitido para womenonweb.org (fíjense que no tiene www.), y firmado por la Autoridad Certificadora Let’s Encrypt. Aunque éstas dos líneas son insuficientes para comprobar que el certificado sea válido, lo hemos descargado y comprobado que sí lo es. De hecho, se trata del mismo certificado devuelto por la web https://67.213.76.19/, en redes sin bloqueo. Parece que Women on Web tiene configurado como sitio HTTPS por defecto womenonweb.org, que contiene simplemente una redirección a www.womenonweb.org. Sería interesante ver qué pasaría si el sitio HTTPS por defecto fuera www.womenonweb.org, es decir, el que devuelve el contenido deseado.

Diferencias con el “Bloqueo por SNI”

Si bien como hemos observado, el sistema de DPI de Allot que opera en las redes de Vodafone está usando el campo SNI para filtrar ciertos paquetes, esto no significa que cualquier petición de conexión por TLS que contenga éste campo con el mismo valor vaya a ser bloqueada. En un informe reciente en blog de OONI, explícan que en el caso de Irán, cualquier paquete que contenga un SNI prohibido, va a ser bloqueado. Como mostramos a continuación, este no es la situación que nos hemos encontrado. Así pues, el experimento que OONI usó en el caso de Irán, bautizado como “SNI Blocking”, no nos ha servido. Por eso, hemos contactado con el equipo de desarrollo de OONI explicando la situación y hemos probado un nuevo experimento, o método de muestreo, diseñado específicamente para recopilar toda la información necesaria para este nuevo escenario.

Por ejemplo, hagamos una conexión a Wikipedia con el SNI indicando el dominio de Women on Web:

> openssl s_client -connect wikipedia.org:443 -servername www.womenonweb.org < /dev/null |& egrep 'issuer|subject'
subject=C = US, ST = California, L = San Francisco, O = "Wikimedia Foundation, Inc.", CN = *.wikipedia.org
issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA

El resultado corresponde a una respuesta válida del servidor web de Wikipedia, y por lo tanto, deducímos que el sistema de DPI no ha intervenido. Podemos induir pues, que el filtro por SNI sólo se realiza a los paquetes con destino a ciertas direcciones IP.

Variaciones de dominios y subdominio

Por lo que respecta a las redirecciones, tanto la versión HTTP de womenonweb.org como la HTTPS, las dos sin el prefijo o subdominio www., no aparecen bloqueadas en las redes Vodafone que hemos analizado. En el caso de HTTPS, no vemos ninguna falsificación de certificado:

> openssl s_client -connect 67.213.76.19:443 -servername womenonweb.org < /dev/null |& egrep 'issuer|subject'
subject=CN = womenonweb.org
issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Auhority X3

De todos modos, este dominio redirige automáticamente ahttps://www.womenonweb.org, que sí que está bloqueada.

Página falsa de substitución

Finalmente, el contenido que Vodafone nos presenta, si aceptamos el certificado falso, es similar pero no idéntico al devuelto por la versión HTTP, que hemos mostrado en la sección de bloqueo HTTP.

La web de sustitución que nos devuelve si accedemos por HTTP es:

> curl http://www.womenonweb.org
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<html>Por causas ajenas a Vodafone, esta web no est� disponible</html>

(hemos añadido saltos de línea para facilitar la lectura)

Sin embargo, si accedemos por HTTPS, desestimando, con la opción --insecure, los errores de seguridad generados por el certificado falso, entonces recibimos:

curl --insecure https://www.womenonweb.org
<html><body><p>Por causas ajenas a Vodafone, esta web no est� disponible</body></html>

Esta página simple difiere de la anterior en que no tiene las etiquetas META y en que añade las etiquetas body, y en que abre pero no cierra una etiqueta de párrafo p.

TCP Reset

Un ataque de reinicio de TCP es la forma de manipular y terminar una conexión a internet enviando un paquete de reinicio de TCP olvidado (Wikipedia: Ataque de reinicio de TCP).

La respuesta nunca recibida response_never_received y ECONNRESET significa que el otro lado de la conversación de TCP se ha cerrado de forma repentina finalizando la conexión. Indicando un potencial ataque reinicio TCP.

ASN ISP Web bloqueada Informe de OONI Método de bloqueo
AS6739 Vodafone www.womeonweb.org 2020-03-08 07:01:48 TCP reset (response_never_received)
AS3352 Movistar www.womeonweb.org 2020-04-23 04:36:10 TCP reset (response_never_received)
AS3352 Movistar www.womeonweb.org 2020-04-25 22:07:44 TCP reset (ECONNRESET)
AS13041 CSUC www.womeonweb.org 2020-02-19 18:57:37 TCP reset (response_never_received)

Vale la pena mencionar que test posteriores de AS6739 muestran otras estrategias de bloqueo, sistemáticamente a lo largo del tiempo, sugiriendo que entre el 16 de marzo de 2020 y el 24 de abril de 2020, Vodafone cambió de una estrategia simple a una más complicada, al menos en esta red (AS6739).

Evasión del DPI

Durante nuestra búsqueda hemos encontrado el artículo Qurium sobre mecanismos técnicos usados para bloquear las webs relacionadas con el referéndum catalán en octubre de 2017. Hemos sido capaces de eludir el bloqueo del DPI de la misma manera.

Específicamente el sistema DPI mantiene su estado de sesión por 10 segundos. Así, al retrasar la transmisión de la petición HTTP GET ("GET / HTTP/1.1") podemos eludir con éxito el DPI, ya que la sesión TCP no es rastreada después de 10 segundos. El comando siguiente nos permite eludir el DPI en Vodafone ISP (AS 12357 y AS 12430) que usa la infraestructura del DPI de Allot.

input () {
sleep 20
echo "GET / HTTP/1.1"
echo "Host: www.womenonweb.org"
echo
echo
}

input | nc www.womenonweb.org 80

Otra estrategia publicada en 2013 por OONI aprovecha el proceso de saneamiento de cabeceras HTTP que realizan los servidores web, en contraste con la falta de este en los sistemas DPI.

Adaptando el comando previo para explorar esta estrategia también demuestra ser exitoso:

input () {
echo "GET / HTTP/1.1"
echo -e "Host: www.womenonweb.org\t"
echo
echo
}

input | nc www.womenonweb.org 80

En ambos casos, sobre eludir el DPI, la respuesta es un HTTP redireccionado a HTTPS. Esta es una práctica esperada y un estándar el redireccionar usuarias a la versión HTTPS de www.womenonweb.org (una conexión no censurada):

HTTP/1.1 302 Found
Cache-Control: no-cache
Content-length: 0
Location: https://www.womenonweb.org/
Connection: close

Conclusiones

Nuestro análisis técnico de los datos de OONI colectados por múltiples voluntarias en el periodo del 1 de enero hasta el 30 de abril de 2020 revelan bloqueos sistemáticos de la web Women on Web (www.womenonweb.org). Encontramos evidencias de bloqueos en 9 redes usadas por las 5 mayores compañías proveedoras de servicios de internet de banda ancha y móvil en España.

Fuimos capaces de verificar el uso de tecnología DPI perteneciente a Fortinet y Allot usadas por Telefónica y Vodafone para bloquear el acceso a la web. Ademas detectamos 2 tipos diferentes de páginas de bloqueo en la misma red.

Basadas en la evidencia de este artículo con los análisis de mediciones de la red, fuimos capaces de verificar el bloqueo de la web Women on Web por medio de la manipulación del DNS, bloqueo de HTTP, interceptación del TLS y reinicio de TCP.

Estos métodos no son de ninguna manera exclusivos de la censura de este sitio web, parecen ser usados de forma rutinaria como muestran los informes regulares publicados por OONI.

Eludir la censura

Nuestro hallazgos revelan censura en España de la web womenonweb.org con manipulación del DNS, DPI, interceptación del TLS, bloqueo de HTTP y reinicio de TCP.

Para los casos de manipulación del DNS puedes ser capaz de eludir la censura y acceder a la web cambiando los resolutores DNS.

Igualmente encontramos que en algunas redes de compañías ISP han implementado bloqueos de DPI y manipulación de DNS, en esos casos cambiando los resolutores de DNS puede no ser adecuado para eludir la censura.

Podrás evitar la censura y el bloqueo de la web usando Tor Browser.

Reportajes previos

Agradecimientos

Contribuyentes y ensayistas

Muchas ideas, desubrimientos y ensayos a través de redes y tiempo deben ser acreditados a:

  • Miembras de la lista mail de la comunidad Hackmeeting
  • Miembras de la Sala Cafe de la comunidad de SinDominio
  • Miembras de la comunidad y del núcleo de OONI
  • Calbasi, Benhylau, y muchas, muchas amigas, compañeras, familiares, y testers anónimas.

Colectivos de apoyo

Este trabajo no habría sido posible sin la infraestructura de apoyo de:

  • Sindominio.net
  • Indymedia.org
  • Riseup.net
  • Aktivix.org
  • Coletivos.org

Referencias

Contacto

Contacto de grupo: nobloc_at_3msg.es