La Cina sta bloccando tutto il traffico HTTPS crittografato che utilizza TLS 1.3 ed ESNI

La Cina sta bloccando tutto il traffico HTTPS crittografato che utilizza TLS 1.3 ed ESNI

Il governo cinese ha implementato un aggiornamento al suo strumento di censura nazionale, noto come Great Firewall (GFW), per bloccare le connessioni HTTPS crittografate che vengono impostate utilizzando protocolli e tecnologie moderni ea prova di intercettazione.

Il divieto è in vigore da almeno una settimana, dalla fine di luglio, secondo un rapporto congiunto pubblicato questa settimana da tre organizzazioni che monitorano la censura cinese: iYouPort , l' Università del Maryland e il Great Firewall Report .

LA CINA ORA BLOCCA HTTPS + TLS1.3 + ESNI

Attraverso il nuovo aggiornamento GFW, i funzionari cinesi prendono di mira solo il traffico HTTPS che viene impostato con nuove tecnologie come TLS 1.3 e ESNI (Encrypted Server Name Indication) .

Altro traffico HTTPS è ancora consentito attraverso il Great Firewall, se utilizza versioni precedenti degli stessi protocolli, come TLS 1.1 o 1.2 o SNI (Server Name Indication).

Per le connessioni HTTPS impostate tramite questi vecchi protocolli, i censori cinesi possono dedurre a quale dominio un utente sta tentando di connettersi. Questo viene fatto esaminando il campo SNI (in chiaro) nelle prime fasi di una connessione HTTPS. 

Nelle connessioni HTTPS impostate tramite il più recente TLS 1.3, il campo SNI può essere nascosto tramite ESNI, la versione crittografata del vecchio SNI. Poiché l'utilizzo di TLS 1.3 continua a crescere nel Web, il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI sta ora dando ai sensori cinesi mal di testa, poiché ora trovano più difficile filtrare il traffico HTTPS e controllare a quali contenuti la popolazione cinese può accedere.

Secondo i risultati del rapporto congiunto, il governo cinese sta attualmente abbandonando tutto il traffico HTTPS in cui vengono utilizzati TLS 1.3 ed ESNI e vietando temporaneamente gli indirizzi IP coinvolti nella connessione, per piccoli intervalli di tempo che possono variare tra due e tre minuti.

ESISTONO ALCUNI METODI DI ELUSIONE ... PER ORA

Per ora, iYouPort, l'Università del Maryland e il Great Firewall Report hanno affermato di essere stati in grado di trovare sei tecniche di elusione che possono essere applicate lato client (all'interno di app e software) e quattro che possono essere applicate lato server (su server e backend dell'app) per bypassare il blocco corrente di GFW.

"Sfortunatamente, queste strategie specifiche potrebbero non essere una soluzione a lungo termine: con l'avanzare del gioco del gatto e del topo, è probabile che il Great Firewall continui a migliorare le sue capacità di censura", hanno aggiunto anche le tre organizzazioni.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.