China is now blocking all language editions of Wikipedia
Informazione interessante, ma conclusione... sospetta. Mi sa che introdurre un single point of failure nella risoluzione DNS non è proprio la cosa più furba da fare. Censureranno gli IP... o peggio, visto che controllano anche Certification Authority. https://ooni.torproject.org/post/2019-china-wikipedia-blocking/ China recently started blocking all language editions of Wikipedia. Previously, the blocking was limited to the Chinese language edition of Wikipedia (zh.wikipedia.org), but has now expanded to include all *.wikipedia.org language editions. In this post, we share OONI network measurement data on the blocking of Wikipedia in China. We found that all wikipedia.org sub-domains are blocked in China by means of DNS injection and SNI filtering. [...] Based on these tests, we were able to conclude that China Telecom does in fact block all language editions of Wikipedia by means of both DNS injection and SNI filtering. Similarly to censorship implemented in Egypt, perhaps this can be viewed as a “defense in depth” tactic for network filtering. By implementing both DNS and SNI-based filtering, China Telecom creates multiple layers of censorship that make circumvention harder. The use of an encrypted DNS resolver (such as DNS over HTTPS) together with Encrypted SNI (ESNI) could potentially work as a circumvention strategy. Wikipedia.org does not currently support ESNI, but there have been discussions about enabling it.
On 7 May 2019 at 14:11:51, Giacomo Tesio (giacomo@tesio.it) wrote:
Informazione interessante, ma conclusione... sospetta.
Mi sa che introdurre un single point of failure nella risoluzione DNS non è proprio la cosa più furba da fare. Censureranno gli IP... o peggio, visto che controllano anche Certification Authority.
In che senso trovi la conclusione a cui siamo arrivati sospetta? Ti rifersci al fatto che consigliamo di adottare soluzioni quali DNS over HTTPS e ESNI? Alla fine tutte le soluzioni di circumvention saranno sempre imperfette, come anche le soluzioni censorie. Quello che possiamo fare però è rendere il lavoro del censore un po' più difficile e portarli ad adottare nuovi metodi che magari costano a loro di più. La censura su base IP, ad esempio, richiede mantenere liste di blocco aggiornate di continuo e sono particolarmente suscettibili a overblocking o underblocking, basta vedere cosa è successo in Russia per via di Telegram e il blocco totale di AWS: https://arstechnica.com/information-technology/2018/04/in-effort-to-shut-dow.... ~ Arturo
Ciao Arturo! On 16/05/2019, Arturo Filastò <arturo@filasto.net> wrote:
On 7 May 2019 at 14:11:51, Giacomo Tesio (giacomo@tesio.it) wrote:
Informazione interessante, ma conclusione... sospetta.
Mi sa che introdurre un single point of failure nella risoluzione DNS non è proprio la cosa più furba da fare. Censureranno gli IP... o peggio, visto che controllano anche Certification Authority.
In che senso trovi la conclusione a cui siamo arrivati sospetta?
Ti rifersci al fatto che consigliamo di adottare soluzioni quali DNS over HTTPS e ESNI?
Esatto.
Alla fine tutte le soluzioni di circumvention saranno sempre imperfette, come anche le soluzioni censorie. Quello che possiamo fare però è rendere il lavoro del censore un po' più difficile e portarli ad adottare nuovi metodi che magari costano a loro di più.
Che costano di più a loro... o ai loro cittadini? https://medium.com/berkman-klein-center/the-uncertain-effects-of-https-adopt... https://meyerweb.com/eric/thoughts/2018/08/07/securing-sites-made-them-less-...
La censura su base IP, ad esempio, richiede mantenere liste di blocco aggiornate di continuo e sono particolarmente suscettibili a overblocking o underblocking
Sei sicuro che siano veramente problemi? Intendo dal punto di vista di coloro che la censura la impongono.
basta vedere cosa è successo in Russia per via di Telegram e il blocco totale di AWS: https://arstechnica.com/information-technology/2018/04/in-effort-to-shut-dow....
E... quindi? La Russia ha bloccato "accidentalmente" due delle compagnia di sorveglianza statunitensi più potenti e militarmente pericolose del pianeta. Mi sfugge cosa ci sia di nuovo o sorprendente in questo. Siamo d'accordo che sia deprecabile. Come è deprecabile ogni forma di censura. E come è deprecabile ogni forma di manipolazione cognitiva dell'uomo. Ma con il DNS over HTTPS non aumenti affatto il costo della censura per il governo russo. Faciliti semplicemente i servizi di sorveglianza di certe aziende, il loro potere censorio e faciliti diversi tipi di attacchi. Per esempio, hai mai considerato che puoi effettuare via richieste DNS puoi inviare 63 byte alla volta presso un server DNS? Bisogna configurare il DNS per loggare le richieste di domini non noti e per avere un TTL molto basso. Si pone però un problema: il caching dei DNS intermedi. Se però le comunicazioni avvengono attraverso un proxy DNS, magicamente il problema sparisce. Meglio: l'upload avviene in forma cifrata, imperscrutabile a tutti i firewall intermedi sotto il controllo della vittima per i quali appaiono come comunicazioni TLS verso un endpoint fidato (il server DoH). NOTA: non ho mai provato questo attacco, ma per il momento nessuno ha sostenuto la sua impossibilità. Il che, come hanno dimostrato Mozilla, di solito significa che ho ragione (vedi https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c16 ma attento a dove clicchi! ;-) Comunque ne abbiamo parlato in questa lista qualche mese fa: http://server-nexa.polito.it/pipermail/nexa/2018-September/013706.html La mia opinione in merito è diventata progressivamente più critica con l'aumentare degli studi sulla questione, anche senza considerare i problemi strutturali del sistema di CA e MitM globali come Cloudflare. Un paper che non trovo più (scusa) mostrava che utilizzando il protocollo HTTPS come canale, header banali come lo UserAgent veicolassero una enorme quantità di informazioni utili al fingerprinting e alla profilazione dell'utente (finanche alla sua identificazione, se associati a dati provenienti da altre fonti). Dunque confermo, se il problema è la sicurezza degli utenti, delle aziende, delle istituzioni, o anche solo delle infrastrutture di comunicazioni dello Stato, il DoH e l'ESNI (che peraltro è ancora un draft, se ricordo bene) non rappresentano una soluzione. Scegliere fra due padroni non è libertà. Ma credere di scegliere fra due padroni, mentre in realtà si è sorvegliati e controllati da entrambi... è persino peggio. Credo sia necessario un approccio più radicale. Giacomo
participants (2)
-
Arturo Filastò -
Giacomo Tesio