- Os pesquisadores identificaram vulnerabilidades no grande firewall da China
- O firewall tenta bloquear as conexões QIC
- Tentativas de bloqueio deixam o estado exposto
As atualizações para o grande firewall da China (GFW) não foram como planejadas, e a ‘falha crítica’ resultante reduz a eficácia do firewall na moderação de cargas de tráfego, descobriram os pesquisadores. Tentativas da China para censurar um tipo específico de tráfego da Internet no país deixaram o estado em risco e vulneráveis a ataques;
‘Nós (..) demonstramos que esse mecanismo de censura pode ser armado para bloquear o tráfego da UDP entre hospedeiros arbitrários na China e no resto do mundo. Colaboramos com várias comunidades de fonte aberta para integrar estratégias de circunavera ao Mozilla Firefox, na biblioteca Qic-Go e em todas as principais ferramentas de circunventionação baseadas em QIC.
O papel foi escrito por pesquisadores do Great Firewall Report, bem como da Universidade de Stanford, da Universidade de Massachusetts Amherst e da Universidade do Colorado Boulder – e é intitulada ‘Expondo e contornando a censura quic baseada no SNI do grande firewall da China’.
Censura da Internet
As vulnerabilidades decorrem das tentativas da China de bloquear as conexões rápidas da Internet UDP (QIC) – um protocolo de rede de camadas de transporte projetado para substituir o Protocolo de Controle de Transmissão (TCP) devido à sua segurança, flexibilidade e menos problemas de desempenho.
O Quic foi inventado pelos trabalhadores do Google em 2012 e pelo menos 10% dos sites usam o protocolo – com muitos sites do Google e Meta. Ambas as organizações são bloqueadas pelo GFW, portanto, o bloqueio de conexões QIC parece ser uma extensão disso, embora os pesquisadores observem que nem todo o tráfego QIC está bloqueado com sucesso.
O mecanismo usado para bloquear as conexões QIC é vulnerável a ataques que podem bloquear todos os resolvedores de DNS abertos ou enraizados fora da China do acesso de dentro do estado, resultando em falhas generalizadas de DNS;
“Defender contra esse ataque enquanto ainda censura é difícil devido à natureza apátrida e à facilidade de falsificar pacotes UDP”, explica o artigo. “A engenharia cuidadosa será necessária para permitir que os censores apliquem blocos direcionados no Quic, ao mesmo tempo em que impedem ataques de disponibilidade”.
Fique conectado