Menú principal

lunes, 24 de diciembre de 2012

HTTP-s y la censura de iTunes en el Gran Firewall Chino

Hace poco Apple ha habilitado el soporte de HTTP-s para la mayoría de las consultas de la tieneda de iTunes, lo que hace que la búsqueda de aplicaciones y la descarga de las mismas estén siendo realizadas bajo conexiones cifradas HTTP-s. Esto, como explican en GreatFire.org ha hecho que aplicaciones para VPNs, tradicionalmente filtradas por el Firewall Chino ya que evitan la inspección de tráfico, estén pudiendo ser descargadas ahora mismo. Esto puede comprobarse desde la siguiente web, que intenta conectarse a una URL desde detrás del firewall para ver si es posible o no.

Figura 1: Test de censura de URLs en Greatfire.org

Sin embargo, no creemos que el gobierno Chino permita que esto pase mucho tiempo, y comience de nuevo a inspeccionar este tráfico como suele hacer, mediante un proceso de SSL bridging con HTTP-s en el que genera un nuevo certificado para el sitio que quiere inspeccionar, pero firmado por una CA controlada por el gobierno - como hace con la mayoría de los servicios HTTP-s de Internet. Es decir, hay dos tramos de cifrado HTTP-s, tal y como se puede ver en la siguiente imagen:

Figura 2: Esquema de funcionamiento de un SSL Bridge con HTTP-s

De esta forma, el tráfico entre los clientes y el firewall va en HTTP-s cifrado con el certificado que tienen controlado, descifran el tráfico, lo analizan, y si consideran que debe pasar, vuelve a cifrar el tráfico entre el firewall y el servidor de iTunes, utilizando el certificado oficial de iTunes

Figura 3: Certificado original usado por itunes.apple.com

Para mitigar este tipo de ataques de SSL Bridging en HTTP-s por parte de gobiernos de dudosas prácticas, el investigador español Yago Jesús (@YJesus), de Security By Default, publicó SSLCop, una herramienta que en sistemas Microsoft Windows elimina la confianza en las CAs de determinados países.

Figura 4: SSL Cop permite revocar las CAs de determinados países en Windows

En sistemas Mac OS X hay que hacerlo manualmente - aunque haya habido bugs que lo evitaban -, y en los terminales iOS, por desgracia, no es posible dejar de confiar en una CA que Apple haya introducido en los equipos, lo que deja poco de elección en las manos de los clientes, y en este tipo de situaciones no puede defenderse - como ya pasara con las CAs de Comodo hace ya más de un año -.

1 comentario:

  1. teneis algun paper de como revocarlos en MAC OS? puedo dar fe de que esto esta sucediendo ahora mismo en venezuela!

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares