web-dev-qa-db-fra.com

Comment un pays empêche-t-il ses citoyens d'accéder à un site?

À la suite des récents blocs de sites sociaux en Turquie, je me demande comment pouvez-vous y parvenir efficacement en tant que pays. Similaire pour une grande entreprise.

IP bloquantes → facile à contourner (proxys, tunnels, etc.) Blocage/redirection DNS → tapez l'adresse ou similaire comme ci-dessus

Inspection approfondie des paquets → très gourmande en ressources, peut-elle être effectuée à l'échelle d'un pays entier? Et encore, chiffrement du trafic, HTTPS, SSH etc…

Mettre fin à toutes les connexions aux passerelles nationales, inspecter le trafic, puis chiffrer à nouveau le trafic? Semble très très long.

Y a-t-il un moyen (évident?) Ou autre que j'ai manqué?

Je parle de manière générale et non pour l'exemple de la Turquie. Et la suppression de tout le trafic crypté ne semble pas être une option pour un pays.

49
blended

Vous en avez couvert les principaux. En bref: il est très difficile, voire impossible, de bloquer efficacement un site que vous souhaitez. Vous pouvez rendre les choses difficiles en utilisant les techniques que vous avez mentionnées: blocage des adresses IP, redirection du DNS, blocage des requêtes HTTP vers certains sites/contenant certains mots clés.

Ces méthodes sont contrecarrables par les mandataires (dans le cas d'une inspection approfondie des paquets, des mandataires chiffrés seraient nécessaires), vous vous retrouvez donc dans une situation de poursuite: lorsque vous bloquez un site, des procurations surgissent et, à mesure que vous bloquez ces procurations, plus encore début. La Corée du Nord est la personne la plus proche qui est venue et elle gère cela en contrôlant tous les sites dans l'intranet de son pays.

Donc, les méthodes les plus efficaces:

  • Liste blanche (méthode de la Corée du Nord) - Autoriser uniquement les sites que vous contrôlez.
  • Blocage de tout le trafic crypté + inspection approfondie des paquets (méthode chinoise) - cette solution permet la communication qui répond à vos critères pour ce qui est acceptable et bloque les communications dont vous ne pouvez pas déterminer le contenu.

Ces deux méthodes nécessitent un contrôle/une autorité complets sur toute l'infrastructure Internet dans la zone que vous souhaitez censurer.

Comme vous l'avez dit, bloquer tout le trafic crypté ne fonctionne pas vraiment - la Chine l'a trouvé aussi: bien qu'ils aient essayé, les gens contournent cela en utilisant la stéganographie qui est la pratique de cacher les messages, par exemple:

I am illustrating a hidden message because I
hate to see unanswered questions. I will help
you to understand.

La lecture du premier mot de chaque ligne révèle le message caché "Je te déteste" (il existe, bien sûr, des façons plus intelligentes d'accéder à la stéganographie, mais ce n'est qu'une illustration)

35
Emily Shepherd

"L'efficacité" dépend de vos objectifs.

Un point important à souligner est que toutes les techniques de blocage peuvent être contournées, à un prix. Par exemple, un individu peut utiliser un téléphone satellite pour obtenir une connectivité qui ne peut pas être bloquée par son pays, sauf par une intervention physique directe des forces armées. Mais l'utilisation de tels systèmes coûte assez cher. Les pays qui ont l'intention de bloquer cet accès illégal aux ressources extérieures interdiront également l'importation d'éléments technologiques de ce type. Par exemple. essayez d'importer un téléphone satellite en Corée du Nord ... Globalement, appliquer une censure stricte et efficace contre toute votre population coûtera cher, surtout si cette population a autrement un accès non barré à la technologie (il est plus facile de bloquer tout Internet qu'une partie seulement) de celui-ci).

D'un autre côté, si tout ce que vous voulez, c'est une posture, pour apaiser l'aile la plus conservatrice de votre propre parti, alors un blocage basé sur IP est suffisant. Ce n'est pas un problème car il est facilement contourné avec des procurations et VPN; le symbole est ce qui compte. En variante, interdire légalement certains sites peut suffire à obtenir une qualification juridique pour mettre les intrus en difficulté; dans certains pays, de tels gadgets légalistes sont importants.

12
Tom Leek

Quelques recherches sur ce sujet:

Analyse empirique du filtrage Internet en Chine (2003)

Pour quelque 1 043 des sites testés, nous avons confirmé que les serveurs DNS en Chine signalent un serveur Web autre que le serveur Web officiel réellement désigné via les serveurs de noms faisant autorité sur chaque site. Nous appelons ce phénomène "redirection DNS", bien que d'autres appellent parfois la situation "détournement de DNS". Conformément aux rapports antérieurs de Dynamic Internet Technology, nos données montrent que ces sites étaient systématiquement inaccessibles dans leur intégralité.

Filtrage sur la base de mots clés dans l'URL. À partir de septembre 2002, nos données indiquent que lorsqu'un abonné à un FAI chinois a soumis une demande d'URL qui contient elle-même certains mots ou expressions - cela se produit généralement pour les recherches sur les moteurs de recherche, comme http://www.google.com/search?q=jiang+zemin - aucune réponse ne sera reçue.

Filtrage sur la base de mots-clés ou de phrases dans la réponse HTML. À partir de septembre 2002, les auteurs ont observé que certains mots-clés dans les pages de réponse HTML semblaient être bloqués par l'infrastructure réseau chinoise. En particulier, même lorsqu'une page provient d'un serveur qui n'est pas filtré par ailleurs, et même lorsque la page contient une URL sans termes de recherche controversés, elle peut néanmoins être inaccessible si la page elle-même contient des termes controversés particuliers. Ces pages étaient souvent tronquées, c'est-à-dire interrompues au milieu de leur affichage.

Autres effets du filtrage chinois: routage. Les auteurs ont observé que certains FAI américains acheminent des paquets à travers la Chine vers des destinations au-delà de la Chine (en particulier vers Hong Kong). Lorsque les serveurs Web souhaités sont bloqués depuis la Chine, un tel routage donne généralement lieu à un filtrage par l'équipement réseau en Chine de la demande d'un utilisateur américain. En réponse à ce problème, les FAI américains concernés peuvent remédier à la situation en modifiant manuellement les itinéraires utilisés pour atteindre les hôtes à Hong Kong et ailleurs. Cependant, les FAI affectés ne sont souvent pas conscients de la situation et une réponse efficace nécessite un délai et/ou entraîne des dépenses supplémentaires car un FAI affecté trouve les FAI partenaires nécessaires et établit des relations de peering avec eux.

De l'annexe technique: http://cyber.law.harvard.edu/filtering/china/appendix-tech.html

The Velocity of Censorship: High-Fidelity Detection of Microblog Post Deletions (2013)

Weibo et d'autres sites de microblogage chinois populaires sont bien connus pour exercer une censure interne, afin de se conformer aux exigences du gouvernement chinois. Cette recherche vise à quantifier les mécanismes de cette censure: à quelle vitesse et à quel point les messages sont supprimés. Notre analyse a pris en compte 2,38 millions de publications collectées sur environ deux mois en 2012, notre attention étant concentrée sur la visite répétée d'utilisateurs "sensibles".

Nous avons constaté que les suppressions se produisent le plus souvent au cours de la première heure suivant la soumission d'un message. En nous concentrant sur les messages originaux, et non sur les reposts/retweets, nous avons observé que près de 30% du total des événements de suppression se produisent dans les 5 à 30 minutes. Près de 90% des suppressions se produisent au cours des 24 premières heures.

Papier: http://www.cs.unm.edu/~crandall/usenix13.pdf

ConceptDoppler (2007)

ConceptDoppler est un tracker météo pour la censure d'Internet. En utilisant ConceptDoppler, nous pouvons suivre la liste des mots clés qu'un gouvernement utilise pour censurer le trafic Internet. Pour le filtrage de mots clés GFC, nous pouvons également localiser les routeurs effectuant le filtrage et déduire l'architecture de ce mécanisme de censure.

Nous utilisons Latent Semantic Analysis pour prioriser les mots que nous vérifions. Tout comme la compréhension du mélange des gaz a conduit à un suivi météorologique efficace, la compréhension de la relation entre les concepts sensibles et les mots clés bloqués permettra un suivi plus efficace de la censure sur Internet. Plus de détails sont disponibles dans le document.

Papier: http://www.csd.uoc.gr/~hy558/papers/conceptdoppler.pdf

FAQ: http://www.cs.unm.edu/~crandall/cd/faq.html

Site Web avec liste des mots clés bloqués: http://www.conceptdoppler.org/

Le troisième article est un peu daté, mais Jedidiah R. Crandall est maintenant professeur et travaille toujours sur la lutte contre la censure; le deuxième article provient de son département. Vaut vraiment le détour.

5
Janus Troelsen

C'est une question de ressources en fait. Si un pays était disposé à consacrer énormément de temps, d'argent et d'expertise au problème, je pense qu'il serait possible de bloquer efficacement quelques sites sélectionnés.

Le raisonnement est que toutes les méthodes de contournement elles-mêmes doivent être largement diffusées auprès du public cible pour réussir. Un gouvernement doté de ressources suffisantes pourrait bloquer chaque proxy, miroir ou tunnel dès qu'il en prendrait connaissance. Cela ne laisserait que quelques sources d'accès chanceuses ou spécialisées (par exemple, les 0,0005% de la population qui peuvent utiliser Tor), ce qui peut être suffisant pour atteindre leurs objectifs politiques.

Cependant, sans se déconnecter complètement d'Internet , je ne pense pas qu'un blocage général (par exemple tous les sites d'actualités) puisse être réalisé. Heureusement, Le Net interprète la censure comme un dommage et les contourne . (Pionnier de l'Internet John Gilmore, co-fondateur du - Fondation Electronic Frontier )

4
scuzzy-delta

Une méthode de censure qui n'a pas encore été mentionnée est TCP Réinitialiser l'injection de paquets, qui met fin aux connexions indésirables via des paquets falsifiés TCP RST. Le grand pare-feu de Chine a depuis des années (source: http://www.icir.org/vern/papers/reset-injection.ndss09.pdf ). Souvent utilisé en conjonction avec le DPI, tel quant à la prise d'empreinte du protocole sur les connexions Tor ( http://www.cs.kau.se/philwint/pdf/usenix-login-2012.pdf ).

Mon employeur (EFF) a écrit un bon guide d'introduction pour détecter les attaques par injection de paquets: https://www.eff.org/wp/detecting-packet-injection

3
Yan Z