InterNAUTA cubano, mas libre…? o controlado

Varias personas se conectan a internet desde una sala de navegación hoy, 4 de junio de 2013, en La Habana (Cuba). Los cubanos estrenaron este martes nuevos servicios para conectarse a internet con la apertura de 118 nuevas salas de navegación en todo el p

Un joven informático cubano detalla los tipos de censura y monitoreo a los que están expuestos los internautas cubanos.
Los gobiernos tienen autoridad legal para espiar a sus ciudadanos, pero algunos, como el nuestro, van más allá de lo que concibe la lógica de Internet… una web Libre y Abierta.

Para ello han empleado numerosos métodos de censura y hostigamiento, los cuales algunos pasan desapercibidos; pero nos resulta importante conocerlos a detalle para así trazarnos las vías de escape más óptimas en cada caso.

Modos de censura

Bloqueo o falsificación de URL’s usando el servidor DNS

Cuando una aplicación (navegador, etc) se comunica con un nombre de dominio, la primera cosa que hace es preguntar a un servidor DNS cual es la dirección numérica correspondiente del objetivo, conocida como dirección IP.

Si el DNS está configurado para bloquear el acceso, consulta una lista negra de nombres de dominios prohibidos. De estar incluida, el servidor DNS da una respuesta incorrecta o no responde nada.

Cuando el servidor DNS da una respuesta sin sentido o simplemente no responde. El resultado es que todos los servicios bajo un nombre de dominio particular, ejemplo todas las páginas de un servidor Web determinado, no estarán disponibles. En este caso, el bloqueo puede aparecer erróneamente como un problema técnico o una falla aleatoria.

Similarmente, un censurador puede forzar una entrada para direccionar a una IP incorrecta, y así redirigir a los usuarios a sitios Web incorrectos. Esta técnica es llamada falsificación de DNS(DNS spoofing), y los censuradores pueden usarla para piratear la identidad de un servidor particular y mostrar sitios web ficticios o dirigir el tráfico de los usuarios a servidores sin autorización que pueden interceptar los datos. Esta técnica fue aplicada nacionalmente con el portal desdecuba.com redirigiendo todo el tráfico interno hacia Google .

Uso obligado de un servidor proxy / proxy transparente

Debes especificar un servidor proxy en la configuración de tus aplicaciones ( en caso de soportar esta característica ) para poder conectarte a Internet. A veces ETECSA puede usar un proxy transparente, con lo cual no puedes saber fácilmente si existe un proxy o no. Cualquier petición que envías o recibes desde Internet pasa primero por este servidor y después es redireccionada a ti.

Filtrado IP

Cuando se envía algún dato por Internet, es dividido en segmentos e introducidos en paquetes. Un paquete contiene el dato enviado y la información de a donde enviarlo, concretamente la dirección IP de la computadora de la que viene el mensaje y a la que debe ir. Los enrutadores son computadoras por las que atraviesan paquetes en su ruta desde el remitente hasta el receptor, para determinar a donde ir en cada paso. Los censores pueden configurar los enrutadores que ellos controlan para descargar los paquetes destinados a determinadas direcciones IP en una lista negra o retornar un mensaje de error. El filtrado basado en direcciones IP bloquea todos los servicios proporcionados desde esa dirección, tales como sitios Web y servidores de correo.

Filtrado MAC en redes inalámbricas (Wi-Fi)

La MAC es la identificación única que cada ordenador posee. En casi ningún caso en posible cambiarla. Es por esto que resulta una vía atractiva para el censor que no quiere inclusión de ordenadores no autorizados a su red, y de esta manera dejarlo ajeno a los servicios compartidos en la misma, como Internet entre otros.

Acondicionamiento del tráfico (Limitación del ancho de banda)

El acondicionamiento del tráfico es una técnica utilizada por los administradores de red para hacer que el tráfico sobre ésta fluya suavemente priorizando algunos paquetes y demorando otros que encajan con algún patrón. En cortas palabras: “ya puedes acceder a martinoticias.com pero aquí, entre nos… a un velocidad restringida”. Esto puede dar la impresión engañosa a los usuarios de que un sitio es lento, o puede desfavorecer el acceso al sitio con respecto a otros.

Algo similar debieron haber aplicado a los paquetes de Internet que necesitan una latencia baja para un rendimiento óptimo (voz sobre IP, VoIP, etc) como Yahoo Messenger, Skype, y más reciente ooVoo, acción que dejó sin servicio a todo el territorio nacional repentinamente.

Filtrar palabras

Esto significa que todo el tráfico de Internet pasa por el servidor del censor, el cual escanea el contenido en busca de “malas palabras”. Este tipo de filtrado es usado en universidades e instituciones, por lo que si el sitio contiene palabras filtradas en lista negra, es bloqueado.

Bloqueando puertos

Los puertos son como puertas para un servicio especial para un servidor o PC, van desde 0 a 65535; los puertos comunes son del 0 al 1024, estos son los “well knows ports” o bien identificados. Si un censor bloquea un puerto, todo el tráfico dirigido a ese puerto se rechazará y será inaccecible. Muchos censores bloquean los puertos 1080, 3128 y 8080, porque son los puertos más usados por los proxys. Como todos los proxys comunes serán inútiles, se deberá encontrar proxys que escuchen en puertos no comunes y estos son difíciles de encontrar.

En universidades como la UCI usaban una lista negra de puertos(todos permitidos excepto… ), al contrario de otras como la de Camagüey, donde existe una lista blanca(solo permitido Http, Https y Ftp, 80,443 y 21 respectivamente).

A continuación algunos de los puertos bien conocidos: 20-21 – FTP (transferencia de archivos) , 22 – SSH (acceso remoto seguro), 23 – telnet (acceso remoto), 25 – SMTP (enviar email), 53 – DNS (devuelve el IP de la respectiva URL), 80 – HTTP (Navegación web normal) y también un proxy, 110 – POP3 (recibir email), 143 – IMAP (envío/recibo de correo electrónico), 443 – HTTPS (Navegación web con cifrado SSL), 993 – IMAP seguro, 995 – POP3 seguro, 1080 – Socks proxy, 1194 – OpenVPN(Red privada virtual), 3128 – Squid proxy, 5222 – XMPP (mensajería instantánea más conocido como Jabber), 8000 – Junkbuster proxy, 8080 – Proxy

Intimidación a Usuarios

Los censores pueden incluso tratar de determinar los usuarios que intentan acceder a materiales determinados en varias formas.

Vigilancia

Los mecanismos anteriores bloquean el acceso al material prohibido, pero son crudos y posibles de evadir. Otra aproximación, que se puede aplicar en paralelo al filtrado, es monitorear cual sitio Web ha sido visitado. Si el contenido prohibido es accedido (o se intenta accederlo) entonces se pueden llevar a cabo castigos legales (o extra legales). Si este hecho es ampliamente difundido, puede desmotivar a otros a que accedan al contenido prohibido, incluso si las medidas técnicas para prevenir el acceso son inadecuadas por sí mismas. En algunos lugares, los censores tratan de crear la impresión de que sus agentes están en todas partes y que todo el mundo está siendo vigilado, aunque no sea realmente el caso. Particularmente tuve una experiencia similar luego que recibiera sms supuestamente anónimos desde Internet como “los espías están por todos lados”, resultando ser el administrador de la Facultad de mi centro de trabajo.

Técnicas Sociales

Los mecanismos sociales son usados frecuentemente para detectar contenidos inapropiados de los cibernautas. Por ejemplo, en laboratorios ubican las PCs de modo que sus pantallas se vean visibles desde el escritorio del encargado. Un CyberCafé puede tener además una cámara de vigilancia para un controlar de manera remota. Además los clientes de cibercafés o algunas instituciones están limitados a usar los servicios siendo penalizandos si <<atentan>> de alguna manera los intereses de la “Revolución” o la “seguridad nacional” y tienen que mostrar su carnet de identidad o número de pasaporte antes de usar un servicio. Esta identificación puede ser almacenada junto al historial de navegación Web o en servidores para control de usuarios.

Robando y destruyendo equipamiento de comunicaciones

En algunos lugares, los censores tienen la capacidad de prohibir algunos tipos de tecnologías de comunicaciones completas. En este caso, ellos eliminan o retiran el equipamiento de comunicación difundiendo así que su uso no será tolerado.

Pronto la 2da parte del artículo relacionado a las técnicas para contrarrestar estos tipos de censura y monitoreo a los que están expuestos los internautas cubanos.

Publicado originalmente en el blog Juventud Resiliente de Reynier Aguero. http://juventudresiliente.wordpress.com/