BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Así acabará ECH con el fallo que permite a las operadoras bloquear webs aunque estén cifradas

Josh
Protocolo refuerzo propiedad intelectual The Pirate Bay

Encrypted Cliente Hello (ECH) sigue su camino para convertirse en un estándar que dejará a los proveedores de internet sin posibilidad de inspeccionar las cabeceras HTTPS de las webs a las que acceden los clientes con el fin de ejecutar el bloqueo de webs.

Las operadoras interceptan el SNI para bloquear webs

Aunque la web actual está ampliamente cifrada gracias a la popularización de HTTPS, TLS (Transport Layer Security) tiene un talón de Aquiles llamado SNI (Server Name Indication), una cabecera que el cliente envía al servidor en texto plano sin cifrar al inicio de la conexión, donde se indica el nombre del dominio al que quiere conectarse.

A diferencia de lo que ocurría antaño, los proveedores de internet ya no pueden saber qué hacen sus clientes dentro de una web ni conocer el contenido de los datos intercambiados, pero siguen teniendo acceso al nombre de la web accedida. Los equipos de inspección profunda de paquetes que los operadores tienen instalados, analizan en tiempo real el tráfico cursado en busca de cabeceras SNI y utilizan esta información para aplicar "medidas razonables de gestión del tráfico", una posibilidad que la legislación sobre neutralidad de la red les permite. Una de las medidas autorizadas1 es "cumplir los actos legislativos […] incluidas las sentencias de tribunales o autoridades públicas", es decir, detectar cuando un usuario accede a una web que un tribunal u organismo equivalente ha declarado ilegal y bloquearla, impidiendo que el usuario acceda.

SNI bloqueo webs operadoras

Si eres cliente de Movistar, Orange, Vodafone o MásMóvil solo hace falta que introduzcas en tu navegador el nombre de una de las muchas webs bloqueadas para ver cómo este mecanismo entra en acción.


Mensaje
MovistarERROR 404 - File not found
OrangeContenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta operadora
VodafonePor causas ajenas a Vodafone, esta web no está disponible
MásMóvilObject not found
Respuesta de diferentes operadoras al acceder a la web bloqueada pirlotvonline.net

Las operadoras son parte interesada en los bloqueos

The Telegraph desveló a principios de enero que Vodafone, Telefónica, Orange, y T-Mobile habían escrito una carta a la Comisión Europea pidiendo que se impida que Apple ofrezca iCloud Private Relay a los usuarios de iPhone en Europa. Este servicio es una especie de VPN que crea un túnel cifrado entre el terminal y los servidores de Apple, de forma que todo el tráfico de internet que genera el usuario queda oculto para los intermediarios.

Al utilizar una VPN como Private Relay o alternativas como Warp, todo el tráfico viaja cifrado, por lo que el proveedor de internet no tiene forma de leer el SNI. Aunque las VPN existen desde hace años, iCloud Private Relay supone la primera amenaza real para las operadoras, al tratarse de un servicio ampliamente disponible y activable con solo un checkbox. Ni a la administración ni a las operadoras les interesa perder el acceso al SNI, pues se quedan sin el instrumento básico para impedir el acceso a servicios declarados ilegales.

No olvidemos que las operadoras no son una víctima obligada a tener que bloquear, sino parte interesada en que el bloqueo exista. Muchos de los dominios prohibidos se dedican a la difusión ilegal de contenidos audiovisuales, compitiendo con sus plataformas de TV.

Una de las varias listas de dominios prohibidos que existen es la que la división audiovisual de Telefónica mantiene, gracias a la sentencia que en febrero de 2020 le otorgó potestad para incluir en ella los nuevos dominios que aparezcan haciendo de espejo de 44 webs prohibidas. Lo que pasó desapercibido en ese momento es que tras denunciarse Telefónica a sí misma, además de a Vodafone, Orange, MásMóvil, Euskaltel, R y Lycamobile, ninguna operadora litigó. Así lo señala un análisis de la sentencia2, lo que invita a pensar que la denuncia solo buscaba el respaldo legal para algo a lo que habían decidido someterse de antemano.

En su escrito de contestación, las demandadas se allanaron totalmente a las pretensiones de la demandante por lo que el tribunal, con fecha 11 de febrero de 2020, dictó sentencia en la causa estimando totalmente la demanda de autos.

El acuerdo voluntario al que más tarde llegaron las operadoras con los propietarios de los derechos y con la supervisión del Ministerio de Cultura apunta en la misma dirección.

eSNI se salta el bloqueo de las operadoras, pero ya no funciona

Para las operadoras y la industria de contenidos hay una amenaza mayor que Private Relay en el horizonte y es que en el futuro el campo SNI estará cifrado y será imposible conocer su contenido.

En septiembre de 2018, tres empleados de Cloudflare, Fastly y Apple publicaban el primer borrador de Encrypted Server Name Indication for TLS 1.3, una mejora para HTTPS que cifra el contenido del SNI. Cloudflare lo implementaba en sus servidores mientras que Firefox le daba soporte experimental en su navegador. Al activar eSNI y DoH en Firefox, pudimos comprobar cómo el sistema DPI de las operadoras era incapaz de interceptar la comunicación y cualquier web bloqueada alojada en Cloudflare volvía a estar disponible.

Lamentablemente durante este periodo de pruebas los creadores de eSNI encontraron más puntos débiles en el establecimiento de la sesión TLS que podrían facilitar el desarrollo de nuevas técnicas para interceptar el tráfico, así que decidieron ampliar el ámbito de los metadatos protegidos más allá del SNI, lo que dio lugar a que el estándar se renombrase como ECH (Encrypted Cliente Hello).

ECH, el golpe final al bloqueo de webs

En enero de 2021 Firefox anunciaba que retiraba eSNI de su navegador sustituyéndolo por ECH, una decisión que muchos juzgaron precipitada, ya que dejaba a los usuarios repentinamente sin mecanismo antibloqueos, puesto que Cloudflare seguía utilizando eSNI y no ECH. A día de hoy esta situación no ha cambiado, por lo que la única forma de usar eSNI es utilizar una versión de Firefox anterior a la 85.

Mientras tanto, el borrador de ECH ya va por la versión 13 camino de su aprobación final para convertirse en un estándar. Cuando esto ocurra, todos los navegadores y servidores web como Apache o Nginx deberán soportarlo. Con su popularización, las operadoras se quedarán sin posibilidad de saber a qué webs acceden sus clientes y por tanto de ejecutar bloqueos.

Es previsible que antes de que esto ocurra, las partes interesadas hagan lobby de nuevo para impedir que ECH venga activado por defecto y tenga una amplia difusión.

  1. Art. 3.3.a del Reglamento (UE) 2015/2120
  2. Análisis de sentencia que autoriza el bloqueo rápido de sitios web presuntamente piratas
vukits
7

Recordemos que en España, los bloqueos de páginas web, dependen de un organismo publico-privado (Sección Segunda y Movistar), saltandose todo proceso judicial

🗨️ 1
Walid

cierto

Walid

vaya vaya, se quedan con menos control del que tenían

Para los que se quedaron con la intriga de saber que había en esa web a la que ponen que no se puede acceder (https://pirlotvonline.net/):

image.webp
🗨️ 3
tipodeincognito

Aunque estan en otro idioma, yo utilizo highlights365, total, para comerme las muermo retransmisiones de los de siempre, tanto da, además tiene visionado web como pirlo y por acestream a mayores

PezDeRedes

Para los que se quedaron con la intriga de saber que había en esa web a la que ponen que no se puede acceder (https://pirlotvonline.net/):

Desde Virgin (Euskaltel, ahora MásMóvil) entro sin problemas. Eso sí, uso DoH.

🗨️ 1
Virutas
1

Yo entro desde Digi sin problemas también. Ni idea de lo que uso, desde Chrome funciona.

Aeri
6

Muy buen artículo sacando a la luz la situación actual y los problemas del protocolo HTTPS y dándo visibilidad a la única solución que pasa por el despliegue masivo de ECH.

No olvidemos que los gobiernos y telcos todavía tienen en su mano una forma de bloquear ECH, puesto que es una extensión de TLS 1.3, es posible bloquear todo el tráfico de la última versión del protocolo como ocurrió en China. No tendría actualmente mucho sentido optar por esta opción en estados no autoritarios puesto que ya está ampliamente implementado, aporta importantes ventajas de seguridad y sería exponer a los usuarios a los peligros de las vulnerabilidades de los estándares previos.

Espero con muchas ganas que siga adelante y que no caiga en saco roto por presiones de gobiernos e ISP cuando vemos cosas como tildar de villano a Firefox por implementar de forma predeterminada DNS sobre HTTPS.

el-brujo
7

Ya no es sólo un tema de bloqueo de webs, se trata de un tema puramente de privacidad para todos los usuarios, ya que su operadora (ISP) no le importa, ni debe, ni tiene que saber dónde navegamos.

Realmente es un problema de fondo de las limitaciones actuales del https que aunque es seguro, no es suficientemente privado.

PezDeRedes
2

La operadora debe ser una simple y mera tubería tonta. Por hacer un símil, estaría bonito que la compañía de la luz te dejase enchufar solo los electrodomésticos que considerase adecuados.

Internet debe ser libre y neutro SIEMPRE.

obmultimedia1

pues yo tengo Pepephone y esa web de rojadirecta me entra sin problemas ahora mismo, incluso otras que dias atras no me entraban, que raro…

NetVicious

No sé como lo harán el resto de proveedores, pero Vodafone hace el filtrado a nivel de sus servidores DNS. Con utilizar otros DNS diferentes ya "te saltas" sus controles.

Procesar todo el tráfico (aunque sólo sea webs y el campo SNI) requiere mucha potencia a nivel de CPU en los equipos de red que se dedican a ello y es comprensible que los proveedores hayan tirado por la parte fácil del bloqueo en sus servidores DNI.

🗨️ 2
Avispero

En móvil (con datos) puedes acceder a la web de ejemplo? Yo tengo los DNS de adguard en Android y VF bloquea igual.

Josh

Eso era antes. Ahora es todo DPI en las grandes.

Ramgo

Pero Firefox a retirado eSNI y que yo sepa el ECH en dicho navegador no funciona actualmente.

🗨️ 1
Josh

ECH requiere que el servidor también lo soporte, y eso es lo que falla ahora mismo.

Lashero

Pornografía infantil, e extorsión, phishing,etc…

Todo sin control en aras de la privacidad. Esas Malditas operadoras ya no me espiaran.

Pelis Grtis, futbol grtis… ah no calla, que es para que no me espien. Total solo les robo el futbol .

Hablando de privacidad. ¿Quien si tiene acceso a TODO? Apple, Google, facebook,… Los buenos de la pelicula, que protegen nuestros datos, no el gobierno malo.

Si alguien quiere mirar mas alla de esta noticia totalmente dirigida,que busque quien promueve estos protocolos. Bienvenidos a la guerra del control de Internet.

No hay blanco y negro,sino escala de grises. Miremos mas alla de lo simple.