The Great (fire?)Wall
Oggi ci si è accorti che alcuni utenti di SURBL avevano nella cache dei propri resolver risoluzioni positive per domini quali youtube.com, flickr.com e altri. Per i meno tecnici, questo implica che, per i sistemi di costoro SURBL stava blacklistando tali domini come collegati ad azioni di spam. Cosa che, evidentemente, non era.
Inizialmente, si è pensato ad operazioni di cache-poisoning in corso, ma qualche indagine ulteriore ha portato in realtà a scoprire qualcosa d’altro. E, da alcuni punti di vista, ben peggiore.
Apparentemente, le risposte “sballate” erano state prelevate tutte dagli stessi mirror di SURBL, denominati f.surbl.org, k.surbl.org e l.surbl.org, rispettivamente con IP 202.106.182.243, 123.125.50.246 e 202.106.182.244.
La costante è che tutti e tre sono su connettività cinese, nello specifico sulla rete di ChinaUnicom (AS4808).
Quel che accade, apparentemente, è che le query DNS dirette a -per esempio- flickr.com.multi.surbl.org subiscono hijacking al pari di quelle dirette a flickr.com, ad opera del Great Firewall Cinese. In virtù di ciò, a tali query rispondono i “sistemi governativi” cinesi, fornendo dati fasulli:
twitter.com.multi.surbl.org has address 209.145.54.50
twitter.com.multi.surbl.org has address 216.234.179.13
twitter.com.multi.surbl.org has address 64.33.88.161
Poichè -per il funzionamento del meccanismo alla base delle DNSBL- una risposta positiva ad una interrogazione significa “listato” (mentre quelle negative significano il contrario), ciò ha l’effetto di far risultare blacklistati da SURBL i domini di Youtbe, Twitter, Flickr, etc a chi interroghi i succitati mirror.
Ciò accade solamente ora apparentemente come conseguenza del recente inasprimento dei filtraggi verso tali domini voluto dal Governo Cinese in prossimità della ricorrenza dei 20 anni dagli eventi di Piazza Tiananmen. Filtri che, oltre a bloccare i domini in questione, agiscono ora anche su risoluzioni DNS che contengano riferimenti agli stessi, al fine di inibire -o almeno di rendere più ardua- la possibilità di bypassare la censura.
Di conseguenza, SURBL ha al momento rimosso dalle proprie zone DNS i mirror geograficamente attestati in Cina, poichè non può più garantire alcuna affidabilità alle risposte da essi fornite.
Plausibilmente così resteranno le cose fino a quando anche la gestione dello spazio IP Cinese non cambierà radicalmente.
Alla luce, tuttavia, delle operazioni di censura in atto oramai da anni anche qui in Italia, non c’è da escludere che sia invece il resto del mondo (almeno per quanto concerne la nostra parte) ad adeguarsi al modus operandi cinese…
Skull's blog 
Commenti:
1) implementazione dei filtri mostruosa!
2) affligge anche IP su Chinanet. Ad esempio, una query per twitter.com inviata a 220.181.15.205 (CHINANET-IDC-BJ) ritorna i famigerati IP. 220.181.15.205 e’ un rbldnsd che serve le zone di Spamhaus. Piu’ che altro sembra che da Pechino i filtri si diffondano verso la periferia 🙂
3) sembra esserci una generale tendenza a “tollerare” il DNS hijacking. La comunita’ tecnica non sembra essere in grado di contrastare markettari e censori. Tutti all’epoca sono saltati addosso a Verisign perche’ lo faceva a livello di gtld, ma nessuno sembra curarsi di tutti gli ISP consumer che stanno facendo hijacking sui resolvers.
4) e’ giunto il momento di trascurare tutte le risposte a query BL non in 127.0.0.0/8. La comunita’ tecnica deve iniziare a effettuare pressioni verso tutti i produttori di s/w per posta e altro, in modo che ogni BL possa avere un range di possibili risposte in configurazione, range che per default potrebbe essere appunto 127.0.0.0/8. Questa e’ chiaramente una misura difensiva la cui attuazione mitiga le conseguenze ma non riduce la serieta’ del problema.
Altro commento emerso oggi: gli ISP cinesi non ne sanno nulla e non hanno idea di cosa faccia il filtro, essendo completamente al di fuori del loro controllo. L’intera operazione e’ stata effettuata sulle gateway coi collegamenti internazionali senza metterli al corrente.
Non che la cosa mi stupisca granchè 😦
Però non so se il fatto che lì i filtri li applica direttamente lo Stato sia una pecca oppure no.
Qui accade che i filtri “li pensa” lo Stato (di norma, insulsi ed inapplicabili) e si pretende poi per legge che gli ISP trovino il modo di applicarli a spese *loro*.
Non la vedo come una miglioria al quadro…