Cloudflare ha tenido que retirar el nuevo protocolo ECH que impide el funcionamiento de los filtros de bloqueo de webs piratas solo unos días después de anunciar por todo lo alto su llegada. Y es que ECH es una mala noticia para la industria de filtrado de contenidos, cuyas herramientas utilizan el campo SNI cuando viene sin cifrar para detectar la web usuario a la que accede el usuario y si es oportuno, bloquear el acceso. Es difícil saber si la decisión de Cloudflare se debe a presiones externas o simplemente a problemas técnicos.
|
etiquetas: ech , cloudflare , filtro , sni
Por ejemplo, mi móvil enviaría un mensaje diciendo que quiere escribir una respuesta al servidor con dirección meneame..net al mensaje número 6 cuyo texto es el que lees.
Por seguridad, todo va encriptado. Por ejemplo en el mensaje que envía mi móvil el mensaje en sí estaría encriptado. Por eso el gobierno de EEUU exige a WhatsApp que le envie ciertos mensajes y el gobierno chino exige a otras empresas que les manden los mensajes con información sensible, porque no pueden pichar la línea y leerlos.
Técnicamente, hay una información que no se podía encriptar. La dirección de destino. ¿Cómo sabe un gobierno que estás accediendo a una web prohibida? Leyendo en tu mensaje la dirección a la que accedes. Si la dirección es rusiatoday, pues no te dejan, lo bloquean por el camino
Con esta funcionalidad el destino de mensaje está también encriptado. Solo el emisor y el receptor saben el destino del mensaje. Nadie puede bloquearlo porque no pueden leer la dirección de destino.
Una autentica putada la desactivación porque prometía... espero que ahora que la tecnología existe y está probada se convierta en un estándar de facto y se adopte masivamente. El problema es precisamente que dependía de la red Cloudflare en exceso y ahora nos han dejado colgados, pero existen alternativas probables, de momento hay muchos esperando movimientos, como quad9: help.nextdns.io/t/35hjjys?r=m1hjw7x
Aquí hay una explicación del funcionamiento de ECH blog.cloudflare.com/handshake-encryption-endgame-an-ech-update/
El problema es que sólo tiene utilidad si la implementan sitios como cloudflare, que hacen de proxy para millones de páginas.
Si por ejemplo a mi me dan por poner un servidor para compartir libros por más que active ECH me van a bloquear igual porque simplemente bloquean mi dirección IP. En el caso de cloudflare, bloquear la ip implicaría bloquear muchos sitios a la vez y casi todos ellos legales.
Tendrías que irte a otro que sea igual de grande y que no te de una ip fija solo para ti.
Si te dan ip fija, por más que tengas ECH te van a bloquear. Y Si el proveedor no es muy grande aunque la IP que te den sea compartida lo bloquearán igual aunque afecte a algunos otros.
Cuando tu web caiga junto con una ilegal, lo primero que harás será quejarte a tu proveedor. Él te dirá que no es culpa suya y que pongas una demanda. Le dirás que la IP te la dio él así que la demanda la ponga él. Al final no importa quién la ponga, tendrás que esperar meses o años a que haya una resolución. En ese tiempo ya te habrás cambiado a otro proveedor y listo. Y eso servirá para que tu proveedor anterior vea que no le conviene alojar sitios ilegales y ponga una cláusula en su contrato que lo prohíba.
Pues hay casos análogos: Imagina que tienes una web como meneame. 2 o 3 usuarios se ponen a mandar cosas ilegales (como compartir magnet para descargas o subir fotos de los hijos de Pedro Sánchez. ¿Que pasa? Que o Menéame bloquea a esos usuarios o un juez bloqueará todo Menéame.
En este caso igual: si hay cientos de servicios hablarán con el proveedor y le dirán
Oye, te damos 3 alternativas:
1) quitas esas webs ilegales
2) quitas el ECH
3) te arruinamos el negocio porque tendremos que bloquear la IP y eso afectará a todos tus clientes.
Estoy bastante seguro de que es lo que pasó con Cloudflare.
Relacionado: www.youtube.com/watch?v=UlpdYeeJ6q0 ( +y- chipi-wini-mini)
- ESP: es lo de los coches, es "control de estabilidad electrónico" y es para que no se te vaya el coche si haces una maniobra muy brusca. en.wikipedia.org/wiki/Electronic_stability_control
- ABS: es lo de los coches y trenes (es sistema antibloqueo), para que en caso de frenar bruscamente no se bloqueen las ruedas y se produzcan planos o se pierda estabilidad. en.wikipedia.org/wiki/Anti-block_system
- PWN: es el verbo en inglés "pwn", que significa derrotar a alguien con humillación en ámbitos competitivos, y en ámbitos de seguridad informática, cuando esta ha sido comprometida o se realiza una escalada de privilegios en un sistema que en principio no lo permite, viene de "owned" (poseer) y "pawn", que es peón. en.wikipedia.org/wiki/Leet#Pwned_(or_Owned)
Lo de usar ESP y ABS es en el sentido de que tuvieron que "frenar" bruscamente la nueva implementación porque se lo habían pwneado, bueno, eso he entendido.
sni=encrypted
crypto.cloudflare.com/cdn-cgi/trace