Investigadores analizan 600 GB de datos de servidores del régimen sirio dedicados a filtrar y bloquear las conexiones. Las herramientas de interacción social como Skype o Facebook, las más bloqueadas en un sistema menos masivo pero más sutil que el de China o Irán.
(Miguel Ángel Criado / Materia).- Internet se ha convertido en un arma política de doble filo: la misma tecnología que ayuda a organizar una revolución, se usa para combatirla. Durante de la Primavera árabe, mucho se habló y escribió sobre el papel de la Twitterrevolución o del ciberactivismo en Facebook en los cambios políticos vividos en Túnez, Egipto e incluso Libia. Pero poco se sabe de la reacción tecnológica de los regímenes. Ahora, un estudio con datos desde dentro, ayuda a entender la censura de internet en Siria y, en parte, a explicar porqué allí aquella primavera degeneró en un invierno de guerra civil que ya dura tres años.
En octubre de 2011, hacktivistas del colectivo Telecomix se hicieron con 600 GB de datos con millones de registros de la red de servidores usados por el Gobierno sirio para filtrar el tráfico en internet. Era la primera vez que se conseguía una base de datos tan grande y con todo detalle desde dentro. Peticiones de conexión a páginas de Facebook, intento de acceso y su bloqueo a web israelíes, simples visitas al buscador de Google o páginas porno… En total 750 millones de peticiones realizadas desde ordenadores y móviles de ciudadanos sirios durante nueves días de julio y agosto de 2011, justo cuando de las protestas contra el régimen de Bashar Al Asad se estaba pasando a una guerra civil abierta.
Expertos en tecnología de redes, seguridad y privacidad de centros de investigación británicos, franceses y australianos han analizado todos esos gigas dibujando el cuadro más completo de cómo censura, o al menos censuraba en 2011, el régimen sirio. Hasta entonces, las únicas pruebas reales sobre esta censura de la red eran también las más extremas. Durante la primera mitad del año, parecía que la única opción elegida por las autoridades sirias era la desconexión del país de todo internet. Sin embargo, una medida tan drástica también perjudica la conectividad de los que la ordenan y parece que apostaron por la sutileza.
“En comparación con otros regímenes que censuran, en Siria la censura de Internet es menos invasiva y bastante más selectiva”, dice Mohamed Ali Kaafar, coautor del estudio e investigador del NICTA, el principal centro de investigación sobre nuevas tecnologías de Australia. “Sin embargo, esto no significa necesariamente un menor control de la información o que la vigilancia sea menos omnipresente, sino que muestra que la censura apunta a un control más sutil del Internet”, añade.
En efecto, de aquellos 750 millones de peticiones (o request en la jerga informática), el 93% eran cursadas por los servidores (o proxies) instalados por las autoridades sirias entre la conexión de los usuarios y las grandes redes internacionales que llevan hasta internet. Sólo un 1% de los requests era censurado, tal como muestran en su trabajo alojado en el repositorio científico Arxiv. El resto eran devueltos como errores de red. Sin embargo, ese 1% arroja mucha información sobre la forma de censurar de Al Asad.
Tecnología estadounidense
Las máquinas para filtrar el tráfico eran unos proxies fabricados por la estadounidense Blue Coat usados por grandes empresas y operadoras de telecomunicaciones. Como toda tecnología tienen un doble uso. Lo mismo sirven para frenar el spam o el envío de correos infectados, como para impedir conectarse a determinada página o servicio por razones políticas.
En el caso sirio, los servidores estaban configurados para filtrar y/o bloquear siguiendo varios mecanismos. El más básico es el bloqueo en función del puerto por el que llega la información. Cada tipo de datos (web, de correo, P2P…) usa por defecto un determinado rango de puertos cuando salen o llegan a un ordenador. Los más bloqueados por el régimen eran el puerto 80 (tráfico de páginas web), el 443 (dedicado a las conexiones seguras HTTPS) o el 9001 (el que usa por defecto el servicio de anonimato Tor).
Otro de los mecanismos de censura tiene por objetivo bloquear determinadas páginas web según unos criterios prefijados. Se puede hacer tanto por el nombre de dominio que tiene la página como por su dirección IP. Llama la atención que buena parte de los bloqueos mediante este sistema está destinado a que los sirios no puedan ver ninguna página con el sufijo de dominio .il (el de Israel) o su dirección IP pertenezca a alguna subred israelí. Para los investigadores, este bloqueo presumiblemente lleve tiempo haciéndose y tenga más que ver con la tradicional rivalidad de ambos países que con las recientes revueltas.
En cuanto a los servicios más filtrados, el 43% de los bloqueos afectaron a Facebook, Skype y a Metacafe, una especie de YouTube donde los usuarios pueden alojar y compartir sus vídeos. Las tres son herramientas para la comunicación e interacción social, más que páginas de información. Aunque Skype es sistemáticamente bloqueado, se da la paradoja de que mientras la mayoría de las peticiones de Facebook son permitidas, esta red social concentra la mayor parte del esfuerzo censor de páginas web.
“Hemos identificado unas pocas páginas de Facebook (las relacionadas con la revolución siria) que son sistemáticamente bloqueadas. El resto de la red social no parece que sea censurada”, explica Mathieu Cunche, profesor del INRIA, institución pública francesa para la investigación tecnológica, y coautor del estudio. Aunque los investigadores no descartan que esta permisividad relativa en Facebook busque rastrear a los ciberopositores, ellos señalan más a cuestiones prácticas. “En mi opinión, Facebook se ha hecho tan popular hoy en día que censurarlo sería demasiado arriesgado ya que la gente lo considera una importante vía para expresarse y lo han identificado con la libertad de expresión”, sostiene Kaafar.
El bloqueo o filtrado por palabras clave (keyword) completa la censura en Siria. Mecanismo usado hasta el extremo por regímenes como el de China, los servidores en Siria contaban con una política de seguridad para filtrar búsquedas sospechosas. De las cinco palabras más bloqueadas, una era Israel. Pero las otras cuatro fueron proxy, hotspotshield, ultrareach y ultrasurf. Las cuatro tienen que ver con tecnologías y servicios anticensura, como anonimato en la red o creación de redes privadas virtuales.
Uno de los aspectos más relevantes de la censura en Siria en aquellos meses de inicio de la guerra civil era su capacidad para trabajar en tiempo real. Los registros de los servidores muestran como la intensidad y especialización del filtrado variaba según las horas y días, en paralelo a la actividad de los internautas sirios. Hay, por ejemplo, un pico que se inicia en la tarde del jueves cuatro de agosto y se mantiene hasta el día siguiente, el viernes de oración y momento álgido de las manifestaciones en las calles.
“El nivel de sofisticación parece estar relacionado con el nivel de sofisticación de los proxies de Blue Coat. Estos dispositivos permiten una inspección profunda de paquetes de datos (DPI) sin fisuras, permitiendo un grado de censura muy afinado y flexible, en especial en tiempo real”, explica Emiliano De Cristofaro, especialista en seguridad de la información del University College London y también coautor del estudio.
Cuando se les pregunta por la situación actual, los investigadores no quieren hacer muchas especulaciones. En estos años las cosas han cambiado mucho. De las revueltas se ha pasado a una guerra civil abierta. Ahora grandes zonas del país están en manos de los rebeldes y el Gobierno, como se volvió a comprobar el mes pasado, vuelve a recurrir a los apagones completos o parciales de la red. Aún así, el régimen ha hecho nuevas e importantes inversiones en equipamiento de seguridad, por lo que, como dice De Cristofaro, “ahora podría estar en marcha una arquitectura de filtrado aún más poderosa”.
Investigadores analizan 600 GB de datos de servidores del régimen sirio dedicados a filtrar y bloquear las conexiones.  |
| El gráfico muestra el tráfico censurado por categorías. / Abdelberi Chaabane et Al. INRIA.fr |
En octubre de 2011, hacktivistas del colectivo Telecomix se hicieron con 600 GB de datos con millones de registros de la red de servidores usados por el Gobierno sirio para filtrar el tráfico en internet. Era la primera vez que se conseguía una base de datos tan grande y con todo detalle desde dentro. Peticiones de conexión a páginas de Facebook, intento de acceso y su bloqueo a web israelíes, simples visitas al buscador de Google o páginas porno… En total 750 millones de peticiones realizadas desde ordenadores y móviles de ciudadanos sirios durante nueves días de julio y agosto de 2011, justo cuando de las protestas contra el régimen de Bashar Al Asad se estaba pasando a una guerra civil abierta.
Expertos en tecnología de redes, seguridad y privacidad de centros de investigación británicos, franceses y australianos han analizado todos esos gigas dibujando el cuadro más completo de cómo censura, o al menos censuraba en 2011, el régimen sirio. Hasta entonces, las únicas pruebas reales sobre esta censura de la red eran también las más extremas. Durante la primera mitad del año, parecía que la única opción elegida por las autoridades sirias era la desconexión del país de todo internet. Sin embargo, una medida tan drástica también perjudica la conectividad de los que la ordenan y parece que apostaron por la sutileza.
“En comparación con otros regímenes que censuran, en Siria la censura de Internet es menos invasiva y bastante más selectiva”, dice Mohamed Ali Kaafar, coautor del estudio e investigador del NICTA, el principal centro de investigación sobre nuevas tecnologías de Australia. “Sin embargo, esto no significa necesariamente un menor control de la información o que la vigilancia sea menos omnipresente, sino que muestra que la censura apunta a un control más sutil del Internet”, añade.
En efecto, de aquellos 750 millones de peticiones (o request en la jerga informática), el 93% eran cursadas por los servidores (o proxies) instalados por las autoridades sirias entre la conexión de los usuarios y las grandes redes internacionales que llevan hasta internet. Sólo un 1% de los requests era censurado, tal como muestran en su trabajo alojado en el repositorio científico Arxiv. El resto eran devueltos como errores de red. Sin embargo, ese 1% arroja mucha información sobre la forma de censurar de Al Asad.
Tecnología estadounidense
Las máquinas para filtrar el tráfico eran unos proxies fabricados por la estadounidense Blue Coat usados por grandes empresas y operadoras de telecomunicaciones. Como toda tecnología tienen un doble uso. Lo mismo sirven para frenar el spam o el envío de correos infectados, como para impedir conectarse a determinada página o servicio por razones políticas.
En el caso sirio, los servidores estaban configurados para filtrar y/o bloquear siguiendo varios mecanismos. El más básico es el bloqueo en función del puerto por el que llega la información. Cada tipo de datos (web, de correo, P2P…) usa por defecto un determinado rango de puertos cuando salen o llegan a un ordenador. Los más bloqueados por el régimen eran el puerto 80 (tráfico de páginas web), el 443 (dedicado a las conexiones seguras HTTPS) o el 9001 (el que usa por defecto el servicio de anonimato Tor).
Otro de los mecanismos de censura tiene por objetivo bloquear determinadas páginas web según unos criterios prefijados. Se puede hacer tanto por el nombre de dominio que tiene la página como por su dirección IP. Llama la atención que buena parte de los bloqueos mediante este sistema está destinado a que los sirios no puedan ver ninguna página con el sufijo de dominio .il (el de Israel) o su dirección IP pertenezca a alguna subred israelí. Para los investigadores, este bloqueo presumiblemente lleve tiempo haciéndose y tenga más que ver con la tradicional rivalidad de ambos países que con las recientes revueltas.
En cuanto a los servicios más filtrados, el 43% de los bloqueos afectaron a Facebook, Skype y a Metacafe, una especie de YouTube donde los usuarios pueden alojar y compartir sus vídeos. Las tres son herramientas para la comunicación e interacción social, más que páginas de información. Aunque Skype es sistemáticamente bloqueado, se da la paradoja de que mientras la mayoría de las peticiones de Facebook son permitidas, esta red social concentra la mayor parte del esfuerzo censor de páginas web.
 |
| Lista con los 12 dominios más censurados. / Abdelberi Chaabane et Al. |
El bloqueo o filtrado por palabras clave (keyword) completa la censura en Siria. Mecanismo usado hasta el extremo por regímenes como el de China, los servidores en Siria contaban con una política de seguridad para filtrar búsquedas sospechosas. De las cinco palabras más bloqueadas, una era Israel. Pero las otras cuatro fueron proxy, hotspotshield, ultrareach y ultrasurf. Las cuatro tienen que ver con tecnologías y servicios anticensura, como anonimato en la red o creación de redes privadas virtuales.
Uno de los aspectos más relevantes de la censura en Siria en aquellos meses de inicio de la guerra civil era su capacidad para trabajar en tiempo real. Los registros de los servidores muestran como la intensidad y especialización del filtrado variaba según las horas y días, en paralelo a la actividad de los internautas sirios. Hay, por ejemplo, un pico que se inicia en la tarde del jueves cuatro de agosto y se mantiene hasta el día siguiente, el viernes de oración y momento álgido de las manifestaciones en las calles.
“El nivel de sofisticación parece estar relacionado con el nivel de sofisticación de los proxies de Blue Coat. Estos dispositivos permiten una inspección profunda de paquetes de datos (DPI) sin fisuras, permitiendo un grado de censura muy afinado y flexible, en especial en tiempo real”, explica Emiliano De Cristofaro, especialista en seguridad de la información del University College London y también coautor del estudio.
Cuando se les pregunta por la situación actual, los investigadores no quieren hacer muchas especulaciones. En estos años las cosas han cambiado mucho. De las revueltas se ha pasado a una guerra civil abierta. Ahora grandes zonas del país están en manos de los rebeldes y el Gobierno, como se volvió a comprobar el mes pasado, vuelve a recurrir a los apagones completos o parciales de la red. Aún así, el régimen ha hecho nuevas e importantes inversiones en equipamiento de seguridad, por lo que, como dice De Cristofaro, “ahora podría estar en marcha una arquitectura de filtrado aún más poderosa”.