Great Firewall of China

GREAT FIREWALL OF CHINA

sicurezza informatica dietro la censura cinese di Internet

INDICE GENERALE

CENNI STORICI

GOLDEN PROJECTS

GREAT FIREWALL

GOLDEN SHIELD PROJECT

GREAT CANNON

STRUTTURA DI INTERNET

GATEWAY INTERNAZIONALI

GATEWAY REGIONALI

GREAT CANNON

FUNZIONAMENTO

OBIETTIVI NOTI

GREAT FIREWALL

FUNZIONAMENTO

COSA VIENE BLOCCATO

DNS REDIRECTION

URL FILTERING

PACKET FILTERING

IP BLOCKING

MAN IN THE MIDDLE

CENNI STORICI

GOLDEN PROJECTS

Intorno alla fine degli anni 80 del secolo scorso inizia a conoscere un grande sviluppo economico, anche a causa di un nuovo sistema economico vicino a quello occidentale in opposizione a quello socialista. Per facilitare la crescita economica della Cina il governo emana i cosiddetti Golden Projects, dodici progetti che avrebbero portato la nazione a svilupparsi rapidamente nell'ambito delle infrastutture digitali.

GOLDEN SHIELD PROJECT

Tra i dodici progetti approvati dal governo cinese due in particolare sono quelli che ci riguardano in questo momento: il Golden Bridge Project (la costruzione della rete nazionale) ed il Golden Shield Project. Il Golden Bridge Projects è il progetto con il quale la Cina ha progettato e costrutito la propria rete nazionale. Il Golden Shield Project invece è probabilmente il progetto più articolato tra tutti quelli emanati dal governo cinese. Il progetto nel suo complesso si divide in due strumenti che sono il Great Firewall ed il Great Cannon.

CENNI STORICI

GREAT FIREWALL

Attraverso il Great Firewall, il governo voleva uno strumento che permettesse alla Cina di sfruttare le opportunita che la rete globale metteva a disposizione, ma al tempo stesso non voleva che la rete potesse mettere in pericolo la sicurezza nazionale nonchè il potere che il Partito Comunista aveva consolidato nel corso del tempo. Per fare ciò la Cina ha costruito quello che è considerato il maggiore sistema di sicurezza informatica esistente al mondo, un complesso sistema di firewall che consente un filtraggio completo dei dati sulla rete.

GREAT CANNON

Attraverso il Great Cannon invece, il governo voleva uno strumento di difesa della rete cinese ma che in caso di necessità potesse diventare anche uno strumento di attacco verso le altre reti nazionali o un target preciso. L'attacco su cui verte il Great Cannon è il Denial of Service. Con questo strumento la Cina si protegge dagli attacchi DoS, ma è anche in grado di crearne su larga scala contro altre reti nazionali o servizi online ben precisi.

CENNI STORICI

"Se apri le finestre per far entrare aria fresca, aspettati che entrino anche delle mosche"

DENG XIAOPING

STRUTTURA DI INTERNET

GATEWAY INTERNAZIONALI

Attraverso i cosiddetti gateway internazionali, la rete Internet cinese è connessa alla rete Internet mondiale. Le sedi dei gateway internazionali sono Pechino, Shangai e Guangdong, le maggiori città della nazione. Il livello di censura principale avviene proprio sui gateway internazionali, che attraverso firewall e proxy server sono in grado di filtrare le informazioni, principalmente dall'esterno verso l'interno ma anche viceversa.

GATEWAY REGIONALI

Attraverso i gateway regionali, la rete si sviluppa sull'immenso territorio cinese. La suddivisione dei gateway regionali è gerarchica: i router delle contee sono connessi ai router delle prefetture, a loro volta connessi ai router delle provincie. Tra tutti i gateway, solamente quelli a livello provinciale sono connessi ai gateway internazionali. La suddivisione gerarchica della rete garantisce un livello graduale di censura, in quanto ciascun router implementa tutti i filtri del router precedente a cui possono aggiungersene altri imposti in un determinato perimetro.

STRUTTURA DI INTERNET

GREAT CANNON

FUNZIONAMENTO

Il Great Cannon, almeno nel suo assetto di attacco, si basa su un sistema in grado di intercettare tutto il traffico malevolo e di effettuare sui mittenti di questo traffico un attacco DoS che metta fuori uso il servizio. Per quanto riguarda la difesa, con il Great Cannon tutto il traffico oggetto di un attacco DoS verso la rete cinese viene raccolto e risolto da alcuni server dedicati. Lo strumento consente nel suo complesso di utilizzare i pacchetti per lanciare un controattacco tramite iniezione di codice Javascript o payload malevoli.

OBIETTIVI NOTI

Fino a questo momento non sono noti attacchi su larga scala da parte del governo cinese, quanto piuttosto attacchi atti al contrasto di servizi messi a disposizione per aggirare la censura imposta attraverso il Great Firewall. Gli attacchi effettuati tramite l'utilizzo del Great Cannon hanno riguardato in passato i server di Github, su cui era contenuto codice su come aggirare il Great Firewall, ed i siti web dei principali quotidiani di Hong Kong.

GREAT CANNON

IP TARGET

JAVASCRIPT INJECTION

NEW FLOW

VERIFICATION

GREAT FIREWALL

FUNZIONAMENTO

Il Great Firewall, come suggerisce il nome, è il sistema di difesa perimetrale ad oggi più esteso al mondo in quanto va ben oltre i confini della LAN di un normale firewall effettuando filtraggio su tutta la rete nazionale cinese. Il Great Firewall basa il suo funzionamento sull'implementazione di tutte le tre tipologie di firewall viste a lezione, a livello di rete, trasporto ed applicazione del modello TCP/IP. Un altro vantaggio è sicuramente la stratificazione graduale del filtraggio delle informazioni e della diffusione dello stesso all'interno di tutta la rete nazionale.

COSA VIENE BLOCCATO

Il Great Firewall filtra tutte le informazioni che sono scomode per il regime comunista cinese, non solo quelle provenienti dalla rete globale ma anche internamente attraverso il filtraggio a livelli prima specificato. Gli obiettivi principali di questa censura sono tutti i servizi ed i siti web legati ad attivisti democratici, alle istituzioni religiose, alle istituzioni governative di Taiwan e del Tibet ed ai movimenti politici occidentali.

GREAT FIREWALL

DNS FILTERING E REDIRECTION

Uno dei metodi principali di censura avviene attraverso la non risoluzione dei nomi dei domini o comunque attraverso una risoluzione errata dei nomi. Essendo il server DNS di riferimento modificabile, anche questi sono bloccati. La soluzione principale, oltre al modificare il server DNS utilizzato, consiste nel bypassare la risoluzione del nome del dominio inserendo direttamente l'indirizzo IP dell'host di riferimento.

GREAT FIREWALL

URL FILTERING

Un altro metodo di censura prevede la scansione della stringa URL alla ricerca di parole chiave. In base alle parole usate, verrà restituito un risultato censurato, filtrato in base alle impostazioni del firewall. La soluzione principale sarebbe quella di utilizzare connessioni sicure come SSL e VPN, ma essendo il browser cinese un sistema chiuso non è sempre possibile effettuare ricerche con una comunicazione crittografata.

GREAT FIREWALL

IP BLOCKING

Attraverso l'IP blocking sono bloccati un insieme di indirizzi IP esterni ed interni. Il blocco dell'indirizzo IP può avvenire per un periodo di tempo prestabilito oppure può essere totalmente bloccato. La soluzione utilizzata è quello di sostituire gli IP statici con gli IP dinamici, in modo tale da rendere impossibile il blocco delle risorse, che dovrebbero essere innanzitutto individuate dai censori cinesi.

PACKET FILTERING

Con questo metodo una connessione viene bloccata se nei dati scambiati vengono rilevate una serie di parole censurate o proibite. La censura viene aggirata con l'utilizzo di SSL o attraverso le VPN.

MAN IN THE MIDDLE

Il man in the middle consiste nell'intromettersi nella comunicazione tra due host captando le informazioni scambiate. Il sistema non viene utilizzato in quanto il browser riesce a riconoscere l'attacco.