Los regímenes autoritarios censuran a menudo los sitios web dentro de sus fronteras, amenazando la comunicación libre y abierta en Internet. Medir qué se bloquea, cómo actúan los censores y cómo cambia la censura con el tiempo es esencial para entender y sortear estos esfuerzos de censura.
Desgraciadamente, es difícil medir estas cosas, sobre todo en países que restringen la capacidad de los investigadores para encontrar puntos finales, ya sean voluntarios, puntos de observación o servidores en directo.
A través de mi Beca de Investigación Pulse, me estoy basando en la investigación en la que mis colegas y yo hemos estado trabajando en la Universidad de Maryland y en la Universidad de Chicago para superar varios de estos retos y mejorar la forma en que la comunidad de medición puede medir longitudinalmente la censura sin necesitar ayuda del interior del país.
Solicita ahora la Beca de Investigación Pulse 2024 e inscríbete en el seminario web de revisión de la Beca de Investigación Pulso 2023 .
- Tradicionalmente, para medir la censura en Internet se necesitan puntos finales -voluntarios, puntos de observación o servidores en directo- dentro de los países censurados para comprobar si se puede acceder a sitios web o servicios.
- Nuestra técnica engaña a los dispositivos censores haciéndoles creer que estamos realizando pruebas dentro de las fronteras del censor.
- Los resultados preliminares muestran que esta técnica puede medir algunos países que los esfuerzos de medición complementarios no pueden medir longitudinalmente, como Brunei y Tayikistán.
La censura se mide tradicionalmente con puntos finales
Actualmente existe una amplia gama de iniciativas -como OONI y CensoredPlanet- que miden la censura en Internet solicitando direcciones URL y observando si se puede acceder a los sitios web correspondientes. Una limitación de estos proyectos es que dependen de encontrar puntos finales dentro de países censurados para llevar a cabo estas solicitudes.
Esto se agrava aún más en países con poblaciones pequeñas, regímenes muy represivos, bajos índices de penetración de Internet y una infraestructura deficiente. En esos países, incluso cuando se dispone de esos criterios de valoración, a menudo se limitan a un pequeño puñado de mediciones, seguidas de periodos en los que las mediciones son escasas o nulas, lo que sólo nos permite vislumbrar la censura en un único momento.
Nuestro enfoque mide la censura desde fuera
Para superar este reto, mis colegas y yo desarrollamos una técnica novedosa que puede medir longitudinalmente la censura sin necesidad de ayuda desde el interior del país. Esta técnica aprovecha dos peculiaridades de la censura en algunos países.
Muchos países despliegan una censura bidireccional que bloquea el tráfico censurado independientemente de si la solicitud que reciben los censores procede de dentro o de fuera del país (Figura 1). Esto significa que podemos hacer que nuestros clientes midan el nivel de censura enviando solicitudes desde fuera del país censurado a servidores dentro del país censurado.
Sin embargo, encontrar estos servidores públicos dentro de países censurados puede ser engorroso por las razones antes mencionadas.
Sin embargo, no siempre necesitamos un servidor que responda para activar la censura bidireccionalmente, ya que algunos dispositivos de censura (middleboxes) muestran un comportamiento no conforme con TCP.
Engañar a los censores para que censuren
Un evento de censura HTTP(S) normal se produce cuando un cliente se conecta a un servidor activo con un handshake TCP a tres bandas y envía un paquete PSH+ACK que contiene una solicitud a un sitio web censurado. El censor ve esta solicitud y actúa bloqueando el tráfico del cliente, enviando una página de bloqueo al cliente o enviando un paquete de restablecimiento (Figura 2), denominado RST, al cliente para finalizar la conexión.
El protocolo TCP de tres vías requiere una respuesta del servidor: un paquete SYN+ACK. Sin embargo, nuestro objetivo es medir la censura en lugares donde no hay ningún servidor.
Para lograr nuestro objetivo, nos basamos en el hecho de que se espera que los censores pierdan algunos paquetes dentro de una conexión debido a las rutas asimétricas, el equilibrio de carga y el tráfico intenso. Por ejemplo, un censor puede perderse el paquete ACK enviado de un cliente al servidor en un intercambio de tres vías TCP.
Cuando el cliente envía un paquete PSH+ACK posterior con un dominio censurado, es de esperar que el censor no tenga en cuenta el paquete, ya que, desde la perspectiva del censor, no existe una conexión en curso, puesto que el cliente y el servidor no han realizado un intercambio TCP a tres bandas. Sin embargo, muchos censores siguen tomando medidas de bloqueo, como el envío de un paquete RST de vuelta al cliente (Figura 3). Por lo tanto, muchos censores no son totalmente compatibles con TCP. Sólo se basan en la presunción, no en la confirmación, de una conexión en curso para bloquear una solicitud censurada.
Esto significa que podemos crear secuencias de paquetes que activen la censura sin necesidad de que ningún servidor activo complete el apretón de manos TCP para activar el censor.
Continuando con el ejemplo anterior, el cliente puede enviar un paquete SYN seguido de un paquete PSH+ACK a una dirección IP que no responde para activar el censor (Figura 4).
Esto significa que ahora podemos medir la censura en redes que no tienen participantes. Debido a la censura bidireccional, podemos enviar estas secuencias de paquetes desde clientes que controlamos fuera del país censor. Además, podemos dirigir nuestras medidas de censura a direcciones IP que no respondan y que no tengan usuarios o máquinas detrás, lo que mitiga los posibles riesgos para los usuarios y las preocupaciones éticas relacionadas con las conexiones a máquinas activas.
Automatización del proceso
La secuencia de paquetes SYN seguida de PSH+ACK es una de las muchas que activan algunos censores. Sin embargo, no es una secuencia de paquetes estándar que active con éxito la censura en todos los regímenes censurados. Por lo tanto, debemos descubrir qué secuencias de paquetes activan los middleboxes de censura en los distintos regímenes de censura.
En mi primer intento de aplicar esta técnica, mis colegas y yo estudiamos la censura en Turkmenistán,un país notoriamente difícil de medir desde dentro, dada su baja penetración de Internet y sus leyes extremadamente duras sobre el uso de la red. Intenté activar los buzones intermedios de censura dentro del país elaborando manualmente secuencias de paquetes. Descubrí que enviar un SYN seguido de un paquete PSH+ACK dos veces, separados por 5-29 segundos entre paquetes, activaba con éxito la censura.
Aunque alentadores, estos resultados requirieron un considerable esfuerzo manual, que no será escalable a diferentes países o ISP dentro de un mismo país.
Como parte de mi beca de investigación Pulse, estoy desarrollando técnicas que automatizan el descubrimiento de secuencias de paquetes desencadenantes de censura, lo que nos permite medir la censura en muchos países de todo el mundo que están fuera del alcance de las técnicas de medición tradicionales.
Para ello, utilizaré Geneva, unalgoritmo genético de código abierto que se entrena contra censores en directo para descubrir secuencias de paquetes que eluden la censura. Sin embargo, en lugar de hacer que Ginebra evada la censura, planeo modificarla para que descubra secuencias de paquetes que desencadenen la censura. Esto incluirá añadir nuevas capacidades a Ginebra. Por ejemplo, Ginebra no habría podido encontrar la secuencia de paquetes utilizada para activar la censura en Turkmenistán, ya que Ginebra no admite pausas entre el envío de paquetes.
Un nuevo método permitirá estudiar la censura en países ignorados
Para que esta técnica de medición de la censura funcione, necesitamos tanto censura bidireccional como un dispositivo de censura que pueda ser engañado para que censure con secuencias de paquetes especialmente diseñadas. Hasta ahora, hemos encontrado:
- Bielorrusia, Brunei, China, Irán, Libia, Rusia, Tayikistán y Uzbekistán censuran bidireccionalmente.
- El envío de un paquete PSH+ACK dos veces desencadena con éxito la censura en Tayikistán, mientras que la secuencia SYN seguida de un paquete PSH+ACK es suficiente para los demás países.
- Burundi, Guinea Ecuatorial, Kirguistán y Myanmar no tienen censura bidireccional, por lo que no podemos estudiarlos con esta técnica.
Estamos estudiando más países que durante mucho tiempo han pasado desapercibidos para entender qué dominios se censuran, hasta qué punto son homogéneas las políticas de censura en un país determinado, cómo difieren las políticas de censura entre regiones del mundo y cómo cambia la censura con el tiempo.
Si desea saber más, lea nuestro resumen ampliado y el documento sobre nuestro estudio de Turkmenistán.
Y manténgase al día de las novedades a través de nuestro sitio web.
Sadia Nourin es estudiante de máster en Informática en la Universidad de Maryland y becaria de investigación de Pulse.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.