Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon China está bloqueando todo el tráfico HTTPS que usa ESNI (TLS 1.3)




El Gran Firewall de China GFW) chino continua censurando contenidos. Esta vez para bloquear todo el tráfico HTTPS que hace uso del protocolo TLS 1.3 y de la "tecnología" ESNI (Encrypted Server Name Indication). TLS 1.3 es la versión más reciente (2018) y más segura del protocolo TLS. Tiene una latencia mejorada sobre versiones anteriores y varias funciones nuevas.







  •  TLS 1.3 data de Agosto de 2018
  • En 2018 los principales navegadores, como son Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari, llegaron a un acuerdo para dejar de dar soporte a las versiones 1.0 y 1.1 de TLS en marzo de 2020
  • Ni Windows 10 ni versiones anteriores soportan por defecto TLS 1.3


Su "Gran Firewall" -en alusión a la gran muralla china- lleva años actuando como herramienta de censura para evitar que sus ciudadanos puedan acceder a ciertos sitios y servicios web.


El gobierno chino ha implementado una actualización de su herramienta de censura nacional, conocida como Great Firewall (GFW), para bloquear las conexiones HTTPS cifradas que se están configurando utilizando tecnologías y protocolos modernos.

La prohibición ha estado vigente desde fines de julio, según un informe conjunto publicado esta semana por tres organizaciones que rastrean la censura china: iYouPort, la Universidad de Maryland y el Great Firewall Report.




China ahora bloquea HTTPS + TLS1.3 + ESNI


A través de la nueva actualización de GFW, los funcionarios chinos solo apuntan al tráfico HTTPS que se está configurando con nuevas tecnologías como TLS 1.3 y ESNI (Indicación de nombre de servidor cifrado).

Aún se permite otro tráfico HTTPS a través del Great Firewall, si utiliza versiones anteriores de los mismos protocolos, como TLS 1.1 o 1.2, o SNI (Indicación de nombre de servidor).

Para las conexiones HTTPS configuradas a través de estos protocolos más antiguos, los censores chinos pueden inferir a qué dominio está tratando de conectarse un usuario. Esto se hace mirando el campo SNI (texto sin formato) en las primeras etapas de una conexión HTTPS.

En las conexiones HTTPS configuradas a través del nuevo TLS 1.3, el campo SNI se puede ocultar a través de ESNI, la versión cifrada del antiguo SNI. A medida que el uso de TLS 1.3 continúa creciendo en la web, el tráfico HTTPS donde se usa TLS 1.3 y ESNI ahora está dando dolores de cabeza a los censores chinos, ya que ahora les resulta más difícil filtrar el tráfico HTTPS y controlar a qué contenido puede acceder la población china.

Sitios webs mundialmente conocidos que son bloqueados (censurados) por China:


  • Twitter: 2009 
  • Facebook: 2009 
  • Google: 2010
  • Instagram: 2014 
  • Tumblr: 2016 
  • Pinterest: 2017 
  • WhatsApp: 2017 
  • Discord: 2018
  • Wikipedia: 2019
Un estudio de diversos expertos ha descubierto cómo desde finales de julio China está "aparentemente bloqueando las conexiones TLS con la extensión ESNI en China". 

El tráfico HTTPS con versiones más antiguas del protocolo TLS (la 1.1 o la 1.2) y con la extensión SNI que no cifra con quién quiere conectarse aquel que realiza la petición de información. 


China ha utilizado ese campo para bloquear el acceso a ciertos destinos en transmisiones vía HTTPS, pero con TLS 1.3 se permitía el uso de un SNI cifrado que no pudiera usarse para detectar ese destino. ¿Qué ha hecho China? Asumir que el destino era un destino prohibido y bloquear todo ese tráfico directamente.


SSL

¿Qué es SSL?

 SSL, o Secure Sockets Layer, es un protocolo de seguridad de Internet basado en el cifrado. Desarrollado por Netscape en 1995 para asegurar la privacidad, la autenticación y la integridad de los datos en las comunicaciones en Internet. SSL es el predecesor del cifrado TLS moderno que se utiliza hoy en día.

SSL es el predecesor directo de otro protocolo conocido como TLS (transport layer security). El Internet Engineering Task Force (IETF, por sus siglas en inglés) propuso en 1999 una actualización de SSL. Ya que esta actualización la estaba desarrollando el IETF, y Netscape ya no participaba en el proyecto, se cambió el nombre a TLS. No hay diferencias drásticas entre la versión final de SSL (3.0) y la primera versión de TLS, el nombre simplemente se cambió para indicar el cambio de propietario. 

Ya que están tan estrechamente relacionados, los dos términos se suelen usar indistintamente y con frecuencia se confunden. Algunos todavía usan SSL para referirse a TLS, mientras que otros utilizan el término 'cifrado SSL/TLS', ya que el nombre SSL es muy conocido.

La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza.

SSL no se ha actualizado desde el SSL 3.0 en 1996 y, hoy en día, se considera que está obsoleto. El protocolo SSL tiene varias vulnerabilidades conocidas y, por ello, los expertos en seguridad recomiendan que se deje de usar. De hecho, la mayoría de navegadores web modernos ya no son compatibles con SSL.

TLS (Transport Layer Security)

¿Qué es TLS?

TLS se traduce a Transport Layer Security o en español Seguridad de la Capa de Transporte y su sucesor SSL (Secure Sockets Layer o en español Capa de Puertos Seguros)

La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza. Cuando se cifra el tráfico web con TLS, aparece un candado verde en la ventana del navegador de los usuarios, cerca del cuadro de la dirección URL.

Explicación de las versiones de TLS Una versión más nueva de TLS implica un estándar de cifrado.  

TLS 1.2 incluye correcciones de vulnerabilidades encontradas en versiones anteriores. A partir de junio de 2018, TLS 1.2 es la versión obligatoria del Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés).

TLS 1.2 utiliza:
  • SHA-1
  • RC4
  • DES
  • 3DES
  • AES-CBC
  • MD5
  • Grupos Diffie-Hellman arbitrarios – CVE-2016-0701
  • EXPORT- claves de fuerza – Responsable de FREAK y LogJam

TLS 1.3, que ofrece mejoras de funcionamiento (velocidad) y seguridad adicionales, fue aprobado por Internet Engineering Task Force (IETF, por sus siglas en inglés) en 2018.

TLS 1.3

  • Velocidad (handshake,  “zero round trip time”. (0-RTT).)

TLS 1.3 es compatible tanto en Chrome (a partir de la versión 66), Chrome 70 de forma oficial, como en Firefox (a partir de la versión 60). Microsoft Edge comenzó a soportar TLS 1.3 con la versión 76, y está habilitado por defecto en Safari 12.1 en macOS 10.14.4.

Server Name Indication - SNI vs E-SNI

Indicador de nombre de servidor cifrado (SNI) SNI cifrado reemplaza la extensión de “server_name” de texto sin formato utilizada en el mensaje de ClientHello durante la negociación de TLS con un “encrypted_server_name.” Esta capacidad se expande en TLS 1.3, lo que aumenta la privacidad de los usuarios al ocultar el nombre de host de destino de los intermediarios entre el visitante y el sitio web.

¿Para qué sirve el SNI?

 Fundamentalmente, el SNI existe para permitir alojar muchos sitios web cifrados en una única dirección IP. Los primeros navegadores no incluían la extensión del SNI. Por ello, cuando se realizaba una solicitud para establecer una conexión HTTPS, el servidor web no tenía mucha información para continuar y solo podía devolver un certificado SSL por cada dirección IP con la que el servidor web se comunicara.

La analogía que más gusta es la de un sobre de correo postal. El contenido del sobre está protegido y no puede ser visto por el servicio de correos. Sin embargo, fuera del sobre está la dirección que el cartero usará para llevar el sobre al edificio correcto. En Internet, la dirección IP de un servidor web es el equivalente al nombre de la calle. Sin embargo, si vives en un edificio con muchos pisos, el nombre de la calle no basta para llevar el sobre al destinatario correcto. Para complementar la dirección incluyes un número o el nombre del destinatario

SNI con TLS 1.2 o inferior




ESNI (TLS 1.3)


Existen algunos métodos de elusión ... por ahora

Por ahora, iYouPort, la Universidad de Maryland y el Great Firewall Report dijeron que pudieron encontrar hasta seis técnicas de elusión que se pueden aplicar en el lado del cliente (aplicaciones internas y software) y cuatro que se pueden aplicar en el lado del servidor (en servidores y backends de la aplicación) para evitar el bloque actual de GFW.

"Desafortunadamente, estas estrategias específicas pueden no ser una solución a largo plazo: a medida que avanza el juego del gato y el ratón, es probable que el Gran Cortafuegos continúe mejorando sus capacidades de censura", agregaron las tres organizaciones.

Activar ESNI en Firefox


Activar y habilitar Encrypted SNI.

Barra de direcciones Mozilla Firefox:

  • about:config
Buscar:
network.security.esni.enabled

Pasar de false (falso) a true (cierto)

Comprobar:

Es importante activar también soporte "DNS over HTTPS "(also known as “Trusted Recursive Resolver” in Firefox) "Activar DNS sobre HTTPS" en Herramientas -> Opciones --> General --> Configuración de red.

Las tecnologías analizadas son:
  • Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
  • DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
  • TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
  • Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.



Increíblemente en Google Chrome no se puede activar ESNI todavía.

Activar TLS 1.3  (ESNI) en Windows 10


A partir Windows 10 versión 1903 o superiores


  • Usar TLS 1.3 (experimental)



Registro de Windows
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.