Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
febrero
(Total:
75
)
- Lapsus$ filtra un torrent con casi 19GB de informa...
- Grupo sudamericano Lapsus hackea nVidia y roba 1TB...
- El ejército de Ucrania pide a los ciudadanos que t...
- Elon Musk activa servicio internet por satélite co...
- La restauración de fábrica de Windows 11 deja arc...
- Google está modificando por primera vez su página ...
- Algunos SSD NVMe pueden perder datos cuando se va ...
- Rusia ataca de nuevo con malware destructivo (Herm...
- La descarga de una película pirata con malware pro...
- Eurolink: 6 mil millones de € de la Unión Europea ...
- Alternativas a los sistemas operativos Windows, Ma...
- Arrancar en modo seguro en Windows 11
- Sistemas vulnerables para practicar legalmente ata...
- Linux es más rápido que Apple o Microsoft en corre...
- Windows 11 dejará de admitir los cifrados inseguro...
- Xenomorph es un nuevo malware para Android capaz d...
- Google Drive bloquea por error archivos .DS__Store...
- NAS ASUSTOR afectado por ataques del ransomware De...
- Instalar un firmware no oficial en un router neutr...
- Vulnerabilidad de validación de entrada datos numé...
- Unredacter es una herramienta gratuita para recupe...
- Deja sin Internet a todo un barrio para evitar que...
- Aceptar Cookies automáticamente y evitar mensajes ...
- EE.UU. dice que Rusos atacaron contratistas americ...
- Introducción al Sandbox de Privacidad de Android
- Ficheros /etc/passwd /etc/shadow y /etc/group en G...
- Google presenta Chrome OS Flex, un nuevo sistema o...
- Envían 1TB en 1 segundo a 1 kilómetro de distancia...
- ¿Qué es el SIM Swapping? Así pueden hackear tus cu...
- El 74% del dinero robado en ataques de ransomware ...
- Actualizaciones de seguridad importantes de Apple ...
- Cibertataques en Ucrania: Agencias militares y ban...
- pfSense distro basada en FreeBSD monitoriza y admi...
- Nueva versión distro Hacking: Kali Linux 2022.1
- Administrar y crear servicios con systemd en Linux...
- Un bug de Zoom para MacOS Monterey dejaba encendid...
- Android 13 permite ejecutar Windows 10, 11 y distr...
- Windows añade protecciones para evitar la extracci...
- Telefónica, Vodafone y Orange dicen que las empres...
- Detenidos en Madrid por fraude zapatillas falsific...
- Intel estrena con el kernel 5.18 funciones de pago...
- Google paga 8.7 millones de dólares en recompensas...
- AMD rompe su récord de cuota de mercado como fabri...
- Empiezan a vender "Air Tags" silenciados para espi...
- Mejora la temperatura de tu SSD con un disipador d...
- Malware Qbot necesita sólo 30 minutos para robar d...
- La Policía Nacional desarticula una organización c...
- SpaceX pierde 40 de los 49 nuevos satélites instal...
- Plugins y addons (scripts) para el firmware router...
- EE. UU. incauta 3.600 millones de dólares robados ...
- Microsoft deshabilita temporalmente los instalador...
- Multadas con casi 6 millones de € varias operadora...
- Ciberataque a Vodafone Portugal deja sin servicio ...
- NVIDIA abandona finalmente de forma oficial sus pl...
- La UE invertirá 43.000 millones de euros para dupl...
- Google afirma que la verificación en 2 pasos ha co...
- Microsoft deshabilitará por defecto las macros en ...
- Países Bajos multa a Apple con 5 millones € por la...
- El nuevo super yate de Jeff Bezos es tan grande qu...
- Una filtración de datos expone las identificacione...
- Meta amenaza con cerrar Facebook e Instagram en Eu...
- Microsoft detectó 35.700 millones de intentos de a...
- The Wall Street Journal hackeado por China
- Facebook pierde usuarios por primera vez en su his...
- El nuevo estándar WiFi 802.11bf permitirá detectar...
- Mozilla refuerza la privacidad Firefox combinando ...
- Monitorizar el rendimiento de contenedores Docker ...
- Raspberry Pi OS ya está disponible en 64 bits de f...
- VLC denuncia que hay personas domiciliando sus rec...
- Estándar Encrypted Client Hello (ECH) permitirá me...
- Roban 320 millones dólares de Ethereum a la plataf...
- Comando Robocopy: herramienta copia de seguridad d...
- Publicado exploit para nueva vulnerabilidad local ...
- Microsoft explica el motivo porque algunos usuario...
- La huella digital de tu GPU también sirve para ras...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Estándar Encrypted Client Hello (ECH) permitirá mejorar la privacidad en internet
Encrypted Cliente Hello (ECH) sigue su camino para convertirse en un estándar que dejará a los proveedores de internet sin posibilidad de inspeccionar las cabeceras HTTPS de las webs a las que acceden sus clientes con el fin de ejecutar el bloqueo de webs. Encrypted Client Hello (ECH), una nueva extensión para el protocolo TLS que mejora significativamente la privacidad de este importante protocolo de Internet.
Las operadoras interceptan el SNI para bloquear webs
Aunque la web actual está ampliamente cifrada gracias a la popularización de HTTPS, TLS (Transport Layer Security) tiene un talón de Aquiles llamado SNI (Server Name Indication), una cabecera que el cliente envía al servidor en texto plano sin cifrar al inicio de la conexión, donde se indica el nombre del dominio al que quiere conectarse.
A diferencia de lo que ocurría antaño, los proveedores de internet ya no pueden saber qué hacen sus clientes dentro de una web ni conocer el contenido de los datos intercambiados, pero sí saben a qué webs acceden. Los equipos de inspección profunda de paquetes que los operadores tienen instalados, analizan en tiempo real el tráfico cursado en busca de cabeceras SNI y utilizan esta información para aplicar "medidas razonables de gestión del tráfico", una posibilidad que la legislación sobre neutralidad de la red les permite. Una de las medidas autorizadas1 es "cumplir los actos legislativos […] incluidas las sentencias de tribunales o autoridades públicas", es decir, detectar cuando un usuario accede a una web que un tribunal u organismo equivalente ha declarado ilegal y bloquearla, impidiendo que el usuario acceda a ella.
Si eres cliente de Movistar, Orange, Vodafone o MásMóvil solo hace falta que introduzcas en tu navegador el nombre de una de las muchas webs bloqueadas para ver cómo este mecanismo entra en acción.
Mensaje | |
---|---|
Movistar | ERROR 404 - File not found |
Orange | Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta operadora |
Vodafone | Por causas ajenas a Vodafone, esta web no está disponible |
MásMóvil | Object not found |
pirlotvonline.net
Las operadoras son parte interesada en los bloqueos
The Telegraph desveló a principios de enero que Vodafone, Telefónica, Orange, y T-Mobile habían escrito una carta a la Comisión Europea pidiendo que se impida que Apple ofrezca iCloud Private Relay a los usuarios de iPhone en Europa. Este servicio es una especie de VPN que crea un túnel cifrado entre el terminal y los servidores de Apple, de forma que todo el tráfico de internet que genera el usuario queda oculto para los intermediarios.
Al utilizar una VPN como Private Relay o alternativas como Warp, todo el tráfico viaja cifrado por lo que el proveedor de internet no tiene forma de leer el SNI. Aunque las VPN existen desde hace años, iCloud Private Relay supone la primera amenaza real para las operadoras, al tratarse de un servicio ampliamente disponible y activable con solo un checkbox. Ni a la administración, ni a las operadoras les interesa perder el acceso al SNI, pues se quedan sin un instrumento básico para impedir el acceso a servicios declarados ilegales.
eSNI se salta el bloqueo de las operadoras, pero ya no funciona
Para las operadoras y la industria de contenidos hay una amenaza mayor que Private Relay en el horizonte y es que en el futuro el campo SNI estará cifrado y será imposible conocer su contenido.
En septiembre de 2018, tres empleados de Cloudflare, Fastly y Apple publicaban el primer borrador de Encrypted Server Name Indication for TLS 1.3, una mejora para HTTPS que cifra el contenido del SNI. Cloudflare lo implementaba en sus servidores mientras que Firefox le daba soporte experimental en su navegador. Al activar eSNI y DoH en Firefox, pudimos comprobar cómo el sistema DPI de las operadoras era incapaz de interceptar la comunicación y cualquier web bloqueada alojada en Cloudflare volvía a estar disponible.
Adiós eSNI, hola ECH
Básicamente Encrypted Client Hello (ECH) es una extensión del protocolo de protocolo de enlace TLS que evita que los parámetros sensibles a la privacidad del protocolo de enlace estén expuestos a cualquier persona expuesta. Esta protección se extiende a la Indicación de nombre de servidor (SNI), que de lo contrario expondría el nombre de host al que desea conectarse al establecer una conexión TLS.
Lamentablemente durante este periodo de pruebas los creadores de eSNI encontraron nuevos puntos débiles en el proceso durante el que se establece la sesión TLS, que podrían facilitar el desarrollo de nuevas técnicas para interceptar el tráfico, así que decidieron ampliar el ámbito de los metadatos protegidos más allá del SNI, lo que dio lugar a que el estándar se renombrase como ECH (Encrypted Cliente Hello).
ECH, el golpe final al bloqueo de webs
En enero de 2021 Firefox anunciaba que retiraba eSNI de su navegador sustituyéndolo por ECH, una decisión que muchos juzgaron precipitada, ya que dejaba a los usuarios repentinamente sin mecanismo anti bloqueos, puesto que Cloudflare seguía utilizando eSNI y no ECH. A día de hoy esta situación no ha cambiado, por lo que la única forma de usar eSNI es utilizar una versión de Firefox anterior a la 85.
Mientras tanto, el borrador de ECH ya va por la versión 13 camino de su aprobación final para convertirse en un estándar. Cuando esto ocurra, todos los navegadores y servidores web como Apache o Nginx deberán soportarlo de serie. Con su popularización, las operadoras se quedarán sin posibilidad de saber a qué webs acceden sus clientes y por tanto de ejecutar bloqueos.
Fuentes:
https://bandaancha.eu/articulos/ech-sni-bloqueo-webs-operadoras-10158
https://blog.cloudflare.com/es-es/encrypted-client-hello-es-es/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.