Human Constanta > Новости > Блокировка интернета в Беларуси

Блокировка интернета в Беларуси

Human Constanta

19 сентября 2020 Года

Qurium — медиа фонд, предоставляющий набор проактивных и реактивных услуг по цифровой безопасности журналистам, активистам и правозащитникам. Это перевод отчёта, посмотреть оригинал.

Qurium изучает некоторые детали реализации блокировки интернета в Беларуси. OONI в сотрудничестве с Human Constanta опубликовали очень хороший отчет, в котором представлен обзор методов, используемых для реализации блокировки. Qurium сосредоточился на нескольких провайдерах, чтобы глубже изучить природу оборудования, используемого для блокировки, и понять, какие возможности у него есть.

Содержание

1 Деловая сеть
2 Белтелеком
3 A1
4 Поддельные сертификаты выдают себя за Домены и их Субъекты
5 МТС
6 Выводы
7 Приложение I

Деловая сеть

Инфраструктура многих провайдеров работает на базе организации: ООО «Деловая сеть» aka bn.by (AS12406)

Провайдер перехватывает HTTP-соединения и перенаправляет их на 212.98.160 {.} 60 в базовой сети компании.

HTTP/1.1 307 Temporary Redirect
Location: http://212.98.160.60/

Трафик HTTPS блокируется путем внедрения пакетов [RST, ACK] с размером Win = 0x01 0xf6 (502). Подменная инъекция содержит IPID = 0

Внутри компании мы обнаружили сервер BLOCK-SERVER.bn.by с IP 212.98.160 {.} 157

Незашифрованные соединения перенаправляются на портал авторизации с сообщением:

ДОСТУП К ДАННОМУ ИНТЕРНЕТ-РЕСУРСУ ОГРАНИЧЕН
«Доступ к ресурсу ограничен во исполнение решения Министерства информации Республики Беларусь, принятого на основании Закона Республики Беларусь «О средствах массовой информации».
«Доступ к ресурсу ограничен на основании пункта 11 Положения о порядке ограничения доступа к информационным ресурсам (их составным частям), размещенным в глобальной компьютерной сети Интернет».

Следующие веб-сайты в настоящее время заблокированы.

015.by,,443
afn.by,80,443
babariko.vision,,443
bchd.info,,443
belarusinfocus.info,,443
belarus.regnum.ru,80,
belsat.eu,80,
charter97.org,80,443
elections2020.spring96.org,,443
eurobelarus.info,80,
euroradio.fm,,443
flagshtok.info,,443
honestby.org,,443
hramada.org,,443
intimby.net,80,443
masheka.by,,443
mfront.net,80,
mspring.online,,443
news.vitebsk.cc,,443
opg.ucoz.net,,443
pramenby.wordpress.com,80,443
pramen.io,80,443
primaries.by,,443
progomel.by,,443
psiphon.ca,,443
pyx.by,,443
regnum.ru,80,
safervpn.com,,443
spring96.org,,443
sputnikipogrom.com,80,443
statkevich.org,,443
surfshark.com,,443
svaboda2.net,80,
tsepkalo.com,80,
tsepkalo.info,,443
txti.es,80,
ucpb.org,80,
udf.by,80,
virtualbrest.by,,443
vitebskspring.org,,443
vkurier.by,80,
vot-tak.tv,,443
www.moyby.com,,443
www.politnavigator.net,,443
www.the-village.me,,443
zapraudu.info,80,
zenmate.com,,443
zona.media,,443
zubr.in,80,443

Белтелеком

Для блокировки в AS6697 используются разные сигнатуры блокировки. В этом случае HTTP-трафик на порт 80 перенаправляется на IP 82.209.230 {.} 23. Перенаправление осуществляется с помощью сообщения HTTP 302.

HTTP/1.1 302 FOUND 
Content-Type: text/html 
Location: http://82.209.230{.}23

Подменная инъекция содержит IPID = 1
IPID=1 TTL=249 Win Size=0x7f 0xa6 (32678)

Список заблокированных сайтов:

afn.by,80,
babariko.vision,80,
bchd.info,80,
belarus2020.org,80,
belarus.regnum.ru,80,
belprauda.org,80,
belsat.eu,80,
by.tribuna.com,80,
charter97.org,80,
elections2020.spring96.org,80,
eurobelarus.info,80,
euroradio.fm,80,
gazetaby.com,80,
honestby.org,80,
hramada.org,80,
intimby.net,80,
masheka.by,80,
mfront.net,80,
narodny-opros.info,80,
news.vitebsk.cc,80,
opg.ucoz.net,80,
pramenby.wordpress.com,80,
pramen.io,80,
primaries.by,80,
progomel.by,80,
psiphon.ca,80,
pyx.by,80,
regnum.ru,80,
safervpn.com,80,
spring96.org,80,
sputnikipogrom.com,80,
statkevich.org,80,443
surfshark.com,80,443
svaboda2.net,80,443
tsepkalo.com,80,443
tsepkalo.info,80,443
txti.es,80,443
ucpb.org,80,
udf.by,80,443
virtualbrest.by,80,443
vitebskspring.org,80,443
vkurier.by,80,443
vot-tak.tv,80,443
www.politnavigator.net,80,443
www.svaboda.org,80,443
www.the-village.me,80,
zapraudu.info,80,443
zenmate.com,80,443
zubr.in,80,443

A1

A1 решила блокировать сайты с помощью прозрачных прокси HTTP и HTTPS на основе Squid.

Веб-прокси (зарезервировано.a1.by), который запускает ответ только для IP-адресов заблокированных веб-сайтов, отправляет перенаправление HTTP 302:

HTTP/1.1 302 Found 
Server: squid 
Mime-Version: 1.0 
Date: Mon, 14 Sep 2020 13:31:25 GMT 
Content-Type: text/html;charset=utf-8 
Content-Length: 0 
Location: https://a1.by/mininfo/ 
X-Squid-Error: 403 Access Denied 
X-Cache: MISS from reserved.a1.by 
X-Cache-Lookup: NONE from reserved.a1.by:3128 
Via: 1.1 reserved.a1.by (squid) 
Connection: keep-alive

Прокси также перехватывает сеансы HTTPS, формируя поддельные сертификаты с commonName: Атлант-Телеком HTTPS Proxy.

Когда пользователь принимает сертификат, он перенаправляется на перехватывающий портал hxxps: //www.a1.by/mininfo/

В А1 заблокированы веб-сайты:

afn.by,80,443 
babariko.vision,80,443 
bchd.info,80,443 
belarus2020.org,80,443 
belarus.regnum.ru,80,443 
belprauda.org,80,443 
belsat.eu,80,443 
by.tribuna.com,80,443 
charter97.org,80,443 
elections2020.spring96.org,80,443 
eurobelarus.info,80,443 
euroradio.fm,80,443 
gazetaby.com,80,443 
honestby.org,80,443 
hramada.org,80,443 
intimby.net,80,443 
masheka.by,80,443 
mfront.net,80,443 
narodny-opros.info,80,443 
news.vitebsk.cc,80,443 
opg.ucoz.net,80,443 
pramenby.wordpress.com,80,443 
pramen.io,80,443 
primaries.by,80,443 
progomel.by,80,443 
psiphon.ca,80,443 
pyx.by,80,443 
regnum.ru,80,443 
safervpn.com,80,443 
spring96.org,80,443 
sputnikipogrom.com,80,443 
statkevich.org,80,443 
surfshark.com,80,443 
svaboda2.net,80,443 
tsepkalo.com,80,443 
tsepkalo.info,80,443 
txti.es,80,443 
ucpb.org,80, 
udf.by,80,443 
virtualbrest.by,80,443 
vitebskspring.org,80,443 
vkurier.by,80,443 
vot-tak.tv,80,443 
www.politnavigator.net,80, 
www.svaboda.org,80, 
zapraudu.info,80,443 
zenmate.com,80,443 
zubr.in,80,443

Поддельные сертификаты выдают себя за Домены и их Субъекты

A1 подделывает все X509 сертификаты заблокированных веб-сайтов. Вместо создания совершенно нового самоподписывающегося сертификата они решили сохранить некоторые значения исходного сертификата (поле «Тема» и «Срок действия») и заменить только эмитента и криптографический материал.

Поле Subject сертификата X509 — это объект, с которым связан его открытый ключ. Например, сертификат zenmate.com изменил «Issuer» с Cloudflare на Atlant-Telecom, но сохранил данные Cloudflare в сертификате в поле «Тема».

МТС

Мобильные ТелеСистемы (MTS AS25106) используют свои DNS-серверы 134.17.1.1 и 134.17.1.0 для принудительной блокировки. Когда запрашивается заблокированный веб-сайт, DNS-сервер отвечает записью A 134.17.0 {.} 7. SOA запросы для тех же доменов не отвечают.

Самоподписанный сертификат, действительный в течение 274 лет, обслуживается в 134.17.0 {.} 7 под названием «Default Company Ltd». После принятия сертификата браузер получает перенаправление HTTP-301 на hxxps: //internet.mts.by/blocked.

HTTP/1.1 301 Moved Permanently
Date: Sat, 15 Sep 2020 11:43:37 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips
Location: hxxps://internet.mts.by/blocked
< Content-Length: 240
< Content-Type: text/html; charset=iso-885-1

54 веб-сайта заблокированы путем подделки DNS-ответа:

Выводы

Интернет-блокировка сайтов реализована в инфраструктуре провайдеров.
Используемые методы включают в себя: HTTP: прозрачные веб-прокси, внедрение HTTP-ответов, HTTPS: без отслеживания состояния и SSL DPI.
Список заблокированных сайтов не согласован на 100%.

Приложение I

Domain | BN | BELTELECOM | A1 | MTS 
015.by |-,443 | | | - 
afn.by | 80,-443 | 80, | 80,443 | DNS 
babariko.vision |-,443 | 80,- | 80,443 | DNS 
bchd.info |-,443 | 80,- | 80,443 | DNS 
belarus2020.org | | 80,- | 80,443 | DNS 
belarusinfocus.info |-,443 | | | DNS 
belarus.regnum.ru | 80,- | 80, | 80,443 | DNS 
belprauda.org | | 80,- | 80,443 | DNS 
belsat.eu | 80,- | 80, | 80,443 | DNS 
by.tribuna.com | | 80,- | 80,443 | DNS 
charter97.org | 80,-443 | 80, | 80,443 | DNS elections2020.spring96.org |-,443 | 80,- | 80,443 | DNS 
eurobelarus.info | 80,- | 80, | 80,443 | DNS 
euroradio.fm |-,443 | 80,- | 80,443 | DNS 
flagshtok.info |-,443 | | DNS 
gazetaby.com | | 80,- | 80,443 | DNS 
honestby.org |-,443 | 80,- | 80,443 | DNS 
hramada.org |-,443 | 80,- | 80,443 | DNS 
intimby.net | 80,-443 | 80, | 80,443 | DNS 
masheka.by |-,443 | 80,- | 80,443 | DNS 
mfront.net | 80,- | 80, | 80,443 | DNS 
mspring.online |-,443 | | DNS 
narodny-opros.info | | 80,- | 80,443 | DNS 
news.vitebsk.cc |-,443 | 80,- | 80,443 | DNS 
opg.ucoz.net |-,443 | 80,- | 80,443 | DNS pramenby.wordpress.com | 80,-443 | 80, | 80,443 | DNS pramen.io | 80,-443 | 80, | 80,443 | DNS 
primaries.by |-,443 | 80,- | 80,443 | DNS 
progomel.by |-,443 | 80,- | 80,443 | DNS 
psiphon.ca |-,443 | 80,- | 80,443 | DNS 
pyx.by |-,443 | 80,- | 80,443 | DNS 
regnum.ru | 80,-| 80,- | 80,443 | - 
safervpn.com |-,443 | 80,- | 80,443 | DNS 
spring96.org |-,443| 80,- | 80,443 | 
sputnikipogrom.com | 80,-443 | 80, | 80,443 | DNS statkevich.org |-,443 | 80,-443 | 80,443 | DNS 
surfshark.com |-,443 | 80,-443 | 80,443 | DNS 
svaboda2.net | 80,- | 80,443 | 80,443 | DNS 
tip.by | ? | ? | DNS 
tsepkalo.com | 80,- | 80,443 | 80,443 | DNS 
tsepkalo.info |-,443 | 80,-443 | 80,443 | DNS 
txti.es | 80,- | 80,443 | 80,443 | DNS 
ucpb.org | 80,- | 80,- | 80,- | DNS 
udf.by | 80,- | 80,443 | 80,443 
virtualbrest.by |-,443 | 80,-443 | 80,443 | DNS 
vitebskspring.org |-,443 | 80,-443 | 80,443 | DNS 
vkurier.by | 80,- | 80,443 | 80,443 | DNS 
vot-tak.tv |-,443 | 80,-443 | 80,443 | DNS 
www.moyby.com |-,443 | | DNS 
www.politnavigator.net |-,443 | 80,- | 80,-|DNS 
www.svaboda.org | | 80,-443 | 80,- | DNS 
www.the-village.me |-,443 | 80,- | DNS 
zapraudu.info | 80,- | 80,443 | 80,443 | DNS 
zenmate.com |-,443 | 80,-443 | 80,443 | DNS 
zona.media |-,443 | | | DNS 
zubr.in | 80,-443 | 80,443 | 80,443 | DNS

ПОХОЖИЕ НОВОСТИ

Лаборатория цифровых свобод