Los expertos informáticos de la Universidad de Cambridge afirman no solo haber violado el Gran Cortafuegos de China, sino que han encontrado una manera de utilizar el cortafuegos para lanzar ataques de denegación de servicio contra direcciones de Protocolo de Internet específicas en el país.
El cortafuegos, que utiliza enrutadores proporcionados por Cisco, funciona en parte inspeccionando el tráfico web en busca de ciertas palabras clave que el gobierno chino desea censurar, incluidas las ideologías políticas y los grupos que considera inaceptables.
El grupo de investigación de Cambridge probó el cortafuegos disparando paquetes de datos que contenían la palabra «Falun», una referencia al grupo religioso Falun Gong, que está prohibido en China.
Los investigadores descubrieron que era posible eludir los sistemas de detección de intrusos chinos al ignorar los restablecimientos de protocolo de control de transmisión falsificados inyectados por los enrutadores chinos, que normalmente obligarían a los puntos finales a abandonar la conexión.
«Las máquinas en China permiten la entrada y salida de paquetes de datos, pero envían una ráfaga de reinicios para cerrar las conexiones si detectan palabras clave en particular», explicó Richard Clayton, del laboratorio de computación de la Universidad de Cambridge. «Si descarta todos los paquetes de reinicio en ambos extremos de la conexión, lo cual es relativamente trivial, la página web se transfiere sin problemas».
Clayton agregó que esto significa que el firewall chino se puede usar para lanzar ataques de denegación de servicio contra direcciones IP específicas dentro de China, incluidas las del propio gobierno chino.
El IDS utiliza un servidor sin estado, que examina cada paquete de datos que entra y sale del cortafuegos individualmente, sin relación con ninguna solicitud anterior. Al falsificar la dirección de origen de un paquete que contiene una palabra clave «sensible», las personas podrían activar el firewall para bloquear el acceso entre las direcciones de origen y de destino hasta por una hora a la vez.
Si un atacante hubiera identificado las máquinas utilizadas por las oficinas del gobierno regional, podría bloquear el acceso a Windows Update o evitar que las embajadas chinas en el extranjero accedan a contenido web chino específico.
«Debido al diseño del cortafuegos, un solo paquete dirigido por un alto funcionario del partido podría bloquear su acceso a la Web», dijo Clayton.
Aunque esta técnica bloquearía la comunicación entre solo dos puntos particulares en Internet, los investigadores calcularon que un atacante solitario usando una sola conexión de acceso telefónico podría generar un ataque de denegación de servicio «razonablemente efectivo». Si un atacante generara 100 paquetes de activación por segundo, y cada paquete causara 20 minutos de interrupción, se podría evitar que 120 000 pares de terminales se comunicaran en un momento dado.
Clayton, hablando en el Sexto Taller sobre Tecnologías de Mejora de la Privacidad en Cambridge la semana pasada, dijo que los investigadores habían informado de sus hallazgos al Equipo Chino de Respuesta a Emergencias Informáticas.
Tom Espiner de MarketingyPublicidad.es UK informó desde Londres.