Proprio mentre il governo cinese fa sapere di voler estendere i rigidi sistemi di sorveglianza applicati alla Rete anche ai telefonini e ai sistemi di messaggeria istantanea, un team di ricercatori dell’Università di Cambridge gli gioca un brutto tiro, violando il Grande Firewall, una sorta di Grande Muraglia digitale in grado di bloccare tutte le connessioni basate su richieste ‘sensibili’.

La Repubblica Popolare cinese dispone di un sistema di sorveglianza considerato tra i più sofisticati al mondo, basato su un sistema di ‘ispezione’ del traffico http volto a determinare la presenza di determinate parole o espressioni particolarmente invise al governo di Pechino, che si giustifica dicendo di voler solo combattere la pornografia, la pedofilia e il terrorismo.

La lista delle parole sgradite comprende comunque 238 termini, dei quali soltanto 18 riguardano  la pornografia. Gli altri sono legati alla politica e a svariati altri argomenti.

Oltre a nomi di personalità malviste dalle autorità (da Bao Tong a Hu Xingdou) anche espressioni come 'China liberal’, ‘dipartimento della propaganda’, ‘Patriots Alliance’, ‘banlieu francesi’, ‘Falun Gong’, ‘indipendenza del Tibet’, ‘questioni ambientali’.

Secondo il direttore del Dipartimento dell'Informazione cinese Cai Wu “i blog e i motori di ricerca sono sempre più invasi da contenuti immorali e illegali e siamo decisi a prendere tutte le contromisure necessarie per mettere il sistema sotto controllo”.

Come se già lo fosse poco, verrebbe da aggiungere.

Tornando comunque alla cronaca, secondo il professor Richard Clayton dell’Università di Cambridge – che ha presentato un white paper dal titolo 'Ignoring the Great Firewall of China’ al 6° Workshop on Privacy Enhancing Technologies – il sistema di censura cinese sarebbe affetto da qualche ‘difettuccio’ che non solo ne potrebbe rendere del tutto inefficace il funzionamento, ma potrebbe anche trasformare il Grande Firewall in uno strumento in grado di lanciare attacchi DoS contro indirizzi IP del Paese.

Clayton ha dimostrato che il firewall cinese, che utilizza routers di \Cisco Systems¤, si basa sull’ispezione dei pacchetti per identificare contenuti ritenuti inopportuni, piuttosto che sul loro blocco in toto.

Quando il sistema intercetta una parola chiave, reagisce inviando pacchetti ‘resettatori’ ai punti finali della connessione, la quale quindi dovrebbe essere interrotta.

I ricercatori hanno però scoperto che, dal momento che i pacchetti originali passano attraverso il firewall intatti, ‘ignorando’ il sistema dei pacchetti di reset il traffico può essere scambiato senza ostacoli.

“Se si ignorano i pacchetti di reset ad entrambi i lati della connessione, cosa abbastanza semplice da fare, le connessioni funzionano normalmente”, ha spiegato Clayton.

I pacchetti incriminati, infatti, non vengono chiusi ma cestinati e, dunque, “il Grande Firewall è completamente inefficace”, ha detto ancora Clayton.

Dal momento che la funzione di ispezione dei pacchetti è interamente apolide, ha aggiunto Clayton, “è inoltre possibile inviare un singolo pacchetto TCP che contiene una parola in grado di innescare il sistema di blocco – ad esempio Falun – falsificando l’indirizzo del pacchetto. Il firewall blocca quindi la connessione tra l’indirizzo di destinazione e la fonte per almeno un’ora” ed è dunque possibile lanciare un attacco DoS verso indirizzi specifici.

I risultati dei test di Clayton e del suo team daranno molto da pensare alle Autorità cinesi che vorranno sicuramente rafforzare i sistemi di sorveglianza, sebbene potrebbe non essere un’operazione tanto semplice.

Probabilmente, invece, cambierà poco per gli utenti cinesi dal momento che le loro attività sul web verranno registrate e investigate  comunque.

“Solo se tutti ignoreranno i pacchetti di reset, infatti, i residenti potranno sostenere che la loro ‘evasione’ non è intenzionale”, ha aggiunto Clayton.

I risultati assumono anche un’importanza sostanziale per gli altri Paesi, le istituzioni e le aziende che usano simili meccanismi di reset per proteggere i loro interessi.

“Essi dovranno tenere conto che il blocco conta sulla ‘compiacenza’ di coloro che vengono bloccati. I Paesi più piccoli della Cina possono dunque correre un rischio maggiore di attacchi DoS poiché probabilmente hanno meno endpoint tra i loro confini”, ha concluso Clayton.