Encrypted Cliente Hello (ECH) sigue su camino para convertirse en un estndar que dejar a los proveedores de internet sin posibilidad de inspeccionar las cabeceras HTTPS de las webs a las que acceden los clientes con el fin de ejecutar el bloqueo de webs.

Las operadoras interceptan el SNI para bloquear webs

Aunque la web actual est ampliamente cifrada gracias a la popularizacin de HTTPS, TLS (Transport Layer Security) tiene un taln de Aquiles llamado SNI (Server Name Indication), una cabecera que el cliente enva al servidor en texto plano sin cifrar al inicio de la conexin, donde se indica el nombre del dominio al que quiere conectarse.



A diferencia de lo que ocurra antao, los proveedores de internet ya no pueden saber qu hacen sus clientes dentro de una web ni conocer el contenido de los datos intercambiados, pero siguen teniendo acceso al nombre de la web accedida. Los equipos de inspeccin profunda de paquetes que los operadores tienen instalados, analizan en tiempo real el trfico cursado en busca de cabeceras SNI y utilizan esta informacin para aplicar "medidas razonables de gestin del trfico", una posibilidad que la legislacin sobre neutralidad de la red les permite. Una de las medidas autorizadas1 es "cumplir los actos legislativos [] incluidas las sentencias de tribunales o autoridades pblicas", es decir, detectar cuando un usuario accede a una web que un tribunal u organismo equivalente ha declarado ilegal y bloquearla, impidiendo que el usuario acceda.


Si eres cliente de Movistar, Orange, Vodafone o MsMvil solo hace falta que introduzcas en tu navegador el nombre de una de las muchas webs bloqueadas para ver cmo este mecanismo entra en accin.


Mensaje
Movistar ERROR 404 - File not found
Orange Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta operadora
Vodafone Por causas ajenas a Vodafone, esta web no est disponible
MsMvil Object not found
Respuesta de diferentes operadoras al acceder a la web bloqueada pirlotvonline.net

Las operadoras son parte interesada en los bloqueos

The Telegraph desvel a principios de enero que Vodafone, Telefnica, Orange, y T-Mobile haban escrito una carta a la Comisin Europea pidiendo que se impida que Apple ofrezca iCloud Private Relay a los usuarios de iPhone en Europa. Este servicio es una especie de VPN que crea un tnel cifrado entre el terminal y los servidores de Apple, de forma que todo el trfico de internet que genera el usuario queda oculto para los intermediarios.
Al utilizar una VPN como Private Relay o alternativas como Warp, todo el trfico viaja cifrado, por lo que el proveedor de internet no tiene forma de leer el SNI. Aunque las VPN existen desde hace aos, iCloud Private Relay supone la primera amenaza real para las operadoras, al tratarse de un servicio ampliamente disponible y activable con solo un checkbox. Ni a la administracin ni a las operadoras les interesa perder el acceso al SNI, pues se quedan sin el instrumento bsico para impedir el acceso a servicios declarados ilegales.

No olvidemos que las operadoras no son una vctima obligada a tener que bloquear, sino parte interesada en que el bloqueo exista. Muchos de los dominios prohibidos se dedican a la difusin ilegal de contenidos audiovisuales, compitiendo con sus plataformas de TV.

Una de las varias listas de dominios prohibidos que existen es la que la divisin audiovisual de Telefnica mantiene, gracias a la sentencia que en febrero de 2020 le otorg potestad para incluir en ella los nuevos dominios que aparezcan haciendo de espejo de 44 webs prohibidas. Lo que pas desapercibido en ese momento es que tras denunciarse Telefnica a s misma, adems de a Vodafone, Orange, MsMvil, Euskaltel, R y Lycamobile, ninguna operadora litig. As lo seala un anlisis de la sentencia2, lo que invita a pensar que la denuncia solo buscaba el respaldo legal para algo a lo que haban decidido someterse de antemano.
En su escrito de contestacin, las demandadas se allanaron totalmente a las pretensiones de la demandante por lo que el tribunal, con fecha 11 de febrero de 2020, dict sentencia en la causa estimando totalmente la demanda de autos.
El acuerdo voluntario al que ms tarde llegaron las operadoras con los propietarios de los derechos y con la supervisin del Ministerio de Cultura apunta en la misma direccin.

eSNI se salta el bloqueo de las operadoras, pero ya no funciona

Para las operadoras y la industria de contenidos hay una amenaza mayor que Private Relay en el horizonte y es que en el futuro el campo SNI estar cifrado y ser imposible conocer su contenido.

En septiembre de 2018, tres empleados de Cloudflare, Fastly y Apple publicaban el primer borrador de Encrypted Server Name Indication for TLS 1.3, una mejora para HTTPS que cifra el contenido del SNI. Cloudflare lo implementaba en sus servidores mientras que Firefox le daba soporte experimental en su navegador. Al activar eSNI y DoH en Firefox, pudimos comprobar cmo el sistema DPI de las operadoras era incapaz de interceptar la comunicacin y cualquier web bloqueada alojada en Cloudflare volva a estar disponible.

Lamentablemente durante este periodo de pruebas los creadores de eSNI encontraron ms puntos dbiles en el establecimiento de la sesin TLS que podran facilitar el desarrollo de nuevas tcnicas para interceptar el trfico, as que decidieron ampliar el mbito de los metadatos protegidos ms all del SNI, lo que dio lugar a que el estndar se renombrase como ECH (Encrypted Cliente Hello).

ECH, el golpe final al bloqueo de webs

En enero de 2021 Firefox anunciaba que retiraba eSNI de su navegador sustituyndolo por ECH, una decisin que muchos juzgaron precipitada, ya que dejaba a los usuarios repentinamente sin mecanismo antibloqueos, puesto que Cloudflare segua utilizando eSNI y no ECH. A da de hoy esta situacin no ha cambiado, por lo que la nica forma de usar eSNI es utilizar una versin de Firefox anterior a la 85.

Mientras tanto, el borrador de ECH ya va por la versin 13 camino de su aprobacin final para convertirse en un estndar. Cuando esto ocurra, todos los navegadores y servidores web como Apache o Nginx debern soportarlo. Con su popularizacin, las operadoras se quedarn sin posibilidad de saber a qu webs acceden sus clientes y por tanto de ejecutar bloqueos.

Es previsible que antes de que esto ocurra, las partes interesadas hagan lobby de nuevo para impedir que ECH venga activado por defecto y tenga una amplia difusin.

Fuente:
https://bandaancha.eu/articulos/ech-sni-bloqueo-webs-operadoras-10158
Mas info: