Atualização fracassada do Great Firewall ameaça censura na Internet na China

Pesquisadores concluíram que os esforços da China para censurar o tráfego transmitido por Conexões de Internet UDP Rápidas (QUIC) são falhos e expõem o país a ataques que enfraquecem seu sistema de censura ou até mesmo restringem o acesso a resolvedores de DNS alternativos. Os operadores do Escudo Dourado, também conhecido como o Grande Firewall da China, começaram a bloquear algumas conexões QUIC já em abril de 2024, mas o fazem de forma pontual.

Fonte da imagem: unsplash.com

As descobertas foram publicadas na semana passada em um artigo de pesquisadores da Universidade de Massachusetts Amherst, da Universidade Stanford, da Universidade do Colorado em Boulder e do grupo ativista Great Firewall Report. O artigo, intitulado “Expondo e Contornando a Censura QUIC Baseada em SNI no ‘Grande Firewall da China'”, será apresentado no Simpósio de Segurança USENIX na próxima semana.

QUIC é um protocolo de internet desenvolvido pelo Google no final de 2012. Ele utiliza o Protocolo de Datagrama do Usuário (UDP) em vez do Protocolo de Controle de Transmissão (TCP), permite a multiplexação de múltiplos fluxos de dados e inclui recursos de criptografia equivalentes a TLS e SSL. O QUIC tem menor latência de conexão e transmissão do que o TCP, mas ainda permite alguma perda de pacotes devido ao bom alinhamento dos limites dos blocos criptográficos com os limites dos pacotes. Especialistas afirmam que pelo menos 10% dos sites usam o QUIC atualmente, incluindo muitos serviços fornecidos pelo Meta✴ e pelo Google.

A China utiliza o Grande Firewall da China (GFC) para bloquear os sites de ambas as empresas, portanto, a atualização do QUIC parece uma extensão sensata de seu regime abrangente de censura. Os pesquisadores observaram que os dispositivos de censura QUIC estão localizados na mesma rede que os dispositivos GFC existentes, sugerindo que compartilham a mesma infraestrutura e abordagens de gerenciamento.

«A lista negra do QUIC do Grande Firewall da China é significativamente diferente das listas negras usadas para censurar TLS, HTTP ou DNS na China, afirma o artigo. “Em particular, a lista negra do QUIC tem aproximadamente 60% do tamanho da lista negra do DNS em termos de domínios. Surpreendentemente, muitos desses domínios nem sequer suportam o QUIC, o que torna incerto o motivo pelo qual eles acabariam em uma lista negra específica do QUIC.”

Os pesquisadores também notaram “peculiaridades de análise” em que o VKF tentava processar cargas úteis QUIC não compatíveis, desperdiçando recursos processando pacotes que não eram tentativas de acessar sites proibidos.

O artigo também argumenta que a China não consegue bloquear todo o tráfego QUIC e que a taxa de sucesso das tentativas de censura varia de acordo com o horário do dia. Após testar o bloqueio QUIC em Pequim, Xangai e Guangzhou, os pesquisadores encontraram “um padrão diurno claro nas três cidades, com taxas de bloqueio atingindo o pico nas primeiras horas da manhã e diminuindo ao longo do dia”.

Como explica o artigo, “o QUIC criptografa todos os pacotes, ao contrário do TLS, em que o nome do servidor de destino é enviado em texto não criptografado. No QUIC, até mesmo a primeira mensagem do handshake, a Inicial do Cliente QUIC, é criptografada, embora usando uma chave que pode ser obtida por um observador passivo da rede.” Isso significa que um censor que desejasse bloquear conexões QUIC com base no campo Indicação do Nome do Servidor (SNI) precisaria descriptografar o primeiro pacote de cada conexão QUIC para determinar o site de destino, aumentando drasticamente os custos operacionais e tornando as velocidades de bloqueio sensíveis à carga da rede, que varia ao longo do dia.

Os problemas descobertos com o processamento dos pacotes QUIC originais levaram os autores do artigo a considerar a possibilidade de enfraquecer deliberadamente a capacidade de censura da China enviando pacotes QUIC para o VCF. Após realizar experimentos que não interromperam a internet chinesa, os pesquisadores concluíram que isso poderia enfraquecer significativamente a infraestrutura do VCF de fora da China.

Os pesquisadores também descobriram que o bloqueador QUIC da VKF permite o lançamento de um “ataque de disponibilidade”, que aciona intencionalmente a censura. Os sistemas de censura geralmente removem o bloqueio do tráfego após alguns minutos, mas os invasores podem enviar intencionalmente pacotes falsos adicionais para manter a censura. Tal ataque poderia bloquear o acesso da China a todos os resolvedores de DNS estrangeiros públicos ou raiz, causando uma interrupção generalizada na resolução de nomes de domínio no país.

«”Defender-se contra esse ataque e, ao mesmo tempo, aplicar censura é difícil devido à facilidade de falsificação de pacotes UDP”, afirma o artigo. “É necessário um design cuidadoso para garantir que os censores possam aplicar bloqueios direcionados ao QUIC, prevenindo, ao mesmo tempo, ataques de disponibilidade.”

Os pesquisadores temiam que seu trabalho pudesse prejudicar a internet chinesa e seus cidadãos, então o divulgaram às autoridades chinesas em janeiro de 2025. Em março, os autores observaram mudanças no comportamento do VCF, uma análise que mostra que os desenvolvedores do VCF conseguiram neutralizar a vulnerabilidade apenas parcialmente.

Os autores não revelaram às autoridades chinesas a possibilidade de degradação do desempenho do VKF à medida que a carga da rede aumentava, mas compartilharam essas informações com comunidades anticensura, após o que as informações foram divulgadas publicamente.

«”Escolhemos essa estratégia de divulgação porque o ataque que degrada o desempenho afeta apenas a infraestrutura do VCF, não os usuários. Divulgar as informações ao censor em particular permitiria que ele fortalecesse seus mecanismos de censura antes que a comunidade anticensura mais ampla descobrisse a vulnerabilidade e aprendesse com ela”, explicaram os autores.

Fonte da imagem: pexels.com

Em fevereiro de 2025, um grupo de cientistas e especialistas em segurança cibernética relatou a vulnerabilidade Wallbleed no Grande Firewall da China, descoberta em 2021. Eles a exploraram continuamente por quatro anos, tentando entender os mecanismos do sistema, sobre o qual quase não há informações públicas. Em particular, descobriram que os dados permaneciam na memória do equipamento por entre zero e cinco segundos, e seus processadores centrais tinham uma arquitetura x86_64. Eles também descobriram que os nós intermediários vulneráveis processavam tráfego de centenas de milhões de endereços IP chineses, ou seja, de quase todo o país.

Wallbleed não é a primeira vulnerabilidade descoberta no sistema de bloqueio de recursos da China. Em 2010, foi publicado na internet um script que, devido a uma vulnerabilidade no DNS, permitiu que 122 bytes de dados adicionais fossem obtidos da memória de servidores de firewall.