Simple Science

Ciencia de vanguardia explicada de forma sencilla

# Informática# Criptografía y seguridad

Entendiendo la manipulación de DNS y los métodos de censura

Una mirada a cómo la manipulación del DNS afecta el acceso a internet y la conciencia del usuario.

― 6 minilectura

Censura DNS ExpuestaCensura DNS Expuestatécnicas de censura en línea.Revelando la verdad detrás de las
Tabla de contenidos

La censura en internet a menudo implica bloquear el acceso a sitios web o contenido específicos. Un método común que utilizan los censores es la manipulación de DNS. Esta técnica altera la forma en que se traduce un nombre de dominio a una dirección IP que las computadoras usan para conectarse a los sitios web. Cuando ocurre esta manipulación, los usuarios pueden encontrar que no pueden acceder al contenido que quieren o pueden ser redirigidos a páginas engañosas.

Detectar la manipulación de DNS es crucial para entender cómo operan los censores y para ayudar a los usuarios a recuperar el acceso al contenido bloqueado. Los métodos tradicionales para detectar este tipo de censura no han sido muy efectivos, especialmente con el aumento de las redes de entrega de contenido (CDNs) y otros servicios en la nube que complican el panorama de internet.

Manipulación de DNS Explicada

La manipulación de DNS ocurre cuando alguien altera las respuestas normales de DNS para evitar que los usuarios lleguen a ciertos sitios web. Esto puede suceder de varias maneras, como devolver direcciones IP incorrectas, redirigir a los usuarios a diferentes sitios o mostrar mensajes de error. Por ejemplo, un usuario que intenta visitar un sitio de noticias podría ser enviado a una página que dice que el sitio ha sido bloqueado.

Dos escenarios comunes de manipulación de DNS incluyen:

  1. Caída del Resolutor de DNS: Esto ocurre cuando un atacante corta la conexión, haciendo imposible resolver un nombre de dominio.

  2. Respuestas de DNS Manipuladas: Esto implica devolver una dirección IP incorrecta o una página especial que indica que se ha denegado el acceso.

Desafíos en la Detección de Manipulación de DNS

Detectar la manipulación de DNS no es fácil. Varios factores pueden dificultarlo, como:

  • El comportamiento de los diferentes censores puede variar según el país.
  • Los sitios web a menudo usan CDNs y localización, lo que puede enmascarar los intentos de manipulación.
  • Falta de señales claras que indiquen si ha ocurrido manipulación.

Los métodos de detección tradicionales principalmente comparan las respuestas de DNS de fuentes confiables con las de fuentes potencialmente manipuladas. Sin embargo, este enfoque puede llevar a una gran cantidad de falsos positivos: casos donde las respuestas normales son incorrectamente marcadas como manipulativas.

Nuevas Técnicas para la Detección

Para abordar estos desafíos, se ha desarrollado una nueva técnica llamada CERTainty. Este método utiliza certificados TLS, que se usan para asegurar sitios web y ayudar a verificar su autenticidad.

Beneficios de Usar Certificados TLS

Los certificados TLS válidos solo pueden ser emitidos a un dominio por su propietario. Si ocurre una manipulación de DNS, el certificado obtenido puede no coincidir con el nombre de dominio solicitado, proporcionando una señal clara de posible manipulación.

Las características clave de usar certificados TLS en la detección de manipulación de DNS incluyen:

  • Verificaciones de Validez: Al verificar si el certificado devuelto coincide con el nombre de host esperado, podemos determinar si ha ocurrido manipulación.
  • Reconocimiento de Páginas de Bloqueo: Ciertos tipos de páginas, como las páginas de bloqueo que informan al usuario sobre restricciones, también pueden señalar manipulación de DNS.

Hallazgos de las Medidas de DNS

Usando el método CERTainty, los investigadores llevaron a cabo mediciones extensas para evaluar la prevalencia de la manipulación de DNS en todo el mundo. Algunos hallazgos importantes incluyen:

  • Existen numerosos productos comerciales de filtrado de DNS utilizados en muchos países.
  • Se han identificado un número significativo de nuevos patrones de páginas de bloqueo, que no estaban cubiertos por investigaciones anteriores.
  • Se ha encontrado evidencia de manipulación de DNS a nivel de ISP en varios países.

Productos Comerciales de Filtrado

El estudio identificó 17 productos comerciales de filtrado de DNS que operan en 52 países. Algunos productos conocidos incluyen SafeDNS, SkyDNS y Fortinet. Muchos de estos productos devolvieron direcciones IP similares en diferentes países, indicando un enfoque coordinado al filtrado de DNS.

Manipulación a Nivel de ISP

La investigación encontró casos donde los proveedores de servicios de internet (ISPs) estaban directamente involucrados en la manipulación de DNS. Además de los productos comerciales, se encontró que muchos ISPs estaban utilizando sus propios mecanismos para bloquear contenido. Esto incluía devolver certificados inválidos y redirigir a los usuarios a páginas específicas al intentar acceder a contenido restringido.

Páginas de Bloqueo

Los investigadores identificaron un total de 226 nuevos clústeres de páginas de bloqueo. Estos clústeres proporcionan información sobre cómo se implementa la censura y las diferentes estrategias utilizadas en varias regiones. La presencia de estas nuevas páginas de bloqueo indica que los censores están adaptando continuamente sus técnicas.

Implicaciones de los Hallazgos de la Investigación

Los resultados de esta investigación son significativos por varias razones:

  1. Mejor Detección: Al integrar verificaciones de certificados TLS, la detección de manipulación de DNS se vuelve más precisa. Esto contribuye a una comprensión más clara de las prácticas de censura.

  2. Aumentar la Conciencia: Destacar cuán generalizada puede ser la manipulación de DNS ayuda a los usuarios a reconocer tácticas de censura, lo que lleva a una mayor conciencia de los derechos digitales.

  3. Apoyar la Libertad en Internet: Métodos de detección mejorados pueden empoderar a investigadores, activistas y organizaciones para desarrollar mejores herramientas para eludir la censura.

Direcciones Futuras de Investigación

La investigación continua es esencial para adaptarse a la naturaleza en constante cambio de la censura en internet. Los estudios futuros podrían explorar:

  • Efectos Longitudinales: Analizar cambios en las prácticas de manipulación de DNS a lo largo del tiempo.

  • Variaciones Geolocalizadas: Investigar cómo las prácticas difieren según la ubicación de los usuarios.

  • Experiencia del Usuario: Entender cómo la manipulación de DNS impacta la capacidad de los usuarios para acceder a información.

Conclusión

La manipulación de DNS es un problema crítico que afecta el acceso a la información en línea. Los métodos tradicionales de detección tienen limitaciones, lo que lleva a imprecisiones y malentendidos sobre la extensión de la censura. Al adoptar técnicas innovadoras como CERTainty, los investigadores pueden mejorar las tasas de detección y contribuir a una mejor comprensión del complejo panorama de la censura en internet.

Los hallazgos de esta investigación brindan valiosos conocimientos sobre los métodos utilizados por los censores en todo el mundo. También resaltan la importancia de empoderar a los usuarios y apoyar los esfuerzos para promover la libertad en internet, asegurando que el acceso a la información siga siendo abierto y disponible para todos.

Fuente original

Título: CERTainty: Detecting DNS Manipulation at Scale using TLS Certificates

Resumen: DNS manipulation is an increasingly common technique used by censors and other network adversaries to prevent users from accessing restricted Internet resources and hijack their connections. Prior work in detecting DNS manipulation relies largely on comparing DNS resolutions with trusted control results to identify inconsistencies. However, the emergence of CDNs and other cloud providers practicing content localization and load balancing leads to these heuristics being inaccurate, paving the need for more verifiable signals of DNS manipulation. In this paper, we develop a new technique, CERTainty, that utilizes the widely established TLS certificate ecosystem to accurately detect DNS manipulation, and obtain more information about the adversaries performing such manipulation. We find that untrusted certificates, mismatching hostnames, and blockpages are powerful proxies for detecting DNS manipulation. Our results show that previous work using consistency-based heuristics is inaccurate, allowing for 72.45% false positives in the cases detected as DNS manipulation. Further, we identify 17 commercial DNS filtering products in 52 countries, including products such as SafeDNS, SkyDNS, and Fortinet, and identify the presence of 55 ASes in 26 countries that perform ISP-level DNS manipulation. We also identify 226 new blockpage clusters that are not covered by previous research. We are integrating techniques used by CERTainty into active measurement platforms to continuously and accurately monitor DNS manipulation.

Autores: Elisa Tsai, Deepak Kumar, Ram Sundara Raman, Gavin Li, Yael Eiger, Roya Ensafi

Última actualización: 2023-05-14 00:00:00

Idioma: English

Fuente URL: https://arxiv.org/abs/2305.08189

Fuente PDF: https://arxiv.org/pdf/2305.08189

Licencia: https://creativecommons.org/licenses/by/4.0/

Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.

Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.

Enlaces de referencia
Temas referenciados

Más de autores

Artículos similares