Siti Web irraggiungibili e connessioni interrotte: ecco il Paese che ha chiuso HTTPS

Come reagireste se non riuscite più a visitare Google, il vostro sito di informazione preferito, ChatGPT o qualunque altra applicazione disponibile sul Web? Probabilmente segnalereste il problema al vostro provider Internet di riferimento. E se questo vi rispondesse che il problema non è suo ma di un firewall di Stato che “spia” tutte le connessioni, comprese quelle HTTPS? È quanto appena successo in terra cinese: il Great Firewall (GFW), sistema di censura e controllo del traffico Internet in Cina, ha mostrato un comportamento insolito che ha catturato l’attenzione di ricercatori e analisti di cybersecurity.

Per circa 74 minuti il firewall ha iniettato pacchetti TCP RST+ACK falsificati su tutte le connessioni in entrata e uscita sulla porta TCP 443, interrompendo di fatto tutte le connessioni HTTPS senza alcuna distinzione. Dopo questo periodo, il sistema è tornato a funzionare con i normali schemi di filtraggio.

Perché la porta 443 è importante

La porta 443 è quella tipicamente utilizzata dal protocollo HTTPS, la versione sicura di HTTP, che crittografa il traffico tra client e server rendendo difficile l’intercettazione o la manipolazione dei dati. Interferire con questa porta significa, di fatto, impedire agli utenti di stabilire connessioni sicure verso qualsiasi sito Web, creando un blackout temporaneo della navigazione protetta.

Sulla porta 443 transita di default tutto il traffico da e verso i siti Web di qualunque genere: tutti quelli che riportano https:// all’inizio del rispettivo indirizzo.

Il comportamento evidenziato da Great Firewall non ha interessato altre porte comunemente utilizzate, con un cambiamento nel pattern di censura che suggerisce una strategia più mirata e forse sperimentale.

Il Great Firewall: natura, funzionamento e limiti della censura

Il Great Firewall cinese è il più esteso e complesso sistema di censura e sorveglianza della rete Internet esistente al mondo. Non si tratta di un singolo dispositivo o di un unico software, bensì di un’architettura distribuita composta da middlebox, router e “sonde” di ispezione collocate strategicamente nei punti di interconnessione tra le reti cinesi e il resto di Internet.

La sua funzione primaria è controllare, filtrare e bloccare il traffico ritenuto pericoloso per la stabilità politica e sociale del Paese, garantendo al governo centrale la capacità di regolare il flusso di informazioni in entrata e in uscita.

In Cina, la connettività internazionale è regolata da pochi grandi operatori statali. Ciò significa che tutto il traffico Internet in entrata e in uscita passa attraverso pochi punti di interscambio (IXP), nei quali è possibile installare apparati di ispezione e filtraggio. A differenza di quanto accade in Europa o negli USA, dove la rete è molto più dinamica e frammentata, la Cina fa perno su di un’infrastruttura “a imbuto”, che facilita l’intercettazione sistematica.

Il GFW non è solo tecnologia, ma anche strumento normativo e coercitivo. Le normative vigenti nel Paese orientale sanciscono l’obbligo per i provider di cooperare con le autorità nella censura e nel tracciamento del traffico. In altre parole, non è solo “possibile”, ma legalmente imposto che i dati siano filtrati e monitorati.

Come funziona tecnicamente

GFW opera facendo uso di diverse tecniche di censura attiva e passiva:

• DNS poisoning: manipolazione delle risposte DNS per impedire la risoluzione corretta di domini proibiti.
• IP blocking: rifiuto diretto delle connessioni verso specifici indirizzi IP.
• URL filtering: ispezione delle richieste HTTP e blocco di URL contenenti parole chiave vietate.
• SNI filtering: analisi del campo Server Name Indication (SNI) nelle connessioni TLS per identificare i domini richiesti.
• Injection di pacchetti TCP RST: terminazione forzata delle connessioni mediante l’invio di pacchetti di reset falsificati.

Tutte queste tecniche, combinate, permettono un controllo granulare sul traffico, sia a livello di contenuto, sia a livello di protocollo e destinazione.

Ma HTTPS non è crittografato? I dati non sono protetti?

Un aspetto cruciale è che le connessioni HTTPS – basate su TLS (Transport Layer Security) – offrono cifratura end-to-end del contenuto, rendendo i contenuti illeggibili per tutti i soggetti e i dispositivi che si trovano in mezzo alla comunicazione (stop agli attacchi man-in-the-middle).

GFW non può quindi decifrare direttamente ciò che gli utenti trasmettono o ricevono, a meno di non compromettere i certificati digitali o condurre attacchi “rumorosi”. Per questo motivo, la censura del GFW sulle connessioni HTTPS si concentra sugli elementi non cifrati visibili all’inizio della sessione:

1. l’indirizzo IP del server di destinazione;
2. il nome del dominio contenuto nel SNI durante l’handshake TLS;
3. il numero di porta utilizzato (tipicamente la 443/TCP).

In assenza di accesso ai dati trasferiti, il firewall si limita a bloccare l’intera connessione se rileva indicatori proibiti.

Rischi per gli utenti: cosa accade in caso di traffico sospetto?

L’infrastruttura del GFW non si limita a bloccare, ma può anche tracciare e correlare le attività. Gli scenari possibili sono diversi.

Nella maggior parte dei casi, l’utente comune che tenta di accedere a un sito vietato (i.e. Wikipedia in cinese, servizi Google, social network esteri) sperimenta solo un reset della connessione o una pagina non raggiungibile. La restrizione è automatica, senza intervento umano diretto.

Quando il traffico appare particolarmente “anomalo” (uso di VPN non autorizzate, Tor, protocolli di tunneling cifrati non standard), i pacchetti possono essere registrati e analizzati offline. In alcuni casi, ciò può portare alla creazione di blacklist temporanee sugli IP degli utenti, impedendo loro l’uso di certi servizi per un periodo di tempo.

In contesti più delicati, soprattutto se il traffico è legato a contenuti politici o attività ritenute “sovversive”, gli utenti possono essere oggetto di identificazione tramite ISP, contatti da parte della polizia locale per “colloqui di chiarimento” e procedimenti giudiziari con accuse di diffusione di contenuti illegali o destabilizzanti.

Mentre l’uso privato di VPN “per guardare Netflix” può passare inosservato, la partecipazione a forum di dissidenti, l’organizzazione di proteste online o la diffusione di documenti sensibili può portare a conseguenze molto gravi.

Note finali

Tecnicamente, il middlebox del GFW che effettua l’ispezione riconosce una sequenza di byte “vietata” (ad esempio nel nome di dominio richiesto durante l’handshake TLS). A quel punto genera un pacchetto reset con flag RST+ACK e indirizzi/IP contraffatti, fingendo che provenga da uno dei due endpoint (mittente o destinatario).

Nel protocollo TCP, se un endpoint riceve un pacchetto con flag RST (Reset) e numeri di sequenza validi, interpreta quel segnale come: “La connessione non è più valida, chiudila subito”. È un meccanismo previsto dallo standard per gestire errori di connessione o sessioni non valide.

GFW si è comportato, in quei 74 minuti menzionati in apertura, come un attaccante man-in-the-middle passivo, che osserva il traffico senza necessariamente instradarlo. Quando rileva un contenuto “vietato” o sospetto, fa due cose: genera pacchetti TCP RST+ACK falsificati e li invia a entrambe le parti (ad esempio sia al client che al server remoto). In questo modo entrambi ricevono un segnale di “connessione chiusa”.

Come ha ben evidenziato l’incidente delle scorse ore, la cifratura HTTPS protegge il contenuto dei dati, ma non protegge il canale dall’essere brutalmente terminato. Facile quindi che l’intervento dovesse essere applicato su qualche sito Web occidentale mentre, forse per un errore di configurazione (o un test?), la restrizione è stata applicata sul traffico HTTPS nella sua interezza.