- Para peneliti telah mengidentifikasi kerentanan di firewall besar China
- Firewall berupaya memblokir koneksi quic
- Upaya pemblokiran membuat negara terbuka
Peningkatan ke Great Firewall (GFW) China belum berjalan sesuai rencana, dan ‘cacat kritis’ yang dihasilkan mengurangi efektivitas firewall dalam memoderasi beban lalu lintas, peneliti telah menemukan. Upaya oleh Cina untuk menyensor jenis lalu lintas internet tertentu di negara itu telah membuat negara berisiko dan rentan terhadap serangan;
‘Kami [..] Tunjukkan bahwa mekanisme sensor ini dapat dipersenjatai untuk memblokir lalu lintas UDP antara tuan rumah sewenang -wenang di Cina dan seluruh dunia. Kami berkolaborasi dengan berbagai komunitas open-source untuk mengintegrasikan strategi pengelakan ke dalam Mozilla Firefox, perpustakaan quic-go, dan semua alat penambahan berbasis quic utama. ‘
Makalah ini ditulis oleh para peneliti dari Great Firewall Report Great Firewall, serta Universitas Stanford, Universitas Massachusetts Amherst, dan Universitas Colorado Boulder – dan berjudul ‘Mengekspos dan Menghindari Sensor Quic yang Berbasis SNI yang berbasis di Great Firewall of China’.
Sensor Internet
Kerentanan berasal dari upaya China untuk memblokir koneksi internet UDP cepat (QUIC) – protokol jaringan lapisan transportasi yang dirancang untuk menggantikan Transmisi Control Protocol (TCP) karena keamanannya yang dibangun, fleksibilitas, dan lebih sedikit masalah kinerja.
Quic ditemukan oleh pekerja di Google pada tahun 2012, dan setidaknya 10% situs menggunakan protokol – dengan banyak situs Google dan meta termasuk. Kedua organisasi ini diblokir oleh GFW, sehingga memblokir koneksi quic tampaknya menjadi perpanjangan dari ini, meskipun para peneliti mencatat bahwa tidak semua lalu lintas quic diblokir dengan sukses.
Mekanisme yang digunakan untuk memblokir koneksi quic rentan terhadap serangan yang dapat memblokir semua penyelesaian DNS terbuka atau root di luar Cina dari akses dari dalam negara, yang mengakibatkan kegagalan DNS yang meluas;
“Membela serangan ini sementara masih menyensor sulit karena sifat tanpa kewarganegaraan dan kemudahan spoofing paket UDP,” kertas menjelaskan. “Rekayasa yang cermat akan diperlukan untuk memungkinkan sensor menerapkan blok yang ditargetkan di QUIC, sementara secara bersamaan mencegah serangan ketersediaan.”
Melalui; Register
