Не секрет, что во многих странах мира действует цензура в интернете. Кто-то блокирует сайты с торрентами и казино, кто-то — политические сайты определённой тематики, а некоторые блокируют целые социальные сети типа Facebook и Twitter, чтобы вообще запретить людям общаться друг с другом.
Редко удаётся изучить всю подноготную государственной цензуры в какой-нибудь стране. «Чёрные списки» сайтов часто засекречены. Тем более неизвестно, насколько корректно работает файрвол и система DPI, как часто происходят сбои и сколько граждан сумели обойти государственную цензуру. Благодаря хакерам из группировки Telecomix у нас появилась такая возможность.
Летом 2011 года хакерская группа Telecomix взломала несколько государственных сетей в Сирии и обнаружила на одном из FTP-серверов лог-файлы с устройств Proxy SG 9000 производства американской компании Blue Coat Systems. Это универсальные устройства, которые используются для глубокой инспекции трафика по установленным правилам, чтобы отфильтровать запросы к запрещённым ресурсам.
Хакеры выложили найденные файлы в открытый доступ, и нашлась группа учёных, которая решила провести академическое исследование на их основе. Они потратили несколько месяцев на анализ 700 гигабайт логов. На недавней конференции ACM Internet Measurement Conference представлены результаты этого исследования.
Как выяснилось, интернет-трафик в Сирии фильтровался несколько лет. Для блокировки передачи определённых веб-страниц проверялись IP-адреса и доменные имена сайтов, а также использовались ключевые слова. Полной цензуре подвергались текстовые сообщения в IM-мессенджерах, в том числе Skype, и сообщения на форумах, как Reddit. Социальные сети проверялись по ключевым словам, таким как «сирийская революция».
В таблице приведён список самых популярных разрешённых сайтов (в левой колонке) и процент запросов к ним в общем трафике, а также наиболее запрашиваемые запрещённые домены (справа).
Исследователи выявили несколько интересных фактов. Например, оборудование было сконфигурировано на запрет всех запросов с ключевым словом “proxy”, хотя под такой запрет попадало и много легитимных сервисов.
Однако, сирийцы умудрялись обойти государственную цензуру. Они скачивали запрещённый контент через BitTorrent, заходили на запрещённые через Tor и просматривали запрещённые страницы через кеш Google.
В целом, отчёт специалистов из Торонто представляет собой эдакий вводный курс по обходу DPI.