25 enero 2009

El Escudo Dorado


El Escudo Dorado (the Golden Shield), también conocido como el Gran Cortafuegos de China (the Great Firewall of China), es un gigantesco sistema informático dedicado a la represión y a la censura de todo lo que entra o sale de China a través de Internet.

A finales de los 90, Internet suponía una nueva amenaza para la tiranía comunista china. La gerontocracia china era consciente de que Internet era un medio que escapaba a su control y que permitiría a los chinos acceder a contenidos sin censurar, exponer sus opiniones, organizarse y denunciar los abusos comunistas... en resumen: Internet era, para un país con 137 millones de internautas, una auténtica vía de entrada de la Democracia. Por supuesto, los jerarcas comunistas no estaban dispuestos a arriesgar su poder por lo que decidieron construir un sistema, el Escudo Dorado, capaz de controlar todos los contenidos que se intercambiasen a través de Internet desde China.

Como tantas cosas en ese país, el resultado fue colosal. Su construcción se inició en 1998 y en él se invirtieron 800 millones de dólares. Comenzó a estar operativo en 2003 y no ha sido hasta el 2008 que se han dado por finalizados todos los objetivos del diseño original. Se calcula que al menos 30.000 técnicos, funcionarios y policías se ocupan de su funcionamiento.

El Escudo Dorado se basa en una arquitectura multicapa en la que se van filtrando progresivamente los intercambios a través de Internet.

La primera capa tiene sus sistemas situados en la región de Shenzhen, cerca de Hong Kong, y es donde se centraliza el tráfico de entrada y salida de Internet. Esta capa se encarga de filtrar en función de las direcciones IP involucradas, denegando la conexión en caso de que alguno de los extremos esté incluido en una gigantesca lista negra de direcciones IP "subversivas" (entre las que se encuentran la BBC o la Voz de América). EL DNS poisoning es otra de las herramientas que se utilizan en este nivel para entorpecer el libre acceso a páginas de contenidos no autorizados. Además de lo anterior, se inspeccionan todos los paquetes de datos intercambiados para comprobar si contienen palabras "prohibidas" como Falung Gong (organización opositora) o Taiwan (nación no reconocida por China). En caso de que aparezcan este tipo de palabras, el Escudo Dorado manda un paquete de TCP reset a ambos extremos para finalizar la conexión.

El segundo nivel del Escudo Dorado se dedica a la inspección a nivel de aplicación, denegando una lista determinada de servicios. Que el servicio de una empresa esté o no en la lista negra depende en muchos casos de su docilidad con el ŕegimen. En el caso de Google, estos tuvieron que crear un índice especial para China formado por spiders con base en el país, de manera que sólo se indexase lo que permitiese el Escudo Dorado. La transigencia con este régimen de compañías como Cisco o Google, con sedes en países democráticos, sólo se explica por el jugoso mercado que supone una China con miles de millones de potenciales consumidores.

El tercer nivel es social. Miles de censores se sientan delante de ordenadores situados en plantas industriales para examinar manualmente el correo electrónico interceptado por el Escudo Dorado, así como para evaluar la conveniencia política de los artículos de las webs chinas. Hasta se han creado dos mascotas, Chacha y Jingjing, cuyo fin es aparecer regularmente en las páginas intervenidas por el Escudo Dorado para intimidar a los usuarios recordándoles que la policía política vigila Internet.

Paradójicamente, es relativamente fácil escabullirse del sistema aunque se requiere una poderosa razón para hacerlo ya que un único fallo puede atraer la atención de la temida policía política.

El cifrado puede ocultar la naturaleza de la información intercambiada aunque, en teoría, puede atraer atención (la policía pensará "si cifra tráfico es que hay algo que quiere ocultar"). Sin embargo, en la práctica, la represión generalizada del tráfico cifrado no resulta factible al ser uno de los pilares del comercio electrónico crucial para el crecimiento económico de China. Por eso, la combinación de técnicas de cifrado con otras de anonimización que eviten las listas negras de direcciones de IP deberían ser suficientes para superar las tres barreras del Escudo Dorado.

El uso de proxies puede evitar el filtrado por IP destino, y si además se combina con cifrado HTTPS se anula el filtrado por palabras prohibidas. Este es el enfoque de herramientas como UltraSurf o Freegate que utilizan una lista variable de proxies abiertos en Internet para anonimizar el destino de las conexiones de sus usuarios y ocultando el contenido de dichas conexiones mediante cifrado.

Otra opción es el llamado Onion Routing, cuyo más célebre exponente es la herramienta Tor, el cual permite tunelar de manera cifrada el tráfico a través de una lista variable de servidores intermedios. La ventaja de Tor frente a otras opciones es que, bien configurado, puede anonimizar no sólo la dirección IP de destino del tráfico sino también la dirección IP de origen. En un futuro artículo explicaré con detalle el funcionamiento de esta poderosa herramienta.

El cifrado mediante SSH o VPN-IPSec es otra opción a la hora de blindar el tráfico frente a inspecciones indeseadas, aunque en este caso habría que buscar una manera de anonimizar la IP de origen y la de destino para evitar engrosar a la larga la lista negra del primer nivel del Escudo.

Y todo ello sin tener en cuenta otras técnicas, como el uso de canales encubiertos mediante esteganografía. Y es que el Escudo Dorado es incapaz de detectar mensajes escondidos en imágenes o sonidos, tarea que requeriría unos recursos computacionales y humanos imposibles de aplicar al tráfico generado por 137 millones de personas.

Todo ello demuestra que a la hora de la verdad el Escudo Dorado ha sido más bien una medida propagandística desesperada que ha intentado "poner puertas al campo" y que quizás marque el comienzo del fin de un régimen tiránico y genocida.