Efecto LeakyMails: cientos de sitios bloqueados en Argentina

Actualización (21/08): Más repercusiones: en el sitio de la EEF (Electronic Frontier Foundation) “Argentine ISPs Use Bazooka to Kill Fly” (ISPs de Argentina usan un bazooka para matar una mosca), y en Slashdot “Argentina Censors Over a Million Blogs”, y en medios impresos locales en Clarín, La Nación y La Gaceta (muchas gracias a los medios que nos citaron como fuente!).

Actualización (19/08): Google, Electronic Frontier Foundation y Global Voices Online publicaron artículos sobre el tema: “Blogs bloqueados en Argentina” se titula la nota publicada en el Blog de Google para América Latina, que a través de la información publicada aqui en Derecho a Leer, comenzó a investigar el bloqueo, encontrando una baja del tránsito proveniente de Argentina a su servicio de blogs Blogger debida al bloqueo; la EFF mencionó el tema en una entrada semanal sobre el estado de censura en internet, reseñado el caso argentino “This Week in Internet Censorship: Egyptian Twitter User Faces Trial While Argentina and Pakistan Ratchet Up Censorship”; por último, un artículo en Global Voices Advocacy “Argentina: Judge orders all ISPs to block the sites LeakyMails.com and Leakymails.blogspot.com “, llegó a portada en Reddit.

Actualización (14/08): En los comentarios nos dejan un enlace a la segunda circular de la CNC donde explícitamente se menciona la IP en el pedido de bloqueo por parte de la justicia: DECRETAR PREVENTIVAMENTE el bloqueo por parte de los proveedores locales de servicios de Internet en el acceso al siguiente sitio web http://www.leakymails.tk (IP 216.239.32.21).


Si se intenta ingresar a los siguientes sitios desde algún ISP en Argentina (al menos lo confirmamos en Arnet y Speedy:

y otros cientos de miles más, es probable que el navegador se quede esperando una conexión hasta el infinito… El problema se debe a un “daño colateral” del bloqueo al sitio LeakyMails: según la medida cautelar dictada por el juez Sergio Torres, los ISP debían arbitrar los medios necesarios para bloquear los dominios http://www.leakymails.com y http://www.­leakymails.­blogspot.­com, luego otra resolución incluyó http://www.leakymails.tk, pero detallando además el dirección IP del sitio (216.239.32.21). Como consecuencia, según parece, algunos ISP interpretaron que para dar cumplimiento a la medida judicial debían banear la IP indicada, a la cual apuntan además de los dominios de LeakyMails, cientos de miles de otros sitios, completamente ajenos al problema pero que también quedaron bloqueados al impedirse el acceso a la IP, que corresponde a un servidor de Google con múltiples sitios (LeakyMails esta alojado en una cuenta de Blogger, servicio perteneciente a Google, que tiene sede en Argentina.

Queda por ver los aspectos técnicos del bloqueo. Desde los ISP ¿Se puede bloquear un sitio en esas condiciones, en un servidor compartido? sólo boqueando el dominio a través de los DNS del proveedor (como al parecer es el caso de Fibertel o Iplan, el bloqueo resulta tan superficial que solamente cambiando a otro servidor de DNS (como OpenDNS o el DNS público de Google se sortea el impedimento ¿tiene sentido una medida tan poco efectiva?, si no, mediante el baneo de la dirección IP (como hace Arnet o Speedy), se asegura un bloqueo más eficaz (excepto que se use un proxy, pero donde como efecto colateral, cientos de otros sitios terminan “solidariamente” bloqueados… ¿es un precio razonable? ¿no se genera un daño para tratar de reparar otro, que además poco se repara así?

¿No es mejor un “sitio culpable” accesible a cientos de sitios inocentes bloqueados?


Más sobre el tema en derechoaleer.org:


Deneéses, ipés y proxies, para newbies

Muchos de los términos utilizados para analizar este episodio son algo técnicos. Para entender un poco mejor el tema, aca intentamos una explicación, groseramente simplificada, de como funciona:

¿Qué es un DNS? Cuando escribimos la dirección URL de un sitio en un navegador web (o hacemos click en un enlace, es igual), por ejemplo “www.derechoaleer.org”, ocurren varias cosas tras bambalinas antes de ver cargado el sitio en la pantalla: lo primero es que el navegador se conecta con un “servidor de nombres” o DNS y le pregunta por la “dirección IP” de ese dominio. La dirección IP es como un número de teléfono —sin ese dato es imposible conectarse con nada en internet, o sea, como tratar de llamar por teléfono a alguien sin saber su número. Entonces, solícito al pedido, el servidor de nombres (DNS) devuelve el número de IP del dominio requerido. Luego, nuestro navegador intenta establecer contacto con ese IP para averiguar si existe allí un servidor que pueda contestarle a un pedido de página web. Una vez confirmado le envía dicho pedido —que traducido al lenguaje humano sería como decirle quiero descargar la página inicial del sitio derechoaleer.org— el servidor del sitio le envía el archivo y en unas décimas de segundo se verá cargado en la pantalla. Nótese que en el pedido al servidor del sitio también está incluido el dominio ¿por qué? porque en esa dirección IP, puede haber más de un dominio apuntando, y será el servidor que está allí el encargado de gestionar qué hacer ante cada pedido. Siguiendo la analogía telefónica, es como llamar a una organización que tiene un único numero de teléfono, pero cuenta con un conmutador interno y una telefonista que amablemente deriva el llamado teniendo como dato el nombre de la persona con quien se desea conversar, en este caso en vez de una persona el pedido es un sitio web.

Ahora bien, ¿cómo puede entonces un proveedor de internet bloquear un sitio web? Uno de los métodos mas sencillos y rápidos es usando el servidor de nombres o DNS. Cuando sacamos una cuenta en cualquier ISP (Arnet, Speedy, etc.) y ejecutamos el instalador que configura la conexión, entre otras configuraciones generamente realizadas automáticamente, se incluyen las direcciones de los DNS: cada proveedor tiene sus propios servidores de nombres. Por lo tanto, ante el pedido de la justicia para bloquear un dominio, el provedor de conexión sólo tiene que alterar este servidor de nombres —que está bajo su control— y no devolver la IP correspondiente, dejando a nuestro navegador sin “un número de teléfono” al cual llamar. ¿Y si conseguimos por otra vía la dirección IP? En efecto, se puede escribir directamente una dirección IP en vez de un dominio en el navegador, sin embargo el servidor debe estar preparado para responder a tal pedido, sin dominio asociado. Algunos sitios lo hacen (en general, donde solamente hay un sitio alojado), otros no. Si se trata de un servidor que tiene cientos de sitios alojados con un mismo IP, evidentemente, sólo ingresando el IP, el servidor no sabrá qué responder.

Sin embargo hay una alternativa sencilla para eludir el DNS alterado de nuestro proveedor: utilizar otro DNS. En efecto, hay varios servidores de DNS públicos en internet, muchos usuarios más o menos avanzados los usan —ya sea por razones de performance o confianza. Configurar nuestra conexión para que use otros servidores DNS alternativos es sencillo.

Otra opción de bloqueo es por medio del filtrado de la dirección IP (con “los daños colaterales” mencionados en esta entrada, cuando más de un sitio esta alojado en esa IP). Para entender este tipo de bloqueo conviene introducir una idea básica sobre cómo funciona internet. Los protocolos base de internet se llaman TCP/IP por “Protocolo de Control de Transmisión” (TCP) y “Protocolo de Internet” (IP) y se usan desde 1972 cuando internet aún se llamaba ARPANET. En resumen (grosero) es un sistema donde existen paquetes de información y direcciones IP de remitentes y destinatarios de dichos paquetes. Funciona asi: toda la información a trasmitirse se divide en paquetes, cada paquete, tal como si fuera una encomienda, lleva escrito al frente un remitente y un destinatario. Lógicamente remitente y destinatario, en el lenguaje de internet, son direcciones IP. Luego lo que sigue es bastante caótico: cada nodo de una red TCP/IP simplemente evalúa los paquetes que le llegan, si él mismo es el destinatario se lo queda, si no lo es, lo envía (“enruta”) al nodo que considere mas cercano al destinatario, quien realiza la misma rutina. Esta operación se repite hasta que el paquete llega a su destino. En la práctica, los paquetes que salen de nuestra computadora sólo tienen un lugar a donde ir: el enrutador de nuestro proveedor de conexion. Desde ahi, los paquetes son enviados al resto del mundo. Por esta razón para el proveedor es muy sencillo poner un filtro, es decir una “regla de enrutamiento” donde según el numero de IP que lleven “escritos” los paquetes en el destinatario, su enrutador decida si enviarlos al destinatario, o a la basura.

Cabe aclarar que internet fue diseñada en sus comienzos para evitar este tipo de bloqueo. El concepto central es la redundancia de conexiones. Si un nodo se niega a hacer circular el paquete, se solicita el pedido a algún otro. Claro que para esto, nuestro equipo debería contar con más que una sola conexión. Actualmente, esta redundancia recién ocurre en lo que se conoce como el “backbone” de internet, es decir los enlaces de fibra óptica que unen a todos los proveedores de conexión y otras redes, que tranportan el tránsito “mayorista” de la red de un lugar a otro del globo. Por esa razon es muy dificil bloquear un sitio en todo el mundo, siempre hay otro camino por donde llegar. Sin embargo para los usuarios comunes, el proveedor (ISP) esta en medio de esa gran red y su equipo, pudiendo entonces, condicionar su acceso.

El método utilizado para eludir este tipo de bloqueo es el uso de “proxies”. Un proxy es un servidor intermediario que redirige la información de un IP a otro, pero cambiando los destinatarios y remitentes de lo paquetes: el paquete se envía al proxy figurando éste como destinatario. El proxy es quien cambia el destinatario por el real (el sitio bloqueado) y el remitente por su propia dirección. Al devolver el paquete desde sitio bloqueado realiza la misma operación, pero a la inversa. De esta forma, los paquetes pasan el filtro del proveedor que únicamente “ve”, ya sea como remitente o destinatario, la dirección IP del proxy en el paquete (que no esta bloqueada). Por otra parte, el sitio real hacia donde está destinada la información, solo ve la dirección del proxy como remitente y no la del remitente real. Por esta última razón, los proxies también se utilizan para navegar anónimanente: el IP del usuario no queda registrado en los sitios que se visite.