Teniendo una idea del tipo de bloqueo al que nos enfrentamos podemos usar diferentes herramientas que miden diferentes situaciones para confirmar el bloqueo que estamos investigando. En esta sección haremos énfasis en dos herramientas públicas: IOADA y OONI.
Un concepto básico que debemos tener en cuenta a la hora de hacer estas investigaciones son los ASs o Sistemas Autónomos (Autonomous Systems).
¿Qué es un AS (o ASN)?
Un Sistema Autónomo es un conjunto de direcciones IP que generalmente pertenecen a una empresa o ISP. Denotan un segmento de red en internet. En el contexto de los bloqueos de internet es importante encontrar los ASNs que presentan bloqueos para poder documentarlos y atribuirlos.
Páginas como ipinfo.io nos pueden mostrar a que ASN pertenece una dirección IP. Este dato nos sirve a la hora de hacer búsquedas en las plataformas que describiremos a continuación.
IODA (Internet Outage Detection and Analysis)
- Web: https://ioda.inetintel.cc.gatech.edu/
- Dashboard: https://ioda.inetintel.cc.gatech.edu/dashboard
IODA es un sistema de detección y análisis de caídas de internet que funciona de una forma macro, es decir, detecta caidas cuyo alcance es considerable. Se pueden hacer análisis por rangos de fechas para países, regiones o ASNs.
IODA hace pruebas constantes de la conectividad de redes alrededor del mundo de forma activa y pasiva y traduce los datos que recolecta en un tablero de control que nos permite, de forma gráfica, confirmar caídas de internet en países, regiones o ASNs.
Para una explicación detallada de como funciona IODA revisa: https://www.caida.org/projects/ioda/
IODA se usa principalmente para detectar bloqueos totales en países, regiones o ASNs alrededor del mundo. Lo primero que encontramos al entrar al Dashboard de IODA es una visión global del panorama de caídas de internet alrededor del mundo en un mapa que señala -de acuerdo a colores- las caídas más destacadas en las últimas 24 horas, sin embargo el poder de esta herramienta está en la granularidad con que podemos analizar estas caídas.
Lo primero que vamos a necesitar cuando usamos IODA es tener con cierta claridad qué país, región o ISP (sabiendo sus ASNs) queremos investigar:
Para entender mejor cómo usar IODA tomemos un ejemplo:
El 5 de Mayo de 2021 la organización Netblocks reportó una caída de internet en Cali, Colombia, en medio de un paro nacional que se presentaba en ese momento.
Netblocks es una organización que monitorea internet globalmente y que trabaja en la intersección entre derechos digitales, ciberseguridad y gobernanza de internet. Aunque su sistema de monitoreo es parecido al de IODA, Netblocks no tiene un dashboard público que se pueda consultar. La información proveída por Netblocks proviene de informes que publica cuando detecta eventos anómalos, como, en este caso, una caída de internet en medio de una protesta.
Analicemos la información que publicó inicialmente la organización Netblocks:
Podemos ver que el 4 y el 5 de mayo se presenta una baja en el servicio de internet de dos ISPs: Empresas Municipales de Cali donde se identifica el ASN AS10299 y Colombia Telecomunicaciones donde se identifica el ASN AS3816. De la gráfica también podemos deducir que la mayor porcentaje de caída se presentó en Colombia Telecomunicaciones (AS3816).
Ahora, para verificar esta caída en IODA vamos a usar el dashboard para buscar los datos de conectividad de ASN AS3816 entre el 26 de abril de 2021 y el el 12 de Mayo de 2021 que incluye la fecha del reporte de caída y un poco de tiempo hacia adelante y hacia atrás que nos permita comparar el comportamiento de la red en fechas anteriores y posteriores al reporte.
El resultado de esta búsqueda nos daría el siguiente gráfico:
Este gráfico fue generado en fechas anteriores a la escritura de esta guía (2023). IODA ahora es manejado por el Instituto de Tecnología de Georgia que al parecer solo tiene disponibles 2 años de datos para ser consultados.
Analicemos este gráfico:
Cómo se puede ver hay 3 líneas que representan 3 tipos de medición:
-
Línea Verde: Representa la medición de monitoreo del protocolo BGP (Border Gateway Protocol) que es el encargado de anunciar y almacenar las rutas que debe tomar un determinado paquete de comunicaciones para llegar a su destino. Este protocolo es usado por los grandes proveedores de internet como una especie de mapa que les permite saber a donde enviar un paquete de datos de acuerdo a la dirección IP de destino.
-
Línea Azul: Representa la medición de Active Probing que consiste en hacer conexiones seguidamente desde y hacia varios puntos de internet, la diferencia entre la suma de las conexiones exitosas asociadas a un país, región, ISP o ASN y la cantidad de conexiones exitosas esperadas nos dá el porcentaje de conectividad de dicho país, región, ISP o ASN.
-
Línea Roja: Conocida como Network Telescope o Darknet (no asociada con la DarkNet comúnmente conocida donde hay mercados de de bienes ilícitos en internet) corresponde a un tipo de metodología de medición de direcciones de internet que no están plenamente identificadas y que aparecen y desaparecen en ciertos momentos en rangos de tiempo, una anomalía en la cadencia de estas apariciones/desapariciones puede significar una caída y baja del servicio de internet en el país, región, ISP o ASN que estemos investigando.
Para más información sobre las mediciones de IODA visita la página de ayuda: https://ioda.inetintel.cc.gatech.edu/help
De estas líneas, normalmente la que mas se observa es la azul (Active Probing) y es la que confirma la información de Netblocks en la caída que estamos usando de ejemplo. Sin embargo, como podemos ver, el comportamiento de esa red no dista mucho de lo que Netblocks reporta como caída aunque sí se nota una leve anomalía en ese punto.
Entonces hemos confirmado la información pero aún no entendemos qué pasó y es probable que necesitemos buscar referencias para entender mejor esta caída. Por el momento tenemos información importante que definitivamente confirma la caída, eso sí, con la salvedad de que no es una caída tan pronunciada.
IODA entrega una cantidad de datos mayores a la hemos estudiado en esta sección de este capítulo, te invitamos a explorar el dashboard de IODA para probar otros tipos de visualizaciones y datos que pueden ser extraídos de esta plataforma y que pueden contribuir en la investigación de bloqueos de internet.
OONI (Open Observatory of Network Interference)
- Web: https://ooni.org/
- Aplicación OONI Probe para varias plataformas: https://ooni.org/install/all
- OONI Explorer: https://explorer.ooni.org/
Si buscamos ‘OONI’ en google, normalmente encontraremos referencias a unos hornos de pizza del mismo nombre, y solo si agregamos ‘internet censorship’ a nuestra búsqueda encontraremos el OONI que estamos buscando (a menos que en realidad queramos hornear pizza).
OONI es un sistema muy completo de monitoreo colaborativo de internet y es especialmente útil cuando tratamos de averiguar bloqueos lógicos de páginas web o servicios (incluidas aplicaciones).
Los datos que recolecta OONI para sus mediciones son enviados por gente en todo el mundo que usa la aplicación OONI Probe en cualquiera de las plataformas soportadas (que son casi todas): Android, iPhone, Windows, Linux y MacOS.
OONI Probe, envía los datos de las mediciones a los servidores de OONI donde son procesadas y se pueden consultar en el Explorador de OONI (OONI Explorer). En esta guía nos concentramos en el uso de OONI Explorer pero para documentar caídas apropiadamente debemos coordinar el uso de ambas herramientas (la aplicación y el explorador).
Esto implica que las para que OONI no funcione bien para bloqueos totales ya que se necesita cierta cantidad de conectividad para que los datos de las aplicaciones puedan llegar hasta los servidores de OONI y que la documentación de bloqueo quede completa.
OONI Probe
En el 2021, en medio de un paro nacional en Colombia, la Fundación Karisma publicó La Micro Guía Para el Uso de OONI que recomiendo leer para aprender a usar la OONI Probe
En general es un programa para computadores o aplicación para teléfonos móviles que intenta conectarse a una lista de páginas web o servicios de internet (incluidos servicios que permiten la evasión de bloqueos) y otra serie de pruebas que permiten determinar si hay anomalías o bloqueos confirmados de sitios web o servicios en país, región, ISP o ASN determinado. Las páginas que prueba OONI probe por defecto son las incluídas en el listado de direcciones de pruebas del CitizenLab
Para coordinar pruebas de páginas específicas y que no estén incluidas en el listado por defecto para pruebas en OONI podemos usar https://run.ooni.io/, añadir las páginas que queramos monitorear, luego, este sitio nos crea un enlace que al ser abierto en cualquiera de las aplicaciones correrá pruebas a las páginas y dominios que hayamos puesto en nuestra lista personalizada. La Micro Guía Para el Uso de OONI de la Fundación Karisma tiene un apartado donde se explica esta funcionalidad y también recomiendo leer la documentación para coordinar campañas de OONI.
OONI Explorer
Si estamos investigando un caso de censura en internet podemos coordinar con personas que tengan una conexión en el lugar o ISP específico que presenta la censura para que se hagan pruebas con OONI Probe ya sea con la lista por defecto o con una lista creada en run.ooni.io de tal forma que podamos consultar los resultados en OONI Explorer.
Usemos un ejemplo para ilustrar este procedimiento:
De nuevo, en 2021, en medio de una protesta nacional en Colombia, la Superintendencia de Industria y Comercio (SIC) emitió una orden para los ISPs en colombia para bloquear dos direcciones de internet por contener datos personales de personas pertenecientes a las autoridades Colombianas. Sin embargo, esta orden tiene un problema fundamental y es que no es posible (o al menos extremadamente difícil) bloquear una URL sin bloquear el dominio completo que la contiene. Si las conexiones a dicho dominio se hacen mediante una conexión segura (HTTPS) los ISPs no pueden ver la locación exacta hacia la que se hace una petición, por lo tanto, la única forma de cumplir esa orden era bloqueando los dominios completamente. veamos la orden:
Resolución 29323 del 14 de Mayo del 2021
Como podemos ver la resolución se refiere a dos URLs específicas que no es posible bloquear, sino que toca bloquear completamente los sitios, que en este caso son archive.org y ghostbin.co.
Archive.org es especialmente problemático ya que este sitio es un gran archivo de internet que es consultado y usado a diario por cientos de miles de personas por lo tanto, no solo se está censurando el contenido específico de la URL que está en la resolución sino toda la información que contiene este sitio.
Sabiendo esto entonces podemos organizar una campaña a nivel nacional con un enlace creado en run.ooini.io que contenga las direcciones:
- web.archive.org
- archive.org
- ghostbin.co
Podemos entonces compartir el enlace generado por run.ooni.io para que personas con la aplicación OONI Probe corran pruebas sobre estos dominios. cuando creamos que se han hecho una cantidad considerables de pruebas podemos pasar a OONI Explorer para mirar los resultados:
-> 1. Vamos a la sección de search en OONI Explorer.
-> 2. En esta sección nos aparecerá a la izquierda (normalmente) una forma donde podemos poner criterios de búsqueda: Pais, ASN, rango de fechas, tipo de test, categorías de sitios o servicios, dominio, direcciones específicas (input) y el estado de la prueba que pueden ser todos los estados, los bloqueos confirmados o las anomalías.
En nuestro caso vamos a hacer una búsqueda por país, entre el 14 de Mayo del 2021 hasta el 1 de Junio del 2021 (podemos extender el rango de fechas para determinar la duración del bloqueo) para el dominio archive.org y en estado (status en OONI Explorer) vamos a poner ‘Anomalities’.
-> 3. Como podemos ver OONI tiene en su base de datos 5 pruebas hechas, entre el 26 y el 31 de mayo de 2021, al dominio archive.org y podemos observar que se ven dos tipos de anomalías y un ASN:
-> 4. Vemos que el AS10299 se repite en esta búsqueda, en ipinfo.io podemos a verguar a qué ISP pertenece:
-> 5. Ya hemos identificado que el AS10299 perteneciente a las Empresas Municipales de Cali - Emcali (en Colombia) está bloqueando el acceso a archive.org siguiendo la orden emitida por el gobierno Colombiano, ahora revisemos los resultados de la búsqueda en OONI Explorer para entender mejor qué pasa cuando tratamos de entrar a esta página estando conectados a este ISP.
–> 5.1 Revisemos la anomalía que se reporta como http-diff haciendo click en el resultado que tiene esta anomalía, esto nos mostrará información detallada de la conexión donde entre otra información encontramos lo siguiente:
Lo que podemos deducir de esto es que Emcali está bloqueando esta página por DNS, al detectar una conexión a archive.org esta es redireccionada a un servidor local con una página que es usada cuando hay bloqueos de páginas por abuso a menores de edad.
–> 5.2 Ahora revisemos alguno de los resultados cuya anomalía está catalogada como htttp-failure. En la sección Failures del detalle de esta anomalía podemos ver que ssl_unknown_authority está marcado con una ‘x’, es decir que el fallo se debe a que hay un error en el certificado de seguridad de la página:
Este bloqueo es especial, porque el ISP está tratando de hacer un ataque de Man In the Middle, con los certificados de seguridad, es decir, está tratando de suplantar el certificado de seguirdad de archive.org con uno propio que puede rompe la privacidad de la conexión permitiendo al ISP ver todo el contenido que debería ser privado. Un navegador normal mostraría un error indicando el problema con los certificados, pero si un usuario descuidado desatiende la advertencia del navegador y decide ir de todas maneras a la página estará expuesto a que todos los datos que intercambia con la página puedan ser vistos por el SIP, en este caso Emcali.
Como pudimos ver en este ejemplo OONI tiene toda la cadena de confirmación y documentación de bloqueos de internet, desde las pruebas hasta la consulta de información detallada de cada conexión (anómala o no) y es una herramienta muy importante en nuestra tarea investigativa.
OONI tiene muchos más datos que los que revisamos en este ejemplo e invito a los lectores de esta guia a explorarlo con detenimiento ya que será una herramienta imprescindible en nuestras investigaciones.
Ejercicio: ¿ Puedes encontrar otras evidencias de bloqueo en el caso que vimos de ejemplo pero con el dominio ghostbin.co ?
Otras fuentes de información
Este listado es tomado en parte de la documentación de STOP (Shutdown Tracker Optimization Project) de la coalición #KeepItOn liderada por la organización Access Now de la cual hablaremos en la sección Difundir.
- Google Transparency Data: https://transparencyreport.google.com/traffic/overview
- Facebook Transparency Report: https://transparency.fb.com/data/internet-disruptions/
- CloudFlare Radar: https://radar.cloudflare.com/
- Censored Planet: https://censoredplanet.org/
- RIPE Atlas: https://atlas.ripe.net/
- Internet Society Pulse: https://pulse.internetsociety.org/shutdowns
- MLab: https://www.measurementlab.net/data/
- Mozilla: https://blog.mozilla.org/data/2022/03/09/mozilla-opens-access-to-dataset-on-network-outages/
- http://internetshutdowns.in/
- https://www.shutdowns.yodet.org/
- Home Department, Government of Jammu and Kashmir: http://www.jkhome.nic.in/orders.html
- Ministry of Home and Administration of Justice, Government of Haryana: https://homeharyana.gov.in/
- Home and Hill Affairs Department, Government of West Bengal: http://home.wb.gov.in/
Anterior: Identificar Siguente: Encontrar referencias