bloqueios

A NOS e o bloqueio de domínios legítimos

henriquemouta Deixe um comentário

Depois do estranho bloqueio da NOS do domínio bit.ly, voltamos a detectar novos bloqueios em domínios legítimos na rede desta operadora, em vigor deste a passada segunda feira, dia 23 de março. Domínios de serviços de comunicação em tempo real, como o Discord, de serviços de autenticação da Microsoft, e até domínios de informação pública sobre o Coronavirus estão a ser bloqueados.

Quando o domínio do bit.ly foi bloqueado pela NOS – tendo sido desbloqueado algumas horas depois – ficamos com a pulga atrás da orelha, relativamente ao porquê deste bloqueio, mas a informação disponível na altura era muito pouca para retirar conclusões. No entanto, na passada segunda feira, com o bloqueio de mais domínios legítimos nesta operadora, foi-nos possível detectar um padrão que explica – mas não justifica – estes recentes bloqueios.

O discord.gg, login.live.com, coronavirus-map.com e coronavirus.app foram os quatro domínios que, desde segunda-feira, começaram a acionar o nosso sistema de alertas do Ahoy!. O primeiro, discord.gg, é um domínio utilizado pelo Discord para partilhar os convites de acesso às centenas de milhares de comunidades existentes nestas plataformas. O segundo domínio, login.live.com, é bastante auto-explicativo – serve para iniciar sessão nos vários serviços da Microsoft, como o Outlook, Office 365, entre outros. Já os dois domínios de mapas do Coronavirus parecem, numa primeira análise, perfeitamente legítimos onde apenas é feita partilha de informação.

Mas então, porque é que a NOS está a bloquear estes domínios? Não havendo conteúdo piratas, certamente não será por causa do Memorando. Mas também não são sites de gambling, pelo que não é responsabilidade da SRIJ. Ao que nós conseguimos apurar, estes domínios estão a ser bloqueados por suspeitas de phishing. Neste artigo, que pode ser um pouco técnico, explicamos a metodologia utilizada para chegar a esta conclusão, e porque é que este tipo de bloqueios poderão ser ilegais.

Estes domínios estão mesmo bloqueados?

A nossa primeira hipótese relativamente a estes quatro domínios seria que, talvez, o bloqueio detectado fosse um falso positivo. Para testar se o site estaria efetivamente bloqueado recorremos ao serviço RIPE Atlas, que tem milhares de pequenas máquinas de teste (chamados probes) espalhados pelo mundo, ligadas a diferentes ISPs. Em Portugal existem cerca de 200 probes (que qualquer pessoa pode ter em sua casa), onde cerca de 25 estão atualmente ligados à rede da NOS, identificada como AS2860.

Estes probes podem ser utilizados para diversos testes de rede, como pedidos HTTP, testes de Ping, ou mesmo resolução de DNS. A ideia foi então, recorrer a estes para validar qual o IP que é devolvido pelos servidores de DNS destas ligações, para estes domínios. Caso a resposta do servidor de DNS seja o IP 195.23.113.202 (que é o correspondente ao servidor onde os domínios bloqueados na NOS estão a apontar), significa que o domínio está efectivamente bloqueado.

Começamos por testar o discord.gg. Os resultados não poderiam ser mais óbvios.

$ python resolve.py --asn=AS2860 -r 50 discord.gg
[162.159.130.234 162.159.133.234 162.159.134.234 162.159.135.234 162.159.136.234] : 5 occurrences
[195.23.113.202] : 21 occurrences

De 26 probes que testaram o domínio discord.gg, 21 devolveram o IP da NOS, confirmando que o mesmo está bloqueado. A resposta correcta dos outros 5 probes pode ser justificada pela alteração dos DNS por omissão, no router da operadora.

Efectuamos então os testes para os restantes três domínios, e como seria de esperar, todos estes devolveram bloqueados. Todos, menos o login.live.com.

O Estranho Caso do login.live.com

Apesar de recebermos dezenas de alertas relativamente a este domínio, os resultados estavam a ser muito inconsistentes. De vários testes que fizemos, muitas das vezes eram devolvidos os IP’s correctos para este domínio, mas ocasionalmente 3 ou 4 probes devolviam o IP da NOS. Mas porquê?

$ host login.live.com 212.0.160.26

Using domain server:
Name: 212.0.160.26
Address: 212.0.160.26#53
Aliases:

login.live.com is an alias for login.msa.msidentity.com.
login.msa.msidentity.com is an alias for lgin.msa.trafficmanager.net.
lgin.msa.trafficmanager.net has address 40.90.137.124
lgin.msa.trafficmanager.net has address 40.90.23.206
lgin.msa.trafficmanager.net has address 40.90.137.127
lgin.msa.trafficmanager.net is an alias for fe-bl02p-msa.trafficmanager.net.
lgin.msa.trafficmanager.net is an alias for fe-bl02p-msa.trafficmanager.net.

Esta é a resposta esperada por um pedido DNS ao login.live.com, utilizando um servidor de DNS da NOS (212.0.160.26). A resposta parece 100% correcta, mas como o problema parecia ser intermitente, decidimos testar com vários servidores de DNS da NOS (que encontramos utilizando uma lista pública de DNS em Portugal). Finalmente, depois de muitas respostas correctas, encontramos o que estávamos à procura:

$ host login.live.com 88.157.200.129

Using domain server:
Name: 88.157.200.129
Address: 88.157.200.129#53
Aliases:

login.live.com is an alias for login.msa.msidentity.com.
login.msa.msidentity.com is an alias for lgin.msa.trafficmanager.net.
lgin.msa.trafficmanager.net has address 195.23.113.202

Neste servidor de DNS, também da NOS, o login.live.com não devolve o IP bloqueado. Mas este domínio é um “pseudónimo” (alias) de login.msa.msidentity.com, que por sua vez também é um alias de lgin.msa.trafficmanager.net. E este está, efectivamente, a devolver o IP de bloqueio da NOS. Testando este domínio utilizando o RIPE Atlas, conseguimos confirmar essa mesma informação:

$ python resolve.py --asn=AS2860 -r 50 lgin.msa.trafficmanager.net
[40.90.137.125 40.90.23.154 40.90.23.247] : 1 occurrences
[195.23.113.202] : 20 occurrences
[40.90.137.126 40.90.23.206 40.90.23.247] : 1 occurrences
[40.90.23.153 40.90.23.154 40.90.23.208] : 1 occurrences

Portanto, o login.live.com não está bloqueado directamente, mas como a resposta deste domínio depende da resposta do lgin.msa.trafficmanager.net, que está bloqueado, poderá por vezes causar problemas de acesso.

Porque é que a NOS está a bloquear estes domínios?

A resposta correcta a esta questão apenas poderá ser respondida pela própria empresa. No entanto, temos uma teoria muito forte: a NOS bloqueia, de forma automática e sem validação, sites que sejam suspeitos de phishing ou de distribuição de malware.

Olhemos então para o discord.gg: Uma pesquisa no Google mostrou que este domínio foi marcado, de forma errada, como potencialmente malicioso. Este domínio foi marcado recentemente como malicioso no site any.run, que faz a deteção de Malware.

Será que o mesmo acontece com o domínio da Microsoft? Surpresa, surpresa, parece que sim:

É possível ainda encontrar tópicos no fórum da MalwareBytes, relativamente ao bloqueio deste domínio nesta suite de segurança. Uma das respostas, colocada a 10 de Fevereiro, indica que é um falso positivo e que já terá sido retirado da base de dados desta empresa.

O coronavirus.app também é marcado como potencialmente malicioso, assim como o coronavirus-map.com.

Isto leva-nos a suspeitar bastante que estes quatro domínios foram, de forma errada, identificados como maliciosos e adicionados a uma lista. A NOS, por sua vez, utilizará esta lista para bloquear sites maliciosos na sua rede.

Mas estes bloqueios não nos protegem?

Na teoria sim, até poderão ajudar os internautas mais vulneráveis ou com menos conhecimentos de informática a protegerem-se deste tipo de ataques. Mas aqui o problema em questão é a forma como a NOS efectua este bloqueio.

Em primeiro lugar, a mensagem que é mostrada quando a página é bloqueada é genérica, pouco informativa e muito provavelmente errada. Estes domínios não estão a ser bloqueados por cumprimento de ordens administrativas, muito menos de ordens judiciais. No limite, esta página deveria informar que a página foi bloqueada por ser potencialmente um problema de segurança e deverá incluir forma de reportar falsos positivos.

Em segundo lugar, questionamo-nos sobre a legitimidade de uma empresa como a NOS poder bloquear, de forma arbitrária e sem qualquer ordem judicial, domínios em Portugal. A falta de transparência deste processo é gritante. Não sabemos qual é a fonte que a NOS utiliza para bloquear estes domínios; não sabemos quem é responsável por mantê-la e testá-la. Imaginando que será uma empresa terceira – uma hipótese bastante plausível – , que nenhum de nós conhece nem sabe qual é, tem, na prática, o poder de bloquear qualquer domínio em Portugal, sem qualquer controlo ou transparência. Até poderá ser de forma acidental, como cremos que terá acontecido no bloqueio do bit.ly há poucas semanas. Mas é um poder demasiado grande para estar a ser aplicado desta forma, sem transparência.

Em terceiro lugar, nunca em nenhuma situação a NOS mencionou a existência deste “serviço”, nem há possibilidade de não o utilizar. Uma funcionalidade destas ao nível do operador até poderia ser interessante – mediante alguns cuidados, desde que os clientes soubessem que esta existe, e que seja possível desactivar. Da forma como está, é um mistério como funciona.

Da forma como está, a NOS está a bloquear, de forma invisível e imediata, domínios e serviços completamente legítimos. A legalidade destes bloqueios é muito questionável, e em última instância pouco ética. Resta-nos ver se, com a divulgação destes bloqueios, a NOS ofereça uma explicação oficial para esta situação. Continuaremos a acompanhar!

Leia Mais

Foi bloqueado o primeiro site legitimo em Portugal!

henriquemouta 22 Comentários

Actualização (21/01) – 19h40 – A SRIJ veio confirmar que foi a causadora do bloqueio e garante que o mesmo se trata de um erro… Ainda há muitas perguntas no ar…

Foi bloqueado o primeiro site legitimo em Portugal. A Carbon Games, uma empresa norte-americana de desenvolvimento de videojogos, viu o seu site bloqueado pelas várias operadoras na sequência de um pedido da Entidade Reguladora, sem qualquer motivo aparente.

Há cerca de duas semanas, no Ahoy!, implementamos um sistema de monitorização activa de sites bloqueados, de maneira a termos a possibilidade de rapidamente desbloquearmos esses novos sites. Na passada Segunda-Feira o primeiro alarme soou: Um novo site tinha sido detectado, sendo ele o www.carbongames.com. Inicialmente pensávamos que se tratava de um falso positivo visto que o site abria bem na nossa ligação, no entanto seria a primeira vez que tal aconteceu. Há poucas horas, o alarme voltou a soar para o mesmo site. Desta vez, já conseguimos confirmar que o site estava efectivamente bloqueado.

Url__Xkqn3

Segundo o famoso acórdão entre a IGAC e várias entidades (privadas) de “protecção” de direitos de autor, para um site ser bloqueado terá que ter, pelo menos, 500 conteúdos ilegais, ou dois terços do repositório com obras piratas. A pergunta aqui é, como é que um site de uma empresa que produz conteúdo que deveria ser defendido por estas associações, se encaixa neste critério? É simples. Não se encaixa.

Como é que este tipo de bloqueios são feitos nas costas, sem termos direito a nenhum tipo de justificação oficial, sem termos direito a contestarmos esse bloqueio? Como é que estes bloqueios são feitos sem intervenção de um tribunal, que, no mínimo, verifique que esses “critérios” estão a ser cumpridos? Mas afinal, não vivemos num Estado de Direito?

Tivemos confirmação de que o site se encontra bloqueado na NOS, MEO e Vodafone. No entanto, há aqui um pormenor “engraçado”. É que o bloqueio apenas foi feito para o www.carbongames.com, estando o carbongames.com a funcionar correctamente.

Da nossa parte, vamos continuar a acompanhar esta situação e iremos pedir esclarecimentos à IGAC e à MAPiNET no sentido de entender o motivo desde ataque à nossa Liberdade. Sigam-nos no Facebook para acompanharem as novidades deste caso em tempo real.

Actualização (20/01, 16h) – A MAPiNET informa, em comunicado, que não sabe de nada relativamente ao bloqueio deste site. Continuaremos a nossa investigação no sentido de apurar de onde virá este bloqueio.

Actualização (20/01, 22h40) – A Carbon Games lançou um Comunicado de Impressa onde afirma que nunca foram avisados sobre o bloqueio. Conseguimos também confirmar que o bloqueio teve origem na SRIJ – Serviço de Regulação e Inspeção de Jogos – e terá sido pedido à cerca de um mês.

Actualização (21/01, 16h30) – O IGAC desmente qualquer ligação ao bloqueio efectuado. 

Leia Mais

IGAC manda bloquear mais 50 sites, número total sobe para 183

henriquemouta 1 Comentário

A Inspecção Geral das Actividades Culturais (IGAC) enviou aos operadores de telecomunicações uma nova lista de sites a serem bloqueados. Sobe assim para quase duas centenas o número de sites bloqueados em apenas quatro meses.

Depois de os operadores de telecomunicações cumprirem a sua parte do acordo, o número de sites com conteúdos ilegais bloqueados em Portugal vai subir para 183. O valor ‘engorda’ consideravelmente depois da última lista do IGAC contemplar 50 novas páginas online. Curiosamente, este número vem comprovar que o nosso sistema de monitorização activa de sites bloqueados está a funcionar correctamente, onde já temos 189 sites na lista do Ahoy!.

Em comunicado o IGAC informa que os sites agora referenciados disponibilizavam ou distribuíam “obras protegidas ao público sem autorização dos legítimos detentores de direitos, nesses domínios e subdomínios a links e ou hiperligações”. A entidade estatal faz assim valor o Memorando de Entendimento assinado em 2015 entre várias entidades e cujo documento nunca foi divulgado na integra por nenhuma das entidades envolvidas.

Desta vez, o IGAC não divulgou qualquer lista a vangloriar-se dos resultados desta campanha pouco transparente de censura online. O que é pena, visto que nos facilitava bastante o trabalho a identificar quais os sites que precisam de ser desbloqueados.

Os quase duzentos sites bloqueados ou em vias de bloqueio foram identificados no espaço de quatro meses. Para os desbloquear, recomendamos a utilização do Ahoy!, que permite aceder a uma internet livre de censura.

“Estas ações, juntamente com o combate à violação de direito de autor e direitos conexos, em ambiente físico, enquadram-se na estratégia de proteção do direito de autor e dos direitos conexos em ambiente digital e no reforço da sensibilização dos utilizadores para esta matéria”, salienta o IGAC.

No final de 2015 o Movimento Cívico Anti-Pirataria (MAPiNET), uma das entidades que assinou o memorando de entendimento e uma das que mais tem lutado contra a pirataria de conteúdos em Portugal, mostrava-se satisfeita com a aplicação do acordo.

Quanto a nós, estamos a tratar de pedir um esclarecimento oficial à IGAC para entender como é que um organismo público colabora com os interesses de vários organismos e associações privadas que defendem única e exclusivamente os seus direitos e dos seus associado. Uma colaboração que é feita da maneira obscura, escondida do público e das pessoas.

Fonte: SAPO Tek

Leia Mais