Decisão Judicial e Realidade Técnica: O Desafio dos ISPs em Bloquear o X (Twitter) 

"Sê mais um paraquedista e orgulha-te de ti mesmo". Bem-vindo ao canal!

Oremos!

Que bom que tenha curtido! Obrigado

Valeu!

Podes crer! rsrsrs

Obrigado, Felipe. Seja bem-vindo!

😂

Alô alô!

Valeu!

Sim, fica mais fácil gerenciar estas ações em ambientes corporativos.

heheheh valeu

Pois é! Imagino que tenha sido um "parto" ficar fazendo estes bloqueios!

Verdade, inclusive os serviços de IPTVs. Já teriam sido bloqueados.

@@Jeimerson01 Horas para bloquear, e segundos pro cara da VPN trocar o IP, KKK enxugar gelo!

Obrigado, Nilberto!

Bem-vindo ao canal!

Obrigado!

Legal, Jose! Abs!

Bem-vindo! "Sê mais um paraquedista e orgulha-te de ti mesmo"! hehehehe

Valeu, Saulo!

Obrigado, Everton

@@souza1560 estou lançando os cursos aqui: ead.leonardofurtado.academy/

Valeu!

Valeu, Reginaldo!

😅

Fazendo o que posso! rsrs

Sim... o famoso "cumpra-se".

Aí acorda, é assim que a indústria funciona. Imagina um pedreiro falando “Nossa muito fácil a vida de arquiteto, ele que se vire pra construir” eu em

@@ryan7zip quem tem q acordar é o juiz. Entende nada, vive numa bolha.

​@@ryan7zip Mas é assim mesmo ué, se o arquiteto faz um projeto impossível o pedreiro não tem como fazer kkkkkkkk tem de haver bom senso de ambos

@@anacleto_kgb Se fizeram até torres do Egito antes de Cristo, tudo é possível, até bloquear o X

Obrigado, Pablo!

Valeu!

Obrigado, Paulo! Bem-vindo ao canal!

Obrigado, Alex!

Moral da história: nada é tão simples assim rsrsrs

Se ficar igual a mim: velho, rabujento, encardido, desgastado! kkkkk

@@Leonardo-Furtado isso é quase um destino de todos que, um dia ou outro irá acontecer. A exceção é que perece juvenil... Rs

🫡

Aí sim!!! Bem-vindo!!

@@luancschmitz há complicações.

As vezes as coisas bem simples são um tanto complicadas de resolver.

a arquitetura da internet foi criada para ser impossivel de ser derrubada, o contexto era a guerra fria, imagina caindo uma bomba nuclear em uma base militar e todas as outras perdendo acesso a internet

O bloqueio absoluto é possível, porém a um custo de adoção de arquiteturas que não está previsto nos investimentos dos ISPs. Há os desafios de escala e complexidades técnicas associadas com a inserção de determinadas tecnologias no projeto técnico típico das redes Metro Ethernet + FTTH e regimes de interconexão, fato, mas o impeditivo mesmo está no Capex + Opex de ter que manobrar a infraestrutura com novas classes de dispositivos + licenciamentos de software que encareceriam brutalmente o negócio, acarretando em TCO bem elevado com um ROI muito distante, e estes custos teriam que ser repassados para os assinantes (clientes). A conta não fecha para a clientela de Internet banda-larga.

@@Leonardo-Furtado está menosprezando o engenho humano. De fato, se olhar para a história verá que nunca houve forma de se efetuar uma censura realmente eficaz. Pode verificar isso com a imprensa escrita; pode igualmente verificar isso com a rádio de ondas curtas e, mais tarde, com a televisão por radiodifusão direta de satélite. Em todos os casos, a censura foi sempre algo ineficaz e inclusive precipitou a queda dos regimes que recorreram à mesma. Hoje, com a Internet, não será diferente pois, para cada solução técnica que imagine para censurar tráfego, haverá sempre alguém com a motivação para desenvolver alguma solução capaz de contornar esse dito bloqueio, havendo inclusive várias formas de se ofuscar tráfego de pacotes IP, fazendo-o parecer legítimo, algo que alguns provedores de VPN já procuram implementar. Lembro que algo similar ocorreu com as tentativas para se evitar a pirataria de software, todas elas tornadas ineficazes. Aqui não será diferente.

A coisa vai substancialmente além disto.

🤟🏻

KKKKK fui pontual na ocasião!

Procede! rsrsrs

@@andremorttari7009 o vídeo já implicitamente aborda essa sua questão, de como tem sido possível acessar o X por conta da Cloudflare e outros.

Eles sabem disso (acho).

Eles sabem disso, isso e algo meio ''Básico'' na área de redes de computadores.,

@@jeanparanhos7742 bala de canhão heheheh

🤷🏻‍♂️

Sim, procede! Abs

Quando pensando em serviços de valor agregado, em particular para produtos de telecom numa cesta de ofertas corporativas, isto faz todo sentido. No entanto, quando olhamos para o serviço de acesso de Internet, a neutralidade da rede é um princípio fundamental. Afinal, a Internet é uma rede de redes, e a neutralidade é o que garante que a rede funcione de forma eficiente e que todos os usuários tenham acesso a todos os serviços disponíveis. A neutralidade da rede é o que garante que a Internet continue sendo um ambiente aberto e inovador, onde qualquer pessoa pode criar e compartilhar conteúdos. Incluir arquiteturas de inspeções aprofundadas de pacotes (embora isto possa trazer um atrativo de sofisficação e segurança), além de representar um risco de neutralidade da rede e de privacidade dos usuários, também pode acarretar em altíssimos custos, os quais inviabilizariam a oferta de um serviço de acesso à Internet com preços competitivos. Sem contar com as complexidades decorrentes da implementação de tais arquiteturas, que demandariam um grande esforço de engenharia e manutenção, além de um alto nível de especialização técnica e conceitos de escala. É como eu vejo este tema.

Procede, o próprio Marco Civil determina questões de privacidade e neutralidade. Há quem acredite que ISPs mantêm registros detalhados dos sites que você navega, mas isso é pura invenção. Mesmo no caso do CGNAT, apenas os endereços IP e portas de origem são registrados para possível identificação de assinante, caso solicitado por autoridade policial com ordem judicial. Fora isso, ISPs não mantêm - e não têm interesse em manter - dados de usuários e dos sites que eles acessam. O mais próximo de dados sobre destinos que o ISP tipicamente possui são os bilhetes de tráfego derivados do NetFlow ou IPFIX. Estes, porém, são usados para fins de planejamento de capacidade, engenharia de tráfego e análise financeira do mapa de interconexão. Além disso, esses fluxos não identificam o conteúdo específico que você está acessando naquelas matrizes de conversação.

@@Leonardo-Furtadose as pessoas soubessem quanto custa armazenar PB de dados de conexão de destino de uma forma “buscavel”. E inviável financeiramente guardar isso. Se a lei obrigasse o acesso à internet no Brasil ia encarecer demais.

O mais próximo de um "mail-list" que funcione bem seria o Anablock (ponto net ponto br).

@@Leonardo-Furtado não conheço. Vou ver. Valeu Furtado!!! ❤️❤️❤️

@@Leonardo-Furtado Interessante o site. Mas, creio que executar um bloqueio sem ser notificado oficialmente (por isso a sugestão da mail-list com base nos e-mails do registro.br e periodicamente checados) para haver essa notificação em "broadcast" para os detentores de AS no Brasil. Não faria mais sentido?

Sem dúvidas, faria.

@@Leonardo-Furtado meu chefe aqui já estava me perturbando pra bloquear. Tive que falar pra ele pra se acalmar já que não fomos comunicados oficialmente. Acho que muito provedor não foi...

Warp Terminal + Oh My Zsh + Powerlevel10k

A minha leitura aqui foi ainda assim um tanto (ou bem) superficial; o tema é mais complexo que eu demonstrei por aqui. Acredito que com o rumo da nação para a censura descarada isto passe a figurar mais nos debates da comunidade de Internet.

@@Leonardo-Furtado O nic.br foi criado pelo e toda o pessoal que promove isso foi criado via MP do Luiz Inacio Lula da Silva, tu acha que vão pautar contra isso? O CGI e toda voltado para o lado da censura, sorte que ninguém leva esses dai a serio, melhor dissolver tudo e dar a gestão para LACNIC Os provedores tem que parar de quebrar a cabeça para promover a censura da anatel, botem um filtro de DNS e de IP e pronto, só para não serem processados! Boa parte da inclusão digital nesse pais não foi feita por governo e grande telecom, foi feito por provedor de bairro que sequer tinha a licença da anatel, e vocês acham que eles servem de algo? Anatel? NIC? CGI? E só poder para o estado e imposto para pagar

Olá. Sou na verdade bem ruizinho nessa questão de edição de vídeos, definitivamente não é a minha praia. No Mac, uso Camtasia ou ScreenFlow, dependendo da ocasião.

É inviável por múltiplos motivos, principalmente custos vs. escala.

ISPs têm à disposição algumas estratégias para isso, sendo as principais a censura de DNS e o bloqueio de prefixos que representam serviços associados aos Tor guard nodes, relays e bridges.

Aí sim!!

>> No caso da CloudFlare receber a ordem judicial para bloquear "TUDO" relacionado ao X, caberia a ela efetivar o bloqueio na sua infraestrutura ? Sim, já que os ISPs, sozinhos, não conseguem realizar este tipo de bloqueio nestas condições. >> Outro ponto, a ordem judicial neste caso pode tocar a relação cliente x fornecedor ? Entendo que não, pois haveria uma violação de diversos direitos, e partes não relacionadas ao processo (aliás, que processo? Não há!) seriam muito prejudicadas. Não existe qualquer vínculo entre os demais clientes e fornecedores da Cloudflare, que são muitos, e o X. Contudo, o Brasil tem histórico de prejudicar massas inteiras da cadeia produtiva com suas ordens de bloqueio surreais (vide o caso do WhatsApp, que afetou todos os clientes do WhatsApp Business). Enfim, imprevisível aqui. >> A propósito, você teria algum conteudo referente a automação ? Estou desenvolvendo isto no momento.

Em ambientes com tráfego criptografado, existem várias técnicas para inferir a aplicação em uso, como o Twitter, por exemplo. O Server Name Indication (SNI) é uma delas, assim como a análise do endereço IP e do nome de domínio/FQDN. Além disso, a inspeção do certificado utilizado durante o handshake pode fornecer pistas valiosas. Algumas soluções mais avançadas empregam análises sofisticadas de padrões de tráfego, como tamanhos de pacotes e intervalos de transmissão, que funcionam como uma "assinatura digital" característica de aplicações específicas. A precisão na identificação de aplicações atinge seu ápice quando é possível examinar o payload diretamente, utilizando tecnologias como Deep Packet Inspection (DPI) ou Application Visibility and Control (AVC). Isso, no entanto, requer a implementação de uma arquitetura de descriptografia Man-in-the-Middle (MitM) no firewall. Com essa abordagem, torna-se viável a análise minuciosa de todo o conteúdo da camada 7, incluindo cabeçalhos HTTP, URLs, parâmetros POST e GET, arquivos de mídia e outros dados relevantes.

​@@Leonardo-Furtado que explicação top!!! como o dns é totalmente segregado do acesso ao servidor o único jeito de saber exatamente o que se está sendo acessado é o Cabeçalho Host do HTTP, porém precisa da descriptografia, de resto vc só consegue analisar os dados do tcp/ip que não são criptografados, só achei bem estranho existir um ALG que consiga identificar esse tipo de acesso, mesmo com um CDN na frente, vou estudar mais esse tipo de tecnolgia.

Sim, procede!

@@Leonardo-Furtado trabalho com a peça essa carinha dela é bem unica.

Todos que peitaram, sofreram sérias consequências. Fazer o que? Invadir o STF? Isso já foi feito, e qual foi o resultado, além de centenas de pessoas presas sem o devido processo legal? Novamente... fazer o que?

Proponho um experimento: abra um CNPJ, obtenha sua licença para operar como ISP e, então, descumpra uma ordem desse tipo (independentemente de sua opinião pessoal sobre ela). Observe as consequências que enfrentará, vendo seu patrimônio desmoronar, e reflita se isso não mudaria sua perspectiva. Ressalto que estou abordando o assunto de maneira técnica e profissional, deixando de lado minhas opiniões pessoais. Não se trata de concordância, mas de lógica e inteligência. Todos que enfrentaram o judiciário, não acatando ordem (absurdas, eu sei) pagaram um preço MUITO alto.

Na verdade, especialmente em ambiente corporativo, é possível por meios da arquitetura adequada fazer a inspeção do conteúdo (AVC + ETA), mas sabemos que isto é inviável para a realidade ISP devido ao altíssimo custo + complexidade + escala. Ainda assim, concordo com você que é bem complicado se compararmos também com o que tem evoluído na questão do DNS.

Imagina se as operadoras tivessem que implantar NGFW ou algo parecido para tratar esses bloqueios a nível de aplicação, sejam com um app Control ou outra ferramenta? Teriam que ser equipamentos absurdamente parrudos. Em relação ao vídeo, a explicação e sensacional. Parabéns mestre por mais esse excelente vídeo.

Pois bem, sabemos que tráfego HTTPS é tudo aquilo que flui sobre o TCP na porta 443, certo? E que há ali, também, os procedimentos SSL. Para um roteador, é tudo "IP" ou "IPv6". Em termos de tráfego transportado pelo IP, é tudo TCP porta 443. Como então resolvermos este desafio? Em cenários em que o tráfego estiver criptografado, há como deduzir a aplicação (ex: Twitter) por alguns métodos. O SNI (Server Name Indication) pode indicar isto, assim como o endereço IP e nome do domínio/FQDN. Uma inspeção sobre o certificado usado durante o handshake pode contribuir para a detecção da aplicação. Algumas plataformas vão além, e fazem também uma análise complexa de tamanhos dos pacotes, intervalos de transmissão, e outras características que servem como uma "assinatura" característica de uma aplicação conhecida. Agora, a precisão é muito alta quando conseguimos olhar o payload, ou seja, fazendo uso mesmo do DPI ou AVC. Obviamente, isto exige inserir o firewall como uma arquitetura de Man-in-the-Middle (MitM) decryption. Combinando estas tecnologias, conseguimos analisar todo o payload L7, incluindo cabeçalhos HTTP, URLs, e até mesmo os parâmetros POST e GET, arquivos de mídia, e outros dados.

​@@Leonardo-Furtado muuito obrigado cara, pela explicação, eu iria perguntar sobre como eles conseguem os certificados, mas dei uma pesquisada, e parece que a certificadora criaria um certificado pra enganar o navegador, imagino que seja isso, valeus.

Video top demais, não vi outro explicando nesse nível..

Firewalls com capacidades elevadas de banda agregada + taxas de comutação custam uma baba razoável e, nestes ambientes de ISP, onde as matrizes de conversação ocorrem em taxas elevadas, com elevada volumetria em bits por segundo, você precisaria de diversos equipamentos destes devidamente dimensionados. Sem contar que inspeção de aplicações é quase sempre viabilizada por meios de custosas licenças de software. E aí, os ISPs tem que se virar e torrar milhões em equipamentos e licenças para conseguirem bloquear acessos a estes sites, só porque o judiciário está obrigando? Logo no Brasil, um país com a maior carga tributária do mundo, onde comprar um parafuso de tecnologia já custa uma fortuna somente em impostos? Muitas empresas de outros segmentos de mercados já possuem esta tecnologia, mas isto é praticamente inexistente nas redes de acesso e backbones de ISPs.

Simplesmente inviável pra uma parcela considerável de ISPs chegarem nesse nível. E muito diferente te de fazer um bloqueio de um simples blog de conteúdo. O X é uma plataforma complexa que trabalha com diversos micro-services, e foi pensada pra receber milhões de requests ou seja, muitas das vezes ele se auto-escala e bem complexo isso.

🫡

A resposta para isto é simples. Todos aqueles que enfrentaram o STF sofreram com todo o tipo de perseguição: prisão, sequestro de bens, cancelamento de redes sociais, confisco de contas bancárias (vide o caso do senador Marcos do Val, que teve 50 milhões (que nem possui na verdade) confiscados)); o caso do deputado Daniel Silveira, que foi preso por peitar. O caso da Starlink teve contas bloqueadas porque entenderam que o dono era o mesmo do X e que o X não estava cumprindo as ordens, dentre tantos outros perseguidos, multados, e exilados. As pessoas tem dois caminhos: obedecer e tentar reverter isto de outro (algum) jeito, ou recusar a cumprir e sofrer todas as sanções e punições, que fatalmente acontecerão, como tem acontecido desde que este circo jurídico todo começou. É o fim.

@@Leonardo-Furtado Muito obrigado pela cuidadosa resposta. Bom saber que lutamos na mesma trincheira!

\o/ \o/

@@coldrenatinho 🤷🏻‍♂️

Firewalls modernos oferecem serviços como o SSL Decryption, que implementa Decrypt Re-Sign. No início da comunicação, enquanto os procedimentos SSL ainda não foram concluídos, o usuário é redirecionado para fazer a conexão segura com o firewall - que funcionaria como um proxy neste caso - e o firewall é quem faria a conexão com os serviços externos. Desta forma, as corporações conseguem interceptar e inspecionar os acessos. O problema é que em ambiente ISP isto exigiria muitos equipamentos de elevada capacidade e custos de licenciamento, tornando praticamente inviável o modelo econômico da Internet banda-larga residencial que conhecemos nos dias atuais.

@@Leonardo-Furtado mas aí como eles usam um certificado válido para aquele domínio, assinado por uma autoridade certificadora?

Como eu disse, neste cenário o computador cliente fecha os procedimentos de certificação com o firewall, que por sua vez fecha a conexão com o X, por exemplo. O X tem um certificado com os dados "Common Name (CN): twitter.com; Organization (O): Twitter, Inc", que foi emitido pela Norton trusted CA, e esta CA é trusted tanto nos navegadores quanto pelo próprio firewall. Sabemos que o firewall atua neste caso como Man-in-the-Middle (MITM) SSL Proxy. Logo, a coisa funciona assim: o usuário tenta acessar um site seguro, como o x.com. O navegador do usuário inicia o handshake SSL/TLS, solicitando o certificado do site para estabelecer uma conexão segura. O firewall intercepta essa solicitação, pois ele está configurado para atuar como um proxy transparente entre o usuário e o site. Neste momento, a conexão ainda não está criptografada, porque o processo de handshake SSL/TLS ainda não foi finalizado. Em seguida, o firewall, ao invés de simplesmente redirecionar a conexão para o site externo, gera um certificado temporário em nome do site (x.com). Este certificado é assinado pelo próprio firewall (ou por uma CA interna da empresa, que o firewall controla), e não diretamente pela autoridade certificadora original do site (x.com). Obviamente, para isto funcionar, para que o navegador do usuário aceite esse certificado gerado pelo firewall como válido, a autoridade certificadora que assinou o certificado temporário (CA do firewall ou da empresa) precisa estar previamente instalada e confiável no dispositivo do usuário.

@@awillmoto7876 neste caso só restaram uma dúvida, quem tem acesso ao FW que tivesse esse recurso conseguiria ver as senhas ? E todas as empresas corporativas será que usam isso?

@@diegosatriani2624 acredito que o certificado seria inválido

Olá Roque, blz? Então, essa playlist aí do BGP faz parte dos conteúdos para membros Premium do canal, e os acessos são para este nível de membros.

@@Leonardo-Furtado Como posso me tornar um membro premium ? Ou quais procedimentos para fazer parte da tua comunidade, estive a dar uma olhada e estou interessado nos cursos que lá estão, tanto do CCNA em diferentes módulos, o BGP e curso técnico. E como estou falando de Angola, qual moeda está a ser pago na tua plataforma ?

@@roquepascoalmuhongopascoal801 na plataforma, os meios de pagamento incluem Apple Pay, Google Pay, Paypal, Stripe, Link, e cartão de crédito. Os preços estão em BRL, mas essas carteiras digitais, ou seu cartão de crédito, devem suportar a conversão tranquilamente.

@@Leonardo-Furtado Boas mais velho Leo, vou entrar na sua comunidade, depois do pagamento recebo as credenciais para ter acesso a plataforma ou tem outro procedimento ?. Um dia terei bons e muitos conhecimentos tal como você tem. Obrigado pelas informações, porque estava a supor que é valor em dólar.

@@roquepascoalmuhongopascoal801 sim, o acesso é imediato! Abs, Roque!

Somos campeões nesse departamento!