cTRANSLATION FRENCH >>> ENGLISH
This text contains evidence about Bluecoat.com implication in the Syrian censorship and countrywide monitoring system. If you think this is kinda evil, give us a hand by helping translationg part of this text. Warning, this is pretty geeky.

Translating this text in english will help give organization like the EFF all the needed evidence for further action

THANKS FOR YOUR HELP
------------------------------------------------ (:=~~~~~~~~~

 Bluecoat's role in Syrian censorship and nationwide monitoring system
 
 
Nous vous avons déjà parlé de Bluecoat, une entreprise originaire d'un pays qui bombarde la liberté sur des pays entiers sous prétexte qu'ils ont des armes de destruction massive imaginaires... oui les USA.


We have already talked about Bluecoat, a company from a country that allegedly sets other countries free by bombing the population, under the pretense that these countries own - imaginary - weapons of mass destruction... yes, we are talking about the USA.

Mickey est, comme la France, très en pointe sur les technologies de filtrage d'Internet. Mais comme ces technologies sont interdites dans la majeure partie des démocraties (en France, le code des Postes et Télécommunications est formel) et qu'il faut bien trouver des débouchés commerciaux aux outils de la censure, il n'est pas rare qu'on vende deux ou trois machins à de bons gros dictateurs assumés... <subliminal> à l'image de ce grand patron français qui, le 13 février dernier, se trouvait à Tripoli pour vendre à l'ami Kadhafi un système d'écoute "Nation Wide" et un NAS assez conséquent pour mettre en cache tout Google</subliminal>

Just like France, Mickey Mouse's native country is really up to date on Internet filtering technologies. But, as these technologies are prohibited in almost every democratic country (in France, the "Code des Postes et Télécommunications" is very strict on this matter) and as companies have to find a way to sell these censorship tools, it is not uncommon that they sell a couple of these to renown dictators... - like this French CEO who, on the 13th of February 2011, was in Tripoli and sold a nation-wide monitoring device to Gaddafi, as well as a NAS large enough to entirely cache Google.


Ceci nous dérange. Et ça nous dérange encore plus quand le dictateur en question envoie les snipers et autres chars d'assaut tirer sur sa propre population.

Avec l'aide de nos amis de Telecomix et le soutien d'activistes plus ou moins affiliés à Anonymous, nous vous livrons aujourd'hui de nouveaux éléments sur l'implication de BlueCoat dans la mise en place des outils de censure et de répression de la Syrie.
Nous avons étudié le fonctionnement de la censure syrienne un peu plus en détail. Nous soupçonnons l'utilisation de deux technologies. La première est assez simple, relativement efficace (mais tout à fait contournable) : le proxy filtrant.

This bothers us. And it does even more when a dictator sends his army - that is, snipers and tanks - shooting his own population.

Today, thanks to our friends from Telecomix and to the support of other hacktivists more or less affiliated to Anonymous, we are able to release new elements on BlueCoat's implication in the setting up of the Syrian censorship and repression tools. We've studied how the Syrian censorship works more closely. We suspect they use two different technologies. The first one is rather simple, reasonably efficient (but can be easilly bypassed) : the filtering proxy.


La seconde, bien plus vicieuse et que l'on ne vous présente même plus sur Reflets, c'est le Deep Packet Inspection (inspection en profondeur des paquets), capable de labelliser du trafic Internet afin d'en déterminer une règle de routage, de blocage, ou d'interception de la communication. Le DPI c'est avant tout une spécialité bien française, mais les américains ne sont pas en reste. Il faut dire que le marché, avant le printemps arabe, semblait particulièrement porteur... il l'est un peu moins maintenant et tout ça va quand même finir par se voir.

Wev'e talked about the second one on Reflets.info on several occasions, it's the Deep Packet Inspection, which is much more vicious than the latter. It is able to tag the internet traffic and then decide of a routing policy, in order to either intercept or block the communication. DPI is not only a French specialty, as the US play an equally important role. This is notably explained by the fact that the market for this technology seemed particularly promising before the Arab spring... Although now it seems to be less the case, as it becomes more likely that Internet filtering related trade agreements will come to the public's knowledge.


Nos amis de BlueCoat, qui sont aujourd'hui à l'honneur, disposent d'une large gamme d'outils de censure du Net, toujours présentés comme des outils bienveillants destinés à protéger nos enfants des pédonazis du Net, ou à préserver votre Windows d'attaques virales. Accessoirement, dans certaines dictatures, le DPI, ça peut aussi servir à éradiquer toute forme d'opposition ou à contrôler de manière massive des flux informationnels... mais ça, évidemment, on ne le trouve pas dans des plaquettes commerciales... peut être dans quelques white papers "confidentiels" comme sur celui de Qosmos qui nous explique les vertus du DPI pour un état.

Our friends from BlueCoat, whom we honour today, have a large number of tools dedicated to Internet censorship. These are always presented as benevolent tools which supposedly protect our kids from "PedoNazis" on the Web, or protect your Windows OS against viruses. Incidentally, in some dictatorships, DPI can also be used to eradicate any kind of opposition or to control the information flow at a very large scale... of course, this purpose is not described in marketing brochures... though it can be found in some "confidential" white papers, like the one released by Qosmos, which details the benefits of nation-wide DPI.


Quelques tests menés directement depuis la Syrie nous ont permis de mettre en lumière l'utilisation de proxys filtrants et certainement d'outils de Deep Packet Inspection par le gouvernement Syrien grâce aux technologies américaines fabriquées par la firme BlueCoat.
Voici les tests qui ont été effectués et qui ont permis de dévoiler les systèmes de censure et de surveillance syriens. Nous essayons ici de vous en donner les principaux résultats, en décrivant la procédure que nous avons suivie et ce que nous avons observé.

Some tests were directly performed from Syria, which allowed us to highlight the use of filtering proxies, as well as the possible use of Deep Packet Inspection tools by the Syrian government, by means of American technologies created by Bluecoat. We present here the tests that have been carried out. We will try to give you the main results by describing the procedure we have followed and by detailing what we observed.


Nous avions à notre disposition une machine serveur, que l'on appellera machine "S", située dans un pays « suffisamment démocratique » pour que l'ensemble des requêtes lui parviennent non altérées (de son côté, du moins), qu'elle soient effectuées en TCP, en UDP, et quel que soit leur contenu.

Let us consider a server that we will denote "S", located in a "democratic enough" country, so that all the queries - whether TCP or UDP, and whatever their content may be - reach this machine without being altered (on the "democratic country" side, at least).


Considérons également deux machines situées sur le territoire syrien, connectées avec un ADSL classique et utilisant deux FAI différents :

Consider also two home computers located inside the Syrian territory, connected through a standard ADSL connection and using two different ISPs:

En premier lieu, des tests de connexions depuis "A" vers "S" ont été effectués, voici un résumé des résultats :

We firstly performed TCP connection tests from "A" to "S". Here is a summary of the results:

  X-Forwarded-For: 31.9.... (IP de "A")
  X-BlueCoat-Via: 2C044BEC00210EB6
Bon, cela se passe de commentaire. La requête a été redirigée vers un équipement BlueCoat qui nous l'a ensuite forwardée, et "A" n'est au courant de rien. Rien à dire de plus. Ah, si, le modèle de l'équipement :BlueCoat Proxy SG-9000.

  X-Forwarded-For: 31.9.... (IP of "A")
  X-BlueCoat-Via: 2C044BEC00210EB6
Well, it speaks for itself. The query was redirected through a BlueCoat equipment, which thenforwarded it back to the server. And "A" did not have a chance to know it. Nothing else to say. Excepted, maybe, as bonus information, that the equipment was a BlueCoat Proxy SG-9000.



Qu'en est-il de la Syrian Computer Society ? Voici les résultats des tests effectués depuis la machine "B", toujours en direction de "S" :

What about the Syrian Computer Society? Here are the results of the tests performed from computer "B" towards "S", again:


  X-Forwarded-For: 77.44.... (IP de "B")
  X-BlueCoat-Via: E4007B080BF520E6
  X-Forwarded-For: 77.44.... (IP of "B")
  X-BlueCoat-Via: E4007B080BF520E6




Il faut dire que ce coup-ci on s'y attendait un peu. Comme précédemment, du point de vue du client, rien ne permet de savoir que notre requête a été redirigée vers un proxy. Une petite différence tout de même, puisque le modèle de cet équipement est un BlueCoat SG-400. Nous avons effectué en outre un troisième test, et fait une requête HTTP pour la page "/proxy.html" depuis "B", toujours vers "S". Résultat : rien n'arrive à "S", et "B" se voit retourner une belle page HTML spécifiant que la page demandée est indisponible. Bon, évidemment, le mot "proxy" dans la requête n'avait pas été choisi au hasard... Le résultat ne fut donc qu'une demi-surprise, mais confirme bien le filtrage de certaines URL.

Well, this time, we can say we were half-expecting it. As in the previous case, from the client's point of view, nothing indicates that our request had been redirected to a proxy. There is a slight difference, however, since the model is a BlueCoat SG-400. In addition, we have run a third test that consisted in performing an HTTP request for the page "/proxy.html" from "B", still to "S". Result: nothing received by "S", and "B" displayed a fancy HTML page explaining that the requested page was unavailable. Of course, we had not chosen the word "proxy" randomly... Therefore, the result was not so surprising, but it confirmed that some URLs were filtered.



Pour synthétiser, tirons quelques conclusions de ces observations. Concernant la politique de blocage et d'observation, il est clair que le gouvernement syrien a compris que la vaste majorité du trafic se passe sur le Web, i.e. par le port 80. Et la plupart des syriens n'ont pas le réflexe d'utiliser le HTTPS (port 443). De toutes façons, il existe pléthore de sites qui ne fournissent pas d'accès sécurisé. Voici donc une façon simple et efficace de récupérer des logins et mots de passe par milliers et d'aller fouiller dans les boîtes mails à volonté. Nous avons vu également que le port 5060, utilisé pour la VoIP sur le protocol SIP, est bloqué. 

Let us draw some conclusions from these experiments. Concerning blocking and observation policies, it is clear that the Syrian government understands that a very large majority of the Internet traffic happens on the WWW, i.e. through port 80. And most Syrians do not have the habit to use HTTPS (port 443). Most websites do not even provide a secure access. This is thus a simple and efficient way to sniff thousands of logins and passwords and to dig through webmail ad libitum. We also observed that port 5060, normally used for VoIP via the SIP protocol, is blocked.


Et nous savons que Skype est utilisé de façon très large en Syrie. Le gouvernement aurait-il donc intérêt à ce que les gens continuent d'utiliser Skype en les empêchant de se servir de moyens alternatifs mieux sécurisés ? Le blocage sélectif des ports 5060 et 5061 rend cette perspective crédible, et par la même occasion, permet de se demander s'il existe une coopération quelconque entre Skype et le gouvernement syrien pour collecter les données personnelles des utilisateurs. 

We also know that Skype is widely used in Syria. Does the government have an interest in letting people continue to use Skype by impeding them to use better secure alternatives? The selective blocking of ports 5060 and 5061 makes this perspective possible, and we may also wonder if there is some kind of cooperation between Skype and the Syrian governement, with an aim to collect users' personal data. 

Il convient toutefois d'envisager également que les blocages sélectifs de ports pourraient très bien être le fruit d'une configuration "par défaut" des équipements installés tel quels par les autorités. Éventualité également possible au vu des failles de sécurité béantes que nous avons croisées sur notre chemin et qui semblent indiquer une certaine précipitation (ou incompétence) dans l'installation des matériels.

However, these selective blockings could also be the result of the "default" configuration of  equipment installed by the authorities. This seems also probable considering the wide-open security flaws that we came across, and which might indicate that the team in charge of the  equipment installation was either in a hurry or incompetent.



Techniquement parlant, nous avons observé tout d'abord que le routage du trafic des clients ADSL se faisait en fonction du port TCP demandé. Si le port est différent de 80 et qu'il n'est pas bloqué, la requête parvient directement au serveur. Si c'est le port 80 qui est demandé, elle est redirigée vers un proxy BlueCoat sans que le client ne s'en aperçoive. 

From a more technical perspective, we firstly observed that the traffic routing from ADSL clients was performed depending on the requested TCP port. If the port differs from 80 and is not concerned by a blocking policy, the request goes directly to the server. If the port 80 is requested, it is redirected to a BlueCoat proxy without letting client know it.

Ensuite, l'équipement BlueCoat se charge de lire la requête et d'éventuellement la transmettre, si celle-ci ne contient pas de mot-clé interdit ou ne tente pas d'accéder à un site Web proscrit. Dans tous les cas, l'action de l'utilisateur est loggée (à son insu, bien entendu), nous en avions brièvement parlé dans un article précédent. En bref, le trafic est potentiellement observé et modifié à deux niveaux : selon les données du protocol IP (numéro du port demandé), puis selon les données du protocol HTTP.

Furthermore, the BlueCoat equipment is in charge of parsing the request and forwarding it, under the condition that it does not contain forbidden keywords or does not target a blacklisted website. In any case, the user action is stored in log files (obviously without their knowledge) - we briefly talked about it in a previous article. In a nutshell, the traffic can be monitored and altered at two levels : firstly depending on IP protocol data (requested port number), and then according to HTTP data.


DPI ou pas DPI ?

Suspected presence of DPI-capable devices

La nature même d'un équipement de Deep packet Inspection n'autorise pas sa détection. Ces derniers, connectés en Ethernet au "cul du tuyau" national, ne sont pas visibles depuis l'extérieur. SI nous n'avons pas de certitude quant à leur présence effective, nous soupçonnons pourtant la présence d'un mécanisme capable d'analyser le trafic à la volée, de taguer (labelliser) ce trafic, afin d'y appliquer des règles de routage, de blocage, d'archivage... le tout joyeusement réencapsulé grâce à la magie du protocole MPLS.

The very nature of a Deep Packet Inspection equipment does not allow its detection. These equipments, connected to an Ethernet port at the very end of the national network, are not visible from outside. While we can not ascertain these equipments effective presence, we suspect the existence of a mechanism which is able to analyse the traffic on the fly and tag it, in order to apply routing, blocking, archiving rules... All of this being merrily reencapsulated thanks to the magic of the MPLS protocol.


 Un simple proxy filtrant n'ayant à notre connaissance pas ce type de supers pouvoirs, nous en déduisons bien la présence d'outils d'analyse en profondeur de paquets.
 
As a simple filtering proxy does not have such superpowers to our knowledge, we could deduce the actual presence of Deep Packet Inspection tools
 
 
BlueCoat responsable ou coupable ?

BlueCoat: liable or guilty ?

Nous n'avons à ce jour aucune preuve formelle que BlueCoat a directement vendu ces équipements au régime syrien. La nature même de ce type de marché révèle la présence d'intégrateurs de technologies de fabricants. BlueCoat est à la fois fabricant et intégrateur mais ses technologies sont fort probablement intégrées par d'autres entités, clientes de BlueCoat. Cependant, ce type de marchés inclue généralement des volants de maintenance, de formation qui ne peuvent échapper à la sagacité du fournisseur de technologie impliquée.

At the moment, we have no formal evidence that BlueCoat directly sold these equipments to the Syrian regime. The very nature of this kind of contract reveals the presence of technology integrators. BlueCoat are at the same time manufacturer and integrator, but their technologies are most probably indirectly integrated by some of their clients. However, this kind of contract often includes maintenance and training clauses, which can definitely not be ignored by the firm that provided the equipment.

Nous sommes en 2011, les Etats et des sociétés privées vous protègent ... ayez confiance.

This is year 2011, states and private companies are here to protect you... feel safe.