Técnica “Boobs check” para verificar si un sitio detrás de un CDN está alojado en Irán

Comentarios de Hacker News

• Esto solo funciona cuando el proxy inverso o CDN está configurado así
  Proxy/CDN: HTTPS(443) → servidor de origen: HTTP(80)
  Por ejemplo, el modo Flexible de Cloudflare funciona de esa manera
  Si el servidor de origen usa una configuración TLS correcta (incluso con un certificado autofirmado), este método no funciona
  O sea, solo tiene éxito cuando la conexión upstream no está cifrada
  Para probarlo, se puede verificar con este comando
  curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

  • Ah, Cloudflare. Parece el desencriptador más desplegado del mundo
  • También funciona cuando se usa la única CA raíz aprobada por la National Information Network de Irán, como en el caso de DigiNotar
  • Esto no parece cierto. Un proxy inverso o CDN puede ver la URL completa de la solicitud aunque el servidor de origen use TLS (a menos que sea mTLS)
    No está claro si el filtrado ocurre en el proxy/CDN o en el origen. Ambas cosas son posibles
  • Yo también hice una configuración parecida
    cliente → LB(nginx) → terminación TLS en el LB → envío al nginx de backend con proxy_pass
    La configuración fue sorprendentemente sencilla. Me pregunto por qué todavía usan HTTP
    Incluso en mi casa puse certificados de Let's Encrypt en todos los dominios locales
    Por cierto, como nginx no soporta HTTP/2 en balanceo HTTPS, estoy pensando cambiarme a haproxy
  • Digiboy es un tesoro de software empresarial. Ahí conseguí una licencia pirateada de HPE iLO

• Me pregunto cómo funciona esto con HTTPS
  Los saltos intermedios no deberían poder ver la ruta, así que ¿esto implica que terminan TLS y hacen proxy en la frontera iraní?
  Si es así, eso significaría que todos los sitios en Irán están alojados solo con HTTP, lo cual tendría implicaciones mucho mayores
  ¿Será que las autoridades certificadoras no pueden emitir certificados privados a organizaciones iraníes? ¿Incluyendo Let's Encrypt?

  • Esto se refiere a otra cosa. La cuestión es detectar si el servidor backend está dentro o fuera de Irán
    TLS no impide que la red backend lea la URL
  • Buena parte de los enlaces upstream de Cloudflare antes eran texto plano
    Por eso criticaban a CF: porque solo protegía con TLS el tramo cliente–CF, mientras que CF–servidor iba en texto plano
  • Sí. En la National Information Network (NIN) de Irán, los sitios legítimos usan I.R.Iran CA o simplemente HTTP
    Como registrarse en la NIN casi no ofrece anonimato, xkcd 538 es una analogía bastante adecuada

• Me pregunto por qué alguien querría saber si un sitio está alojado en Irán

  • Probablemente para identificar sitios de propaganda extranjera
    Muchos de los sitios de noticias poco conocidos que circulan en redes sociales en realidad son sitios de operaciones psicológicas extranjeras
    Con el método del artículo se pueden poner en lista negra los sitios basados en Irán
  • Para las empresas de EE. UU., hacer negocios con Irán es ilegal
  • En lo personal, yo tampoco querría hacer negocios con ellos
  • Tal vez tenga que ver con acciones relacionadas con protestas, pero no lo sé con certeza

• Me pregunto si hay algún sitio de ejemplo que devuelva una respuesta así

  • Yo también tengo curiosidad por un sitio de ejemplo donde la solicitud se procese exitosamente ;)
  • Como ejemplo, está tehranpich.com. Está detrás de Cloudflare
  • ¿Estás preguntando si hay una foto de boobs en internet? (respuesta en tono de broma)

• Entonces, ¿Irán tendrá un proxy inverso delante de todo el tráfico HTTP?
  También me da curiosidad qué contenido tiene la página dentro del iframe

  • Con un firewall DPI estándar, eso es totalmente posible. Sin problema

• Hace tiempo, con unos amigos vimos una imagen de “advertencia” mezclando inglés y árabe
  Parecía una advertencia del departamento de censura del gobierno iraní, así que por diversión configuramos que apareciera en el 1% de las solicitudes del foro :)

• Leí el artículo, pero no entendí bien qué pasó. ¿Alguien me lo puede explicar?

  • Probablemente sea algo así
    Si haces una solicitud GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg)
    el servidor fuera de Irán devuelve 404 (Not Found), pero
    el servidor dentro de Irán detecta la palabra “boobs” en el firewall y bloquea la solicitud devolviendo 403 (Forbidden)
    Es decir, no llega al servidor web; el firewall la filtra antes

• ¿No podría causar esto un problema tipo Scunthorpe?
  Me pregunto si a los observadores de aves que busquen ‘boobies’ les bloquearían algo como ‘boobs.jpg’

• Entonces, ¿el rango 10.x.x.x se enruta de forma pública dentro de Irán?
  También me pregunto por qué el gobierno no usa su propio espacio IP

  • Las direcciones IP son caras, salvo que seas EE. UU.
    Quizá solo estén reutilizando un producto de filtrado empresarial común
    Al final, internet en Irán funciona como una enorme red privada
  • Yo también probé algunos sitios iraníes y no vi ni 403 ni iframe

• Pensé que se podría ampliar esta idea y hacer una lista de enlaces de Wikipedia con contenido humanitario que tenga alta probabilidad de ser bloqueado por regímenes censores
  Por ejemplo: la masacre y protestas de Tiananmén, el caso de corrupción de Wen Jiabao, los correos de Epstein, etc.
  Como Fast.com de Netflix, un proyecto así convertiría los sistemas de censura en armas contra sí mismos