Técnica de “Boobs check” para verificar se um site atrás de CDN está hospedado no Irã

Opinião no Hacker News

• Isso só funciona quando o proxy reverso ou CDN está configurado assim
  Proxy/CDN: HTTPS(443) → servidor de origem: HTTP(80)
  Por exemplo, o modo Flexible da Cloudflare funciona desse jeito
  Se o servidor de origem usar uma configuração TLS correta, mesmo com certificado autoassinado, isso não funciona
  Ou seja, só dá certo quando a conexão upstream não está criptografada
  Para testar, dá para verificar com o seguinte comando
  curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

  • Ah, Cloudflare. Parece o maior descriptografador amplamente implantado do mundo
  • Assim como no caso DigiNotar, também funciona quando se usa a única CA raiz aprovada pela National Information Network do Irã
  • Acho que isso não está correto. Um proxy reverso ou CDN consegue ver a URL completa da requisição mesmo que o servidor de origem use TLS (a menos que seja mTLS)
    Não está claro se a filtragem acontece no proxy/CDN ou na origem. Ambos são possíveis
  • Eu também já usei uma configuração parecida
    client → LB(nginx) → terminação de TLS no LB → encaminhamento para o nginx de backend via proxy_pass
    A configuração era surpreendentemente simples. Fico me perguntando por que ainda usam HTTP
    Em casa, também apliquei certificados Let's Encrypt em todos os domínios locais
    Aliás, como o nginx não suporta HTTP/2 em balanceamento HTTPS, estou pensando em trocar para haproxy
  • O Digiboy é um tesouro de software corporativo. Já consegui por lá uma licença pirateada de HPE iLO

• Fico curioso sobre como isso funciona em HTTPS
  Os saltos intermediários não deveriam conseguir ver o caminho; isso quer dizer que o TLS está sendo encerrado e proxied na fronteira iraniana?
  Se for isso, então significaria que todos os sites no Irã estão hospedados só em HTTP, o que teria implicações bem maiores
  Será que as autoridades certificadoras estão impedidas de emitir certificados privados para organizações iranianas? Incluindo a Let's Encrypt?

  • Isso está falando de outra coisa. A questão é detectar se o servidor de backend está dentro ou fora do Irã
    O TLS não impede que a rede de backend leia a URL
  • Boa parte dos upstreams da Cloudflare antigamente era em texto puro (plaintext)
    Por isso a CF era criticada por colocar TLS só no trecho cliente–CF e deixar o trecho CF–servidor em texto puro
  • Sim. Na National Information Network (NIN) do Irã, sites legais usam a I.R.Iran CA ou simplesmente HTTP
    Como o registro na NIN quase não oferece anonimato, xkcd 538 é uma comparação bastante apropriada

• Fico me perguntando por que alguém gostaria de saber se um site está hospedado no Irã

  • Provavelmente para identificar sites estrangeiros de propaganda
    Muitos sites de notícias pouco conhecidos que circulam em redes sociais são, na prática, sites estrangeiros de operação psicológica (psy-op)
    O método do artigo pode ser usado para colocar sites baseados no Irã em blacklist
  • Para empresas americanas, negociar com o Irã é ilegal
  • Eu também, pessoalmente, não gostaria de fazer negócios com eles
  • Talvez tenha a ver com ações ligadas a protestos, mas não sei ao certo

• Queria saber se existe algum site de exemplo que retorne esse tipo de resposta

  • Eu também queria um site de exemplo em que a requisição fosse processada com sucesso ;)
  • Como exemplo, tem tehranpich.com. Está atrás da Cloudflare
  • Você está perguntando se existe uma foto de boobs na internet? (reação em tom de piada)

• Então será que o Irã coloca um proxy reverso na frente de todo o tráfego HTTP?
  Também fico curioso sobre o que há na página web dentro do iframe

  • Se for um firewall padrão de DPI, isso é perfeitamente possível. Sem problema nenhum

• Há muito tempo, eu e meus amigos vimos uma imagem de “aviso” misturando inglês e árabe
  Parecia um aviso do departamento de censura do governo iraniano, então por diversão configuramos para mostrar essa imagem em 1% das requisições do fórum :)

• Li o artigo e ainda não entendi bem o que aconteceu. Alguém pode explicar?

  • Provavelmente é algo assim
    Se você fizer uma requisição GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg)
    o servidor fora do Irã retorna 404 (Not Found), mas
    o servidor dentro do Irã tem o pedido bloqueado pelo firewall ao detectar a palavra “boobs”, e então retorna 403 (Forbidden)
    Ou seja, a requisição nem chega ao servidor web; ela é filtrada no firewall

• Será que isso não causaria o problema de Scunthorpe?
  Fico pensando se observadores de aves procurando por “boobies” acabariam sendo bloqueados como em boobs.jpg

• Então a faixa 10.x.x.x seria roteada publicamente dentro do Irã?
  Também me pergunto por que o governo não usa seu próprio espaço de IP

  • Endereços IP são caros, a menos que você seja os EUA.
    Talvez estejam reaproveitando um produto de filtragem empresarial comum.
    No fim, a internet iraniana funciona como uma grande rede privada
  • Eu também testei alguns sites iranianos e não vi nem 403 nem iframe

• Pensando em expandir essa ideia, daria para montar uma lista de links da Wikipédia com conteúdo humanitário propenso a ser bloqueado por regimes censores
  Ex.: protestos e massacre da Praça da Paz Celestial de 1989, caso de corrupção de Wen Jiabao, emails do Epstein etc.
  Assim como o Fast.com da Netflix, um projeto desses seria uma forma de virar o sistema de censura contra ele mesmo