[hm] [off-topic] Censurada una web pro-aborto en el estado español por varia ISPs

fadelkon fadelkon en posteo.net
Lun Abr 27 21:23:28 CEST 2020 

Hola elle flane

El 27/4/20 a les 13:57, elle_flane ha escrit:
>
> ok, a mi tambien me parecía el tema gravísmo,
>
> pero hay que descartar el error por tema de certificado.
>

Creo que hay un cabo suelto todavía: la censura se está aplicando a
nivel de red de la operadora, por eso a algunas nos aparece algo y a
otras otra cosa, depende de qué operadora usemos. Si os están bloqueando
por DNS, es normal que no tengáis problemas de certificado.


> Tampoco lo entendía.
>
> El propio hosting puede emitir un certificado, porque no emite un
> certificado válido?
>
> Podeis explicar hacer una mini explicación de como funcionan los
> certificados quien los regula?
>


Women on web tiene un certificado válido de let's encrypt, actualizado y
bien configurado, normal. El problema es que los que usamos la red de
Vodafone, no llegamos a ver ese certificado cuando intentamos entrar a
su web. Vodafone intercepta la comunicación y nos presenta otro falso.
Es un ejemplo típico de middle-person o man-in-the-middle.


Un poco frustrado por estar dando vueltas a lo mismo sin conseguir
explicarme mejor, he probado dibujando:
https://sub.marin.li/media/censura.png

Explicación del dibujo:

Hay 4 ISP:

- Verde, Jazztel, censura por DNS. Se puede saltar como explica Jose,
configurando tu máquina para que use otro servidor DNS, o en su defecto,
apuntar la IP-nombre en /etc/hosts para que el sistema operativo no
tenga que preguntar al DNS, que miente. Los certificados no pintan nada
aquí, no debería haber ningún problema relacionado.
- Rosa, Vodafone, censura por SNI usando Allot. Si detecta que haces una
conexión TLS a womenonweb, en vez de transportar tu petición hasta el
final, la responde con un certificado falso; si lo aceptas y sigues con
la petición HTTP, te devuelve una página en blanco de substitución que
dice "Por causas ajenas a Vodafone, esta web no está disponible"
- Amarillo, Movistar, censura con firewall usando Fortigate de Fortinet.
Si detecta que haces una conexión TCP la IP de womenonweb, en vez de
transportar la petición, la responde con RST (reset) de TCP, cerrando el
socket. Es menos sofisticado que la técnica rosa, pero igual de efectiva
en muchas situaciones.
- Blue, Fundació Guifinet, no censura. Puedes visitar la web normal
porque hace su trabajo.

La parte de Movistar es la que he visto menos pruebas y no estoy seguro
de qué usan para bloquear. Orange no sé qué hace, y Jazztel no sé si
tiene red propia o la compró otra.


Salud,
fdk


------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20200427/e19b01fa/attachment.sig>

Más información sobre la lista de distribución HackMeeting