Fibra/Cable

🗞️

Vodafone empieza a bloquear sitios haciendo DPI también por SSL

bancho 26 marzo 2019 18:26 ✎ ◉

⋮

Acabo de ver por curiosidad, hasta hace unos meses todas las webs bloqueadas por orden judicial (ThePirateBay, y otras torrentes diversas) estaban bloqueadas en la red de Vodafone al acceder por HTTP (redirigiendo al famoso Castor) pero sí eran accesibles por HTTPS (ya que estaban en Cloudflare, por lo que no era factible hacer MITM de las IPs y probablemente su DPI no soportase leer el host desde la cabecera SNI, como sí que hace Movistar).

Pues ahora al ver la noticia sobre las nuevas webs que han bloqueado tras la última orden, me he dado cuenta de que ya no funcionan estas por SSL tampoco - ahora interceptan la conexión y devuelven una web con un escueto:

Por causas ajenas a Vodafone, esta web no está disponible.

Como curiosidad usan un certificado autofirmado a nombre de allot.com de día 11 de marzo, así que ya sabemos de dónde viene su sistema de DPI nuevo.

Por suerte están Firefox y Cloudflare para salvarnos, y las webs clausuradas y alojadas en Cloudflare siguen funcionando activando el soporte experimental de SNI encriptado por lo que ya es imposible hacer DPI.

$ curl -v -k https://thepiratebay.org/
*   Trying 104.25.116.37...
* TCP_NODELAY set
* Connected to thepiratebay.org (104.25.116.37) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES256-GCM-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: CN=thepiratebay.org
*  start date: Mar 12 11:21:19 2018 GMT
*  expire date: Mar 11 11:21:19 2020 GMT
*  issuer: C=ES; ST=Madrid; L=Madrid; O=Allot; OU=Allot; CN=allot.com/emailAddress=info@allot.com
*  SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: thepiratebay.org
> User-Agent: curl/7.36.0
> Accept: */*
>
< HTTP/1.1 502 Bad Gateway
< Content-Type: text/html
< Content-Length: 86
<
* Connection #0 to host thepiratebay.org left intact
<html><body><p>Por causas ajenas a Vodafone, esta web no está disponible</body></html>%

BocaDePez 26 marzo 2019 18:36

⋮

¿qué DNS estás usando?

BocaDePez 26 marzo 2019 19:11

⋮

Soy cliente de Movistar adsl y hay páginas torrent bloqueadas por IP geolocalización. Por mucho que bloqueen no podrán ponerle puertas al campo. Yo uso en mi firefox las extensiones anonymox y Kproy extensión y entro sin problemas.

✖

Lobo Anonimo 28 marzo 2019 00:29

⋮

No me creo que no veas paginas de torrents por bloqeos por IP geolocalizados.

Que pagina no puedes ver desde España por tu IP Español?

BocaDePez 26 marzo 2019 19:12

⋮

La verdad que cualquier DPI que hagan o eliminación de rutas que pongan es perder el tiempo y una inutilidad. Enésimo caso poner puertas al campo.

Famoso ejemplo rápido, eficaz, libre y gratuito de mandar a tomar viento cualquier restricción que pueda poner un ISP para llegar a una web: Tor browser.

pepejil 26 marzo 2019 20:04

⋮

Certificado autofirmado. Son unos putos genios. Nótese la ironia.

En cuanto cifren el SNI, se les acaba el chollo.

Por cierto, también afecta a ONO. Bonito aviso de Firefox diciéndome que es autofirmado.

✖

bancho 27 marzo 2019 02:33

⋮

En realidad no tienen mucha otra opción ya que certificado correcto para el dominio no pueden conseguir.. así que o cortan la conexión del todo como hace Movistar antes de seguir negociando, o meten un certificado válido pero para otro dominio (que error va a dar igual).

Así que esta es la manera menos cutre que tienen de conseguir mostrar un mensaje de error al final.

BocaDePez 26 marzo 2019 20:30

⋮

Ya veremos si finalmente se implementa el SNI encriptado en navegadores como Chrome (igual no interesa).

Tech 26 marzo 2019 21:23 ✎

⋮

Una solución que encontré hace un tiempo con Movistar es usar nip.io

pi@patata:~ $ curl mejortorrent.com
<!DOCTYPE html PUBLIC \"-//W3C//DTD HTML 4.01//EN\">
<!--
-->
<html>
  <head>
    <meta charset="utf-8"/>
    <title id="2">
      Judicial_Policia_Nacional
    </title>
  </head>
  <body>

pi@patata:~ $ curl mejortorrent.com.176.119.28.2.nip.io
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.mejortorrent.tv/">here</a>.</p>
</body></html>

NetVicious 27 marzo 2019 10:36

⋮

Activa del DNS-over-HTTPS y solucionado.

Como hacerlo en Firefox: wiki.mozilla.org/Trusted_Recursive_Resolver

✖

bancho 27 marzo 2019 11:28

⋮

No hacen el capado por DNS, da igual el que uses.

Leen todo el tráfico a las IPs de Cloudflare e interceptan la conexión si según las cabeceras va a uno de ños domikios bloqueados.

✖

NetVicious 27 marzo 2019 13:13

⋮

El enlace que has puesto indica como activar el SNI cifrado, pero para hacerlo todo totalmente opaco al proveedor de internet faltaría utilizar DNS-over-HTTPs. Obviamente si el proveedor de internet capa la IP a pelo no hay nada que hacer a excepción de utilizar un proxy.

✖

DonD 28 marzo 2019 13:36

⋮

El enlace que pone indica que hagas eso que tú indicas :)

It’s important to note that, as explained in ourblog post,
 you must also enable support for DNS over HTTPS (also known as “Trusted
 Recursive Resolver” in Firefox) in order to avoid leaking the websites
visited through plaintext DNS queries. To do that with Firefox, you can
simply follow the instructions onthis page.

BocaDePez 27 marzo 2019 15:31

⋮

Doy gracias por tener un proveedor local de fibra (elreydelafibra) que no hace ningún tipo de bloqueo a esas webs. Y encima a menor precios que las tres marias.

✖

mceds 27 marzo 2019 15:50

⋮

Precisamente porque es local y está relativamente a salvo de las autoridades. Ojo, relativamente, que tras veinte años de dejar pasar las cosas en España, puede que se pongan también serios con los pequeños proveedores.

✖

BocaDePez 27 marzo 2019 21:17

⋮

Espero que no, necesitamos mas competencia y eso sería una forma de hacer que no crezcan.

✖

mceds 28 marzo 2019 04:25

⋮

Aún así, me parecería irrelevante. El porcentaje de gente que se descarga cosas protegidas por copyright, que está en una "grande", que no sabe como saltarse los bloqueos de la "grande" y que se pasa a una "pequeña" por este motivo, debe de ser irrisorio.

✖

fjf 28 marzo 2019 13:20

⋮

✖

mceds 28 marzo 2019 13:46

⋮