Teknik “Boobs check” untuk memeriksa apakah situs di balik CDN di-hosting di Iran

Komentar Hacker News

• Ini hanya bekerja jika reverse proxy atau CDN dikonfigurasi seperti berikut
  Proxy/CDN: HTTPS(443) → server asal: HTTP(80)
  Misalnya, mode Flexible Cloudflare bekerja dengan cara ini
  Jika server asal menggunakan konfigurasi TLS yang benar (bahkan sertifikat self-signed), metode ini tidak akan berhasil
  Artinya, ini hanya berhasil ketika koneksi upstream tidak dienkripsi
  Untuk mengujinya, bisa dicek dengan perintah berikut
  curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

  • Ah, Cloudflare. Rasanya seperti dekripsi sebagai layanan yang paling luas penyebarannya di dunia
  • Seperti kasus DigiNotar, ini juga bekerja saat memakai satu-satunya root CA yang disetujui oleh National Information Network Iran
  • Ini sepertinya tidak benar. Reverse proxy atau CDN tetap bisa melihat URL permintaan lengkap meskipun server asal memakai TLS (selama bukan mTLS)
    Tidak jelas apakah pemfilteran terjadi di proxy/CDN atau di origin. Keduanya mungkin
  • Saya juga pernah memakai konfigurasi serupa
    client → LB(nginx) → terminasi TLS di LB → diteruskan ke backend nginx dengan proxy_pass
    Konfigurasinya ternyata cukup sederhana. Saya heran kenapa orang masih memakai HTTP
    Bahkan di rumah saya memasang sertifikat Let's Encrypt untuk semua domain lokal
    Sebagai catatan, nginx tidak mendukung HTTP/2 untuk load balancing HTTPS, jadi saya sedang mempertimbangkan pindah ke haproxy
  • Digiboy adalah tambang harta karun untuk software enterprise. Saya pernah mendapatkan lisensi HPE iLO bajakan dari sana

• Saya penasaran bagaimana ini bisa bekerja di HTTPS
  Hop di tengah seharusnya tidak bisa melihat path, jadi apakah ini berarti TLS diakhiri dan diproksikan di perbatasan Iran?
  Jika begitu, berarti semua situs di Iran hanya di-host lewat HTTP, dan implikasinya jauh lebih besar
  Mungkinkah otoritas sertifikat dilarang menerbitkan sertifikat privat untuk organisasi Iran? Termasuk Let's Encrypt?

  • Ini membicarakan hal lain. Yang dideteksi adalah apakah server backend berada di dalam atau di luar Iran
    TLS tidak mencegah jaringan backend membaca URL
  • Dulu cukup banyak upstream Cloudflare yang memakai plaintext
    Karena itu Cloudflare dikritik karena hanya membungkus koneksi klien–CF dengan TLS sementara koneksi CF–server tetap plaintext
  • Betul. Di National Information Network (NIN) Iran, situs yang legal memakai I.R.Iran CA atau sekalian HTTP
    Karena pendaftaran NIN nyaris tidak memberi anonimitas, xkcd 538 adalah analogi yang cukup pas

• Saya penasaran kenapa seseorang ingin tahu apakah sebuah situs di-host di Iran

  • Mungkin untuk mengidentifikasi situs propaganda asing
    Cukup banyak situs berita tidak dikenal yang beredar di media sosial sebenarnya adalah situs operasi psikologis asing
    Metode di artikel itu bisa dipakai untuk memasukkan situs berbasis Iran ke blacklist
  • Bagi perusahaan AS, berbisnis dengan Iran itu ilegal
  • Secara pribadi saya juga tidak ingin berbisnis dengan mereka
  • Mungkin terkait aksi seputar protes, tapi saya tidak tahu pasti

• Saya ingin tahu apakah ada situs contoh yang mengembalikan respons seperti ini

  • Saya juga penasaran situs contoh yang benar-benar memproses permintaan ini dengan sukses ;)
  • Sebagai contoh ada tehranpich.com. Situs itu berada di balik Cloudflare
  • Apakah ini pertanyaan tentang apakah ada foto boobs di internet? (menanggapi dengan bercanda)

• Jadi apakah Iran menaruh reverse proxy di depan seluruh trafik HTTP?
  Saya juga penasaran apa isi halaman web di dalam iframe itu

  • Kalau ini firewall DPI standar, itu sangat mungkin dilakukan. Tidak masalah

• Dulu saya pernah melihat gambar “peringatan” campuran bahasa Inggris dan Arab bersama teman-teman
  Itu terlihat seperti peringatan dari departemen sensor pemerintah Iran, dan demi iseng kami mengatur agar gambar itu muncul pada 1% permintaan forum :)

• Saya sudah membaca artikelnya tapi masih tidak mengerti apa yang terjadi. Bisa ada yang menjelaskan?

  • Mungkin seperti ini
    Jika Anda mengirim permintaan GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg)
    server di luar Iran akan mengembalikan 404 (Not Found), tetapi
    server di dalam Iran akan membuat firewall mendeteksi kata “boobs” dan memblokir permintaan itu dengan mengembalikan 403 (Forbidden)
    Jadi permintaan itu disaring oleh firewall sebelum sempat mencapai web server

• Apakah ini bisa memicu masalah Scunthorpe?
  Saya penasaran apakah pengamat burung yang mencari ‘boobies’ juga akan diblokir seperti boobs.jpg

• Jadi apakah rentang 10.x.x.x dirutekan secara publik di dalam Iran?
  Saya juga heran kenapa pemerintah tidak memakai ruang IP mereka sendiri

  • Alamat IP mahal kalau Anda bukan AS.
    Bisa jadi mereka hanya mendaur ulang produk pemfilteran enterprise biasa.
    Pada akhirnya internet Iran berfungsi seperti jaringan privat raksasa
  • Saya juga menguji beberapa situs Iran, dan tidak melihat 403 maupun iframe

• Saya jadi berpikir ide ini bisa diperluas dengan membuat daftar tautan Wikipedia berisi konten kemanusiaan yang kemungkinan diblokir oleh rezim sensor
  Misalnya: peristiwa Tiananmen, kasus korupsi Wen Jiabao, email Epstein, dll.
  Seperti Fast.com milik Netflix, proyek semacam ini bisa menjadi cara membalikkan rezim sensor dengan senjata mereka sendiri