Jordi Castelló

The Spooky Script Kitty

1 minuto(s) de lectura

Venga, explico rápido sobre lo que he podido ver de la censura esta que usa Vodafone, esa que han usado hoy sin querer contra un dominio que ha jodido Twitch.

Mini hilo sobre ello (o eso espero, luego acabo pasándome) 👇

1 / 9

A ver, hay una web muy oportuna con la que se pueden hacer pruebas. Nuestra querida sci-hub 🙌.

¿Por qué es perfecta para las pruebas? Porque tiene dos dominios: uno capado y otro no capado.

http://sci-hub.se y http://sci-hub.st :D

2 / 9

Si accedes a http://sci-hub.se desde Vodafone en HTTP te va a salir un mensaje muy simpático y desde HTTPS un error de certificado. Un certificado autofirmado por una entidad española 😎, que entre sus clientes tiene a Vodafone :)

Página inaccesible debido a la censura Error de certificado al intentar acceder a Sci-hub Información del certificado autofirmado Página web de allot 3 / 9

Por otro lado, si accedes al otro dominio, todo correcto (de hecho te fuerza a HTTPS que con el otro no pasa).

Mirror web de Sci-hub 4 / 9

¿Pero cómo se puede saber que no es redirección de DNS sino modificación de paquetes? Fácil, mirad lo que dice el servidor DNS para ambos. Muy parecidos ¿verdad? Si buscas por GeoIP se puede ver fácilmente que pertenecen a la misma compañía.

Consulta de DNS para el dominio de sci-hub Información mostrada por geoip para la IP de Sci-hub 5 / 9

Falta la última pregunta, ¿Lo que nos llega es la respuestas del servidor modificada o directamente nos responde a la petición el farsante? Bueno, pues con esto tenemos la suerte de que ambos servidores están en el mismo lugar. Podemos comparar :)

6 / 9

¿Comparar qué? Pues veréis, nuestro amigo protocolo IP es un chivato sin querer, cada paquete tiene un tiempo de vida, se asigna un número y por cada router que pasa se va restando 1, si llega a 0 se descarta el paquete (se usa para que no de vueltas sin fin).

7 / 9

Y por defecto suele ser 64. A lo que voy es que se pueden comparar los saltos restantes para un server y para otro (porque están en el mismo lugar físico, Holanda). Miremos pues en los tres casos: el primero en plano, el del certificado falso y el que funciona bien.

Demostración de TTL ruta texto plano Demostración de TTL ruta certificado cambiado Demostración de TTL ruta de web sin alterar 8 / 9

Casualmente los paquetes del servidor legítimo aparecen casi todos con 52-53 saltos restantes, es decir, vienen de más lejos que los del falso. Tiene sentido siendo si está ubicado en España. :)

9 / 9

Puede que también te interese

Primeras impresiones del Flipper Zero

12 minuto(s) de lectura

Como algunos sabréis estos últimos días me llegó el Flipper Zero. Yo personalmente hacía tiempo que le tenía el ojo echado, ya no por todo el tema de ciberse...

Ingeniería inversa sobre software de FNIRSI

6 minuto(s) de lectura

¿Qué es eso te preguntarás? Hace un par de meses compré un cacharro de AliExpress con la idea de usarlo para hacer una fuente de alimentación regulable bara...