¿OLO bloquea a El País?
27
WTF? El raro bloqueo de OLO a un diario español. Por: Arturo Zevallos (@chillinfart) ))=333
-
Upload
chillinfart -
Category
Documents
-
view
130 -
download
0
description
Extraño bloqueo al diario español El País detectado en el ISP peruano OLO. El caso recuerda al bloqueo que hizo Claro contra la prueba Glasnost.El PDF salió algo largo.http://es.scribd.com/doc/91667533/
Transcript of ¿OLO bloquea a El País?
WTF? El raro bloqueo de OLO a un diario español.
Por: Arturo Zevallos (@chillinfart)))=333
¿Qué pasa con OLO?
● OLO es un proveedor de acceso a internet basado en WiMax (inalámbrico fijo). http://olo.com.pe
● Durante su existencia salieron rumores de diversos incidentes (traffic shaping, pruebas de velocidad raras y hasta bloqueos de servicios o sitios).
● Los dos primeros indicios fueron estos:http://youtu.be/OKDfqoKt6bI
http://es.scribd.com/doc/118121354/
● Esas situaciones atentan contra la resolución 040-2005 de OSIPTEL, que contiene una referencia a la neutralidad de la red:Artículo 6.— Libertad de uso de aplicaciones o protocolos de Banda Ancha
Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo,independientemente de su origen, destino, naturaleza o propiedad.
El Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red.
¿Por Qué OLO bloquea al diario El País?
No sabemos en realidad (de hecho me parece absurdo), pero sí hay dos noticias recientes que coinciden:
● Una noticia internacional sobre la “licencia para matar” en el perú http://internacional.elpais.com/internacional/2014/02/21/actualidad/1392953601_330935.html
● Una noticia sobre la reorganización de Telefónica, que aquí ha motivado algunos chismes sobre los vínculos de sus protagonistas con algunos gurús de la red en el perú. http://economia.elpais.com/economia/2014/02/26/actualidad/1393423855_261248.html
El problema
● OLO aplica IPv6 sobre NAT en su infraestructura, pero no para proveer ese tipo de direcciones, sino para usar esa infraestructura como Firewall. Al final de la nota dejo estas explicaciones.
● Esto hace más difícil detectar situaciones que ya comprometieron a otros operadores (como Claro). En este caso por ejemplo, cambiar las DNS no es efectivo contra el bloqueo.
● Las pruebas de trazado no muestran nada raro, por otra parte debe ser el bloqueo y de eso trata esta diapositiva.
Comando traceroute (Linux, equivalente del tracert en Windows). Aparentemente no hay bloqueo, pero sigamos escarbando.
● Sin embargo, la web no carga. Tanto en Firefox (v.27) como Opera (v.12.16) se leen curiosos mensajes:
● “la conexión fue negada al intentar conectarse con economia.elpais.com”
● “connection closed by remote server”
● Las IP de las secciones del diario son notorias: 91.216.63.241 y 91.216.63.240
Anonymouse desbloqueando chavis... oh wait, el bloqueo fue en perú.
● Bajo el MS Network Monitor (usado en ocasiones anteriores) y repitiendo la prueba con Opera 12.16 no se consigue mucha información, a lo mucho un sondeo de puertos que falla.
● Para ahondar un poco más qué ocurre, probaremos con Wireshark, bajo Linux.
Agarrando una de las IP del diario El País, haciendo una petición por el puerto 1752.
Siguiendo la senda, se pide de nuevo la carga del sitio.
Cambio de puerto al 1753, error al cargar la página.
Análisis vía Wireshark
● Wireshark es una herramienta de código abierto para el análisis de los datos en una red. Es lo más cercano al MS Network Monitor que pude hallar para Linux. http://www.wireshark.org/
● Como mis conocimientos de redes son algo limitados, intentaré explicar esto de la forma más sencilla posible.
● Las sgtes. capturas corresponden a un intento de conexión a la segunda noticia (la de Telefónica).
● La primera captura muestra la orden GET seguida de la web y lo resaltado en gris, un mensaje de OK admitiendo la carga de la página.
● Lo particular viene en coincidencia con el cierre de la página en la segunda captura. Se ven tres columnas en rojo (errores) antes de la salida del mensaje de error en Opera (clients1.google.com, Opera al no hallar una web abre un buscador como vieron en las primeras capturas).
Ahora explico lo que significan esas líneas rojas.
● En todos los casos, el contacto a la web de El País es al puerto TCP 80, redireccionando al puerto 58172 (ver orden GET) desde el lado de OLO en esta prueba, pero al momento de la carga de la web el puerto cambia al 42889, 50740 y 50741 (los mensajes en rojo), aparentemente invalidando la comunicación.
● ¿Cambiazo de puertos? Con Claro he visto el mismo fenómeno hace un par de años, cuando ellos intentaron falsear o bloquear la prueba Glasnost.
● De hecho, los síntomas del MS Network Monitor en este caso se empatan con los de esa prueba.http://www.peruhardware.net/foros/showthread.php?t=146986
http://es.scribd.com/doc/91667533/
● En una evaluación más reciente noté la misma operación, carga la página y salen esos tres errores con las mismas diferencias de puertos.
Esto puede explicar por qué ese salto en el MS Network Monitor, al confundir el acceso con un cambio de puertos se invalida la conexión (tal como hizo Claro esa vez)
● Si bien los rangos de puertos en ambos casos son diferentes, el corte visto en cada caso coincide en ese punto. Don't be evil OLO.
Anonymouse
● Esta es la revisión via Wireshark de la carga de la misma web via Anonymouse (www.anonymouse.org ), un servicio simple para eludir los monitoreos del proveedor de internet. Para este caso basta (se limita a páginas web).
● Acá solo se ve un error (flag RST, reiniciando conexión) seguido de fragmentos de paquetes (flag PDU), lo que indica que está pasando información.
● El log en la parte inferior de la pantalla indica que está cargando el contenido de la página de El País (corresponde al paquete señalado en gris).
● Como en el otro caso, redirecciona puertos, al 50981 en este caso. Pero solo lo hace una vez, como si no tomara medidas.
● Solo necesito una captura para demostrar esta vaina.
Extras● ¿No nos estás cochineando sobre OLO?
No. De hecho, si han visto bien las capturas del Wireshark verán dos nombres conocidos (Seowonin y Winstron, fabricantes de los routers de OLO), que son manifestaciones del router. Algo de miedo porque Wireshark sopla sobre los handshakes de los usuarios que ingresan a la red.
Miren: www.seowonintech.co.kr/en/ ● Otra prueba es IPv6. Lo que decía al inicio, ellos usan una infraestructura que
provee esas direcciones, pero se limitan a usarla como firewall como en este caso.
Con un medidor de internet para linux (jnettop), encontré las peticiones del router con direcciones raras que resultaron ser IPv6 (en el perú aún no hay soporte para este rango de IP). En la siguiente captura verán cómo se han colado dos de esas manifestaciones.
Más info: .http://revolution.net.eu/2012/02/01/ipv6-and-nat/
Conclusiones
● Aunque no hay mucho detalle sobre este singular bloqueo, sí se percibe un cambiazo de puertos al cargar la web del diario El País, cortando la carga de la web.
● El caso se parece al bloqueo a la prueba Glasnost por parte de Claro, donde ellos redirigían maliciosamente los puertos para confundir o anular la prueba.
● Un cambio de DNS no lo resuelve (por ahí vieron las DNS de Google), pero sí un proxy (anonymouse en este caso) o VPN que oculte su contenido.
● La neutralidad de la red parece no importar a nadie, salvo a este loco.
Gracias por leer))=333
