Reflets et BlueCoat : une histoire d’amour est née

streisand.meCet article va être très court et relativement factuel. Nous ne le commenterons même pas… pour le moment. Nous laissons le loisir aux techniciens de le comprendre. Pour les autres, sachez que Reflets est bien sous surveillance des machines de BlueCoat (qui selon les intéressés n’existent pas) et est fort probablement désormais filtré en Syrie. Barbara ? Tu m’entends ?

$ cat |grep 82.137.200. reflets*
reflets.log:82.137.200.50 – – [09/Oct/2011:08:29:10 +0200] « GET /bluecoats-role-in-syrian-censorship-and-nationwide-monitoring-system/ HTTP/1.1 » 200 24428

Tiens un range Syrien !

 

# nmap -A -O 82.137.200.50

Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-14 00:22 CEST
Interesting ports on 82.137.200.50:
Not shown: 989 closed ports
PORT STATE SERVICE VERSION
20/tcp filtered ftp-data
21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
80/tcp open http?
|_ html-title: Blank
1720/tcp filtered H.323/Q.931
2000/tcp filtered callbook
3128/tcp open squid-http?
5060/tcp filtered sip
8080/tcp open http-proxy?
8082/tcp filtered blackice-alerts
3 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port80-TCP:V=5.00%I=7%D=10/14%Time=4E9764F8%P=x86_64-unknown-linux-gnu%
SF:r(GetRequest,2AF, »HTTP/1\.1\x20403\x20Forbidden\r\nCache-Control:\x20no
SF:-cache\r\nPragma:\x20no-cache\r\nContent-Type:\x20text/html;\x20charset
SF:=utf-8\r\nProxy-Connection:\x20close\r\nConnection:\x20close\r\nContent
SF:-Length:\x20513\r\n\r\n<html\x20>\n<head>\n\x20\x20\x20\x20<title>Blank
SF:</title>\n</head>\n<body\x20style=\ »text-align:center\ »>\n</body>\n</ht
SF:ml>\n\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20″);
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port3128-TCP:V=5.00%I=7%D=10/14%Time=4E9764FD%P=x86_64-unknown-linux-gnu%r(GetRequest,2AF, »HTTP/1\.1\x20403\x20Forbidden\r\nCache-Control:\x20no-c
SF:ache\r\nPragma:\x20no-cache\r\nContent-Type:\x20text/html;\x20charset=u
SF:tf-8\r\nProxy-Connection:\x20close\r\nConnection:\x20close\r\nContent-L
SF:ength:\x20513\r\n\r\n<html\x20>\n<head>\n\x20\x20\x20\x20<title>Blank</
SF:title>\n</head>\n<body\x20style=\ »text-align:center\ »>\n</body>\n</html
SF:>\n\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20″);
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port8080-TCP:V=5.00%I=7%D=10/14%Time=4E9764F8%P=x86_64-unknown-linux-gnu%r(GetRequest,2AF, »HTTP/1\.1\x20403\x20Forbidden\r\nCache-Control:\x20no-c
SF:ache\r\nPragma:\x20no-cache\r\nContent-Type:\x20text/html;\x20charset=u
SF:tf-8\r\nProxy-Connection:\x20close\r\nConnection:\x20close\r\nContent-L
SF:ength:\x20513\r\n\r\n<html\x20>\n<head>\n\x20\x20\x20\x20<title>Blank</
SF:title>\n</head>\n<body\x20style=\ »text-align:center\ »>\n</body>\n</html
SF:>\n\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\
SF:x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20
SF:\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x
SF:20\x20\x20\x20\x20\x20\x20\x20\x20″);
Device type: proxy server|general purpose
Running (JUST GUESSING) : Blue Coat SGOS 5.X (90%), FreeBSD 6.X (87%), Apple Mac OS X 10.3.X|10.4.X (85%)
Aggressive OS guesses: Blue Coat SG810 web proxy (SGOS 5.3.1.9) (90%), FreeBSD 6.0-STABLE – 6.2-RELEASE (87%), Blue Coat SG510-series proxy server (SGOS 5.1.3.7) (86%), FreeBSD 6.1-RELEASE (86%), Apple Mac OS X 10.3.9 (Panther) – 10.4.7 (Tiger) (Darwin 7.9.0 – 8.7.8, PowerPC) (85%), Blue Coat SG210 proxy server (SGOS 5.2.3.3 – 5.2.3.9) (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 12 hops

TRACEROUTE (using port 113/tcp)
HOP RTT ADDRESS
1 1.02 88………….
2 0.39 88…………
3 0.68 th2-crs16-1-be1503-p.intf.routers.proxad.net (212.27.58.45)
4 7.12 strasbourg-crs16-1-be2000.intf.routers.proxad.net (212.27.50.10)
5 10.12 francfort-6k-1-po100.intf.routers.proxad.net (212.27.56.30)
6 16.62 amsterdam-6k-1-po100.intf.routers.proxad.net (212.27.56.38)
7 17.47 TenGE13-2.br02.ams01.pccwbtn.net (195.69.145.37)
8 101.66 82.137.200.50

Twitter Facebook Google Plus email


19 thoughts on “Reflets et BlueCoat : une histoire d’amour est née”

  1. J’ai peut-être pas tout compris, mais si tout le trafic HTTP venant de Syrie passe par des proxies BlueCoat (http://reflets.info/bluecoats-role-in-syrian-censorship-and-nationwide-monitoring-system/) quoi de plus normal que d’en trouver une trace dans vos logs? Ca devrait être également le cas pour tous les sites visités depuis la Syrie.
    Et en quoi cela signifie-t-il que vous êtes « surveillés » par les machines de BlueCoat?
    Vivement vos commentaires…

  2. Petite précision, hein, tout de même.

    N’importe quel Syrien (ou presque) qui surf on dah web, sans utiliser Tor ou de VPN, va passer par les proxies BlueCoat, quel que soit le site demandé.

    Pour mémoire, les addresses IP des proxies BlueCoat contrôlés par le Syrian Telecommunications Establishment sont: 82.137.200.42 jusqu’à 82.137.200.56.

    Ce qui est rapporté ici n’indique donc qu’une chose toute simple: il y a des Syriens qui lisent Reflets.

  3. Bonjour,

    Cette histoire me parait étrange … Les Émirats Arabes Unis et les autres pays du Conseil de Coopération du Golfe ne sont pas du tout des alliés de la Syrie. La Syrie est multi-confesionelle alors que les pays du CCG (alliés de l’OTAN) sont plutôt pro-salafistes.

    Qu’on pense ce qu’on veut de ces pays (des deux camps), mais ils n’ont pas du tout intérêt à s’entraider au niveau de la surveillance du réseau, au contraire. Je pense donc que les entreprises qui utilisent ces systèmes d’espionnage et de censure du net pourraient (conditionnel) être de mèche avec ceux qui veulent déstabiliser la Syrie en la décrédibilisant (fud médiatique), exactement comme ça a été fait contre la Libye.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *