Google i Amazon zlikwidowały skuteczny sposób obejścia internetowej blokady

Blokowanie komunikatorów internetowych weszło w krew władzomwielu państw – ale jak pokazują ostatnie przykłady Rosji czyIranu, jest to działanie zasadniczo nieskuteczne. W praktyce bowiemkonieczne staje się zablokowanie całego zewnętrznego Internetu, naczele z publicznymi chmurami, które próbujący obejść cenzuręwykorzystują do obejścia blokad. Niestety wygląda na to, żebędzie to coraz trudniejsze. Wpierw Google, a teraz Amazon zakazałypraktyki frontingu domen, chętnie wykorzystywanej do ominięciacenzury.

Google i Amazon zlikwidowały skuteczny sposób obejścia internetowej blokady

02.05.2018 14:56

Większość współczesnych usług internetowych nie ma jednegoadresu IP, który dostawca Internetu mógłby zablokować, adresyzmieniają się dynamicznie, są dodawane i odejmowane przezloadbalancery w miarę zmian w obciążeniach, często przechodzącmiędzy różnymi usługami. Wywołanie TLS niestety ujawnia jednakadres docelowego hosta, widoczny w nagłówku SNI, dając cenzoromwszystko czego trzeba. Praktyka frontingu domen pozwala jednak sobiei z tym poradzić.

Amazon Web Services definiuje tę praktykę następująco: gdyniestandardowy klient nawiązuje połączenie TLS z daną domeną, anastępnie wysyła żądanie HTTPS do innej domeny – np. połączenieTLS z domeną www.example.com, a potem żądanie HTTPS dowww.example.org. Jeśli więc aplikacja zostaje zablokowana napoziomie serwerów domenowych w danym państwie, fronting domenypozwala sprawić, że ruch między nią a jej serwerami wyglądacałkiem „legalnie”, jako przychodzący z zupełnie innej domeny.

Fronting domen używa różnych nazw domen w różnych warstwach. W jawnej warstwie widocznej dla cenzora, żądanie DNS i pole SNI w TLS odwołują się do domeny allowed.example. W warstwie HTTP, niewidocznej dla cenzora, ukryty jest faktyczny host, forbidden.example (źródło: International Computer Science Institute)
Fronting domen używa różnych nazw domen w różnych warstwach. W jawnej warstwie widocznej dla cenzora, żądanie DNS i pole SNI w TLS odwołują się do domeny allowed.example. W warstwie HTTP, niewidocznej dla cenzora, ukryty jest faktyczny host, forbidden.example (źródło: International Computer Science Institute)

Innymi słowy, obserwujący ruch sieciowy może odkryć nazwępodstawionego hosta w żądaniu DNS i negocjacjach TLS, jednak nazwahosta w nagłówku HTTPS zostaje przed nim ukryta – sieć CDNdziała tu jako proxy. Jeśli ktoś więc chce zablokować jednąusługę, musi niestety zablokować też wszystko inne.

Świetny pomysł, prawda? Ale chyba nie dla wszystkich innych.Przekonał się o tym ostatnio komunikator Signal, rozwijany przezsłynnego hakera Moxiego Marlinspike’a wraz z jego zespołem.Otrzymał on od Amazonu groźbęwyrzucenia Signala z chmury AWS, jeśli będzie próbowałpodszywać się pod domeny należące do stron trzecich bez ichzezwolenia do maskowania ruchu sieciowego. W tym wypadku poszło onależącą do Amazonu domenę Souq.com i jej sieć CDN,wykorzystywaną przez sklep internetowy działający w Egipcie,Kuwejcie, Arabii Saudyjskiej i ZEA – krajach, w których Signaljest zablokowany.

Oficjalnie wcale nie chodzi o bezproblemowe działanie usługinternetowych, które mogłyby oberwać rykoszetem przez blokady.Fronting domen (domain fronting) jest niebezpieczny, ponieważ możebyć wykorzystywany przez złośliwe oprogramowanie – takie jeststanowisko obu wielkich operatorów publicznych chmur internetowych.

Wcześniej Signal wykorzystywał do tego celu Google App Engine,ale na początku kwietnia Google zakazało takich praktyk. Zakazuderzył nie tylko w Signala, ale i wiele innych narzędzi służącychprywatności, w tym Tora, Psiphona, Scramblesuite, meek, obsf4 iCollateral Freedom. Rzecznik Google’a stwierdził wówczas, żetechnika frontingu domen nigdy nie była w ofercie firmy, a to że dotej pory działała wynikało wyłącznie ze specyfiki architekturychmury. Ta jednak się zmienia, i przy okazji tych zmian frontingdomen przestał działać – nie ma to żadnego podłożapolitycznego. Dlatego w połowie kwietnia spróbowano przenieśćantycenzorski mechanizm do chmury Amazonu. Jak widać, nie na długosię to udało.

Sam Moxie Marlinspike podkreśla, że Signal pod nikogo się niepodszywa i jego zdaniem w niczym nie narusza regulaminu Amazon WebServices. Nigdzie nie wykorzystuje certyfikatów SSL innych domen,nie fałszuje też źródła ruchu kiedy klienty Signala podłączająsię do usługi CloudFront. To było jedynie wykorzystanie okazji –tego, że zarówno w Google jak i Amazonie warstwa terminacji TLSjest niezależna od warstwy przetwarzania żądań.

Na razie nie widać żadnych perspektyw wyjścia z tej sytuacji,Signal nie dysponuje obecnie środkami obejścia blokad wprowadzonychprzez wspomniane państwa. Cenzorzy wygrali, nic nie robiąc,wystarczyło poczekać. Moxie Marlinspike przyznaje, że po prostunie ma zasobów ludzkich, by opracować lepsze metody obejściablokad – ale jeśli ktoś chce dołączyć do jego małego zespołu,to ma kilka wolnych etatów. Niestety tylko dla Amerykanów, więcnic tu nie pomożecie.

Programy

Zobacz więcej
Zobacz także
Komentarze (23)