Google i Amazon zlikwidowały skuteczny sposób obejścia internetowej blokady

Strona główna Aktualności

O autorze

Blokowanie komunikatorów internetowych weszło w krew władzom wielu państw – ale jak pokazują ostatnie przykłady Rosji czy Iranu, jest to działanie zasadniczo nieskuteczne. W praktyce bowiem konieczne staje się zablokowanie całego zewnętrznego Internetu, na czele z publicznymi chmurami, które próbujący obejść cenzurę wykorzystują do obejścia blokad. Niestety wygląda na to, że będzie to coraz trudniejsze. Wpierw Google, a teraz Amazon zakazały praktyki frontingu domen, chętnie wykorzystywanej do ominięcia cenzury.

Większość współczesnych usług internetowych nie ma jednego adresu IP, który dostawca Internetu mógłby zablokować, adresy zmieniają się dynamicznie, są dodawane i odejmowane przez loadbalancery w miarę zmian w obciążeniach, często przechodząc między różnymi usługami. Wywołanie TLS niestety ujawnia jednak adres docelowego hosta, widoczny w nagłówku SNI, dając cenzorom wszystko czego trzeba. Praktyka frontingu domen pozwala jednak sobie i z tym poradzić.

Amazon Web Services definiuje tę praktykę następująco: gdy niestandardowy klient nawiązuje połączenie TLS z daną domeną, a następnie wysyła żądanie HTTPS do innej domeny – np. połączenie TLS z domeną www.example.com, a potem żądanie HTTPS do www.example.org. Jeśli więc aplikacja zostaje zablokowana na poziomie serwerów domenowych w danym państwie, fronting domeny pozwala sprawić, że ruch między nią a jej serwerami wygląda całkiem „legalnie”, jako przychodzący z zupełnie innej domeny.

Innymi słowy, obserwujący ruch sieciowy może odkryć nazwę podstawionego hosta w żądaniu DNS i negocjacjach TLS, jednak nazwa hosta w nagłówku HTTPS zostaje przed nim ukryta – sieć CDN działa tu jako proxy. Jeśli ktoś więc chce zablokować jedną usługę, musi niestety zablokować też wszystko inne.

Świetny pomysł, prawda? Ale chyba nie dla wszystkich innych. Przekonał się o tym ostatnio komunikator Signal, rozwijany przez słynnego hakera Moxiego Marlinspike’a wraz z jego zespołem. Otrzymał on od Amazonu groźbę wyrzucenia Signala z chmury AWS, jeśli będzie próbował podszywać się pod domeny należące do stron trzecich bez ich zezwolenia do maskowania ruchu sieciowego. W tym wypadku poszło o należącą do Amazonu domenę Souq.com i jej sieć CDN, wykorzystywaną przez sklep internetowy działający w Egipcie, Kuwejcie, Arabii Saudyjskiej i ZEA – krajach, w których Signal jest zablokowany.

Oficjalnie wcale nie chodzi o bezproblemowe działanie usług internetowych, które mogłyby oberwać rykoszetem przez blokady. Fronting domen (domain fronting) jest niebezpieczny, ponieważ może być wykorzystywany przez złośliwe oprogramowanie – takie jest stanowisko obu wielkich operatorów publicznych chmur internetowych.

Wcześniej Signal wykorzystywał do tego celu Google App Engine, ale na początku kwietnia Google zakazało takich praktyk. Zakaz uderzył nie tylko w Signala, ale i wiele innych narzędzi służących prywatności, w tym Tora, Psiphona, Scramblesuite, meek, obsf4 i Collateral Freedom. Rzecznik Google’a stwierdził wówczas, że technika frontingu domen nigdy nie była w ofercie firmy, a to że do tej pory działała wynikało wyłącznie ze specyfiki architektury chmury. Ta jednak się zmienia, i przy okazji tych zmian fronting domen przestał działać – nie ma to żadnego podłoża politycznego. Dlatego w połowie kwietnia spróbowano przenieść antycenzorski mechanizm do chmury Amazonu. Jak widać, nie na długo się to udało.

Sam Moxie Marlinspike podkreśla, że Signal pod nikogo się nie podszywa i jego zdaniem w niczym nie narusza regulaminu Amazon Web Services. Nigdzie nie wykorzystuje certyfikatów SSL innych domen, nie fałszuje też źródła ruchu kiedy klienty Signala podłączają się do usługi CloudFront. To było jedynie wykorzystanie okazji – tego, że zarówno w Google jak i Amazonie warstwa terminacji TLS jest niezależna od warstwy przetwarzania żądań.

Na razie nie widać żadnych perspektyw wyjścia z tej sytuacji, Signal nie dysponuje obecnie środkami obejścia blokad wprowadzonych przez wspomniane państwa. Cenzorzy wygrali, nic nie robiąc, wystarczyło poczekać. Moxie Marlinspike przyznaje, że po prostu nie ma zasobów ludzkich, by opracować lepsze metody obejścia blokad – ale jeśli ktoś chce dołączyć do jego małego zespołu, to ma kilka wolnych etatów. Niestety tylko dla Amerykanów, więc nic tu nie pomożecie.

© dobreprogramy