r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komunikator Signal obejdzie państwowe blokady: by go zablokować, trzeba zakazać całego Internetu

Strona główna AktualnościOPROGRAMOWANIE

Nie ma dziś chyba państwa, które pozwalałoby na niczym nieograniczoną komunikację w Sieci. W imię walki z terroryzmem, piractwem, dziecięcą pornografią, hazardem, narkotykami, praniem brudnych pieniędzy, powstają coraz skuteczniejsze działania, pozwalające na blokowanie dostępu do stron i usług. Przeciwnicy cenzury też jednak nie zasypują gruszek w popiele. Open Whisper Systems, producent komunikatora Signal, zastosował elegancki mechanizm, pozwalający obejść stosowane dziś blokady. To implementacja techniki wymyślonej przez informatyków z Uniwersytetu Kalifornijskiego, noszącej nazwę domenowego frontingu (ang. domain fronting).

W słownictwie finansowym fronting to przekazanie przez ubezpieczyciela ryzyka innemu ubezpieczycielowi – szczególna forma reasekuracji. Sens tego pojęcia zostaje zachowany także w domenowym frontingu, technice mającej ukryć zdalny punkt komunikacji. Działa ona w warstwie aplikacji, wykorzystując protokół HTTPS, tak by komunikować się z zakazanym przez cenzora hostem, sprawiając przy tym wrażenie, że komunikacja odbywa się z zupełnie innym dozwolonym hostem.

Oszukańcze trasowanie pod nosem cenzora

Sztuczka jest bardzo sprytna. W artykule pt. Blocking-resistant communication through domain fronting, jej wynalazcy wyjaśniają, że zastosowali różne domeny dla różnych warstw komunikacji. Jedna domena pojawia się na zewnątrz żądania HTTPS, w tym co skierowane jest w jawny sposób do serwera DNS i do serwera docelowego w polu Server Name Indication protokołu TLS. Wewnątrz żądania HTTPS, w nagłówku HTTP Host Header, przekazywana jest jednak inna domena – niewidzialna już dla cenzora, bo zaszyfrowana.

r   e   k   l   a   m   a

Technika ta jest łatwa do wdrożenia, nie wymaga korzystania z jakichś specjalnych pośredników, a jedynym znanym sposobem na jej zablokowanie jest sposób bardzo kosztowny z perspektywy cenzora: zostaje on zmuszony do zablokowania domeny „zewnętrznej”. Co jednak, jeśli domenowy fronting zostanie wykorzystany w połączeniu z kluczowymi elementami infrastruktury sieciowej, takimi jak np. usługi Google, Facebooka czy sieci dostarczania treści, takich jak np. Akamai? Wówczas równie dobrze cenzor mógłby sobie wyłączyć cały zewnętrzny Internet – powodzenia w rozwoju gospodarki kraju tak odciętego.

Mamy więc do czynienia z czymś w rodzaju oszukańczego trasowania – widoczny dla cenzora serwer wewnętrznie wykorzystuje nagłówek Host Header do przekierowania żądania od klienta do jego prawdziwego celu. W ruchu HTTPS nie widać zaś niczego, co pozwoliłoby cenzorowi sądzić, że dzieje się coś podejrzanego.

Dzięki ogólnodostępności chmur obliczeniowych, oferowanych przez wiodących dostawców usług internetowych, nie ma dziś żadnego problemu, by taki frontowy serwer pośredniczący wystawić w domenie operatora. Autorzy artykułu przetestowali pod tym kątem usługi Google App Engine, Amazon Cloud Front, Microsoft Azure, Fastly, CloudFlare, Akamai i Level 3, a także stworzyli transport dla cebulowego routera Tor o nazwie meek oraz dodali wsparcie dla domain frontingu dla usług Lantern i Psiphon, wykorzystywanych do obchodzenia blokad poprzez sieć serwerów proxy.

Zablokuj Signal, zablokuj Google

Założyciel Open Whisper Systems, słynny haker Moxie Marlinspike, poinformował w tym tygodniu o wprowadzeniu obsługi domenowego frontingu do aplikacji Signal na Androida i zapowiedział bliskie wprowadzenie tej techniki do wersji na iOS-a. To bezpośrednia odpowiedź firmy wobec rządów Egiptu i Zjednoczonych Emiratów Arabskich, które zablokowały dostęp do tego szyfrującego komunikatora na poziomie krajowych dostawców usług internetowych.

Wykorzystano w tym celu chmurę aplikacyjną Google App Engine, która pozwala deweloperom na przekierowanie ruchu z google.com na własną domenę, wszystko oczywiście w komunikacji zabezpieczonej HTTPS. Teraz gdy użytkownicy w krajach, gdzie Signal został zakazany spróbują się połączyć z serwerami usługi, będzie to tak wyglądało, jakby łączyli się z wyszukiwarką Google. Cenzorom z Egiptu czy ZEA pozostaje zablokować Google – na co jeszcze się nie odważyli.

Moxie Marlinspike podkreśla, że jego firma jest gotowa na obejście blokad Signala w każdym innym państwie, z wykorzystaniem wszelkich możliwych usług internetowych, tak by cenzura oznaczała konieczność zablokowania praktycznie całego Internetu. Tam, gdzie władza nie ma skrupułów, blokada może zadziałać, ale słynny haker wierzy, że ostatnie słowo będzie należało jednak do Signala.

Najnowsze wersje Signala znajdziecie w naszej bazie oprogramowania, w wersjach na Androida i iOS-a.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.