Komunikator Signal obejdzie państwowe blokady: by go zablokować, trzeba zakazać całego Internetu

Nie ma dziś chyba państwa, które pozwalałoby na niczymnieograniczoną komunikację w Sieci. W imię walki z terroryzmem,piractwem, dziecięcą pornografią, hazardem, narkotykami, praniembrudnych pieniędzy, powstają coraz skuteczniejsze działania,pozwalające na blokowanie dostępu do stron i usług. Przeciwnicycenzury też jednak nie zasypują gruszek w popiele. Open WhisperSystems, producent komunikatora Signal, zastosował eleganckimechanizm, pozwalający obejść stosowane dziś blokady. Toimplementacja techniki wymyślonej przez informatyków z UniwersytetuKalifornijskiego, noszącej nazwę domenowego frontingu (ang.domain fronting).

W słownictwie finansowym fronting to przekazanie przezubezpieczyciela ryzyka innemu ubezpieczycielowi – szczególna formareasekuracji. Sens tego pojęcia zostaje zachowany także w domenowymfrontingu, technice mającej ukryć zdalny punkt komunikacji. Działaona w warstwie aplikacji, wykorzystując protokół HTTPS, tak bykomunikować się z zakazanym przez cenzora hostem, sprawiając przytym wrażenie, że komunikacja odbywa się z zupełnie innymdozwolonym hostem.

Sztuczka jest bardzo sprytna. W artykulept. Blocking-resistant communication through domain fronting, jejwynalazcy wyjaśniają, że zastosowali różne domeny dla różnychwarstw komunikacji. Jedna domena pojawia się na zewnątrz żądaniaHTTPS, w tym co skierowane jest w jawny sposób do serwera DNS i doserwera docelowego w polu Server Name Indication protokołu TLS.Wewnątrz żądania HTTPS, w nagłówku HTTP Host Header,przekazywana jest jednak inna domena – niewidzialna już dlacenzora, bo zaszyfrowana.

Technika ta jest łatwa do wdrożenia, nie wymaga korzystania zjakichś specjalnych pośredników, a jedynym znanym sposobem na jejzablokowanie jest sposób bardzo kosztowny z perspektywy cenzora:zostaje on zmuszony do zablokowania domeny „zewnętrznej”. Cojednak, jeśli domenowy fronting zostanie wykorzystany w połączeniuz kluczowymi elementami infrastruktury sieciowej, takimi jak np.usługi Google, Facebooka czy sieci dostarczania treści, takich jaknp. Akamai? Wówczas równie dobrze cenzor mógłby sobie wyłączyćcały zewnętrzny Internet – powodzenia w rozwoju gospodarki krajutak odciętego.

Mamy więc do czynienia z czymś w rodzaju oszukańczegotrasowania – widoczny dla cenzora serwer wewnętrznie wykorzystujenagłówek Host Header do przekierowania żądania od klienta do jegoprawdziwego celu. W ruchu HTTPS nie widać zaś niczego, copozwoliłoby cenzorowi sądzić, że dzieje się coś podejrzanego.

Dzięki ogólnodostępności chmur obliczeniowych, oferowanychprzez wiodących dostawców usług internetowych, nie ma dziśżadnego problemu, by taki frontowy serwer pośredniczący wystawićw domenie operatora. Autorzy artykułu przetestowali pod tym kątemusługi Google App Engine, Amazon Cloud Front, Microsoft Azure,Fastly, CloudFlare, Akamai i Level 3, a także stworzyli transportdla cebulowego routera Tor o nazwie meek oraz dodali wsparcie dladomain frontingu dla usług Lantern i Psiphon, wykorzystywanych doobchodzenia blokad poprzez sieć serwerów proxy.

Założyciel Open Whisper Systems, słynny haker MoxieMarlinspike, poinformował w tym tygodniu o wprowadzeniu obsługidomenowego frontingu do aplikacji Signal na Androida i zapowiedziałbliskie wprowadzenie tej techniki do wersji na iOS-a. To bezpośredniaodpowiedź firmy wobec rządów Egiptu i Zjednoczonych EmiratówArabskich, które zablokowały dostęp do tego szyfrującegokomunikatora na poziomie krajowych dostawców usług internetowych.

Wykorzystano w tym celu chmurę aplikacyjną Google App Engine,która pozwala deweloperom na przekierowanie ruchu z google.com nawłasną domenę, wszystko oczywiście w komunikacji zabezpieczonejHTTPS. Teraz gdy użytkownicy w krajach, gdzie Signal zostałzakazany spróbują się połączyć z serwerami usługi, będzie totak wyglądało, jakby łączyli się z wyszukiwarką Google.Cenzorom z Egiptu czy ZEA pozostaje zablokować Google – na cojeszcze się nie odważyli.

Moxie Marlinspike podkreśla, że jego firma jest gotowa naobejście blokad Signala w każdym innym państwie, z wykorzystaniemwszelkich możliwych usług internetowych, tak by cenzura oznaczałakonieczność zablokowania praktycznie całego Internetu. Tam, gdziewładza nie ma skrupułów, blokada może zadziałać, ale słynnyhaker wierzy, że ostatnie słowo będzie należało jednak doSignala.

Najnowsze wersje Signala znajdziecie w naszej bazieoprogramowania, w wersjach na Androidai iOS-a.