Domain fronting - jak to działa

Amazon poszła w tym tygodniu w ślady Google w zakazie frontowania domen, technika, która pozwala twórcom aplikacji i stron internetowych uniknąć cenzury.

Dwóch z większych dostawców usług w chmurze wykonało kroki, które znacznie utrudnią napastnikom ukrycie ich infrastruktury kontroli złośliwego oprogramowania. Ale zmiany te wywołują również efekt falowania wśród legalnych usług, zwłaszcza tych, które wykorzystują technikę znaną jako frontowanie domen w celu uniknięcia cenzury.

W ostatnich dniach zarówno Google jak i Amazon zdecydowały się wyeliminować możliwość korzystania przez klientów z frontu domenowego, pozornie ze względów bezpieczeństwa. Frontowanie domen jest używane przez różne osoby z wielu różnych powodów, a dla legalnych firm najczęstszym przypadkiem użycia jest uchylanie się od cenzury. Aplikacje szyfrujące wiadomości, takie jak Sygnał i Telegram, używają tej techniki jako sposobu na obejście blokad swoich usług w takich krajach jak Rosja, Iran i Egipt. Technika ta zasadniczo pozwala operatorowi domeny na ukrycie ruchu przechodzącego do jego strony poprzez kierowanie go przez inne serwery proxy i domeny.

"Fronting domeny to sytuacja, w której niestandardowy klient nawiązuje połączenie TLS/SSL z określoną nazwą, a następnie wysyła żądanie HTTPS dotyczące niepowiązanej nazwy. Na przykład, połączenie TLS może łączyć się z "www.example.com", a następnie wysyłać żądanie na "www.example.org"", powiedział Colm McCarthaigh, główny inżynier w Amazon.

"W pewnych okolicznościach jest to normalne i oczekiwane". Na przykład, przeglądarki mogą ponownie wykorzystać stałe połączenia dla każdej domeny, która jest wymieniona w tym samym certyfikacie SSL, i są one uważane za domeny powiązane. Jednak w innych przypadkach narzędzia, w tym złośliwe oprogramowanie, mogą wykorzystywać tę technikę między zupełnie niepowiązanymi domenami w celu uniknięcia ograniczeń i blokad, które mogą zostać nałożone na warstwę TLS/SSL".

Jak zauważył MacCarthaigh, atakujący używają frontu domenowego w niektórych sytuacjach, zwłaszcza jako metody ukrywania lokalizacji swojej infrastruktury C2. Jest to dla nich skuteczna technika, a zarówno Amazon, jak i Google powiedzieli, że usuwają fronting domenowy, ponieważ tak naprawdę nie miał być on dostępny w pierwszej kolejności. Ale zmiany już teraz mają wpływ na aplikacje wykorzystujące fronting domenowy do obsługi użytkowników w krajach, w których istnieje cenzura Internetu. W szczególności, urzędnicy Sygnału powiedzieli, że prawdopodobnie będą musieli znaleźć inną aleję po tym jak Amazon powiadomił ich o nowej polityce.

"Z Google Cloud i AWS poza obrazem, wydaje się, że frontowanie domen jako technika omijania cenzury jest obecnie w dużej mierze nieopłacalne w krajach, w których Signal włączył tę funkcję. Pomysł na fronty domenowe był taki, że aby zablokować pojedynczą stronę, trzeba by było zablokować również resztę Internetu. W końcu reszcie Internetu nie spodobał się ten plan", napisała autorka Signal Moxie Marlinspike.

"Rozważamy pomysły na bardziej solidny system, ale te zmiany w ekosystemie nastąpiły bardzo nagle". Nasz zespół to tylko kilka osób, a opracowanie nowych technik będzie wymagało czasu. Co więcej, jeśli ostatnie zmiany wprowadzone przez dużych dostawców usług w chmurze wskażą na zaangażowanie w zapewnienie widoczności na poziomie sieci w miejscu docelowym zaszyfrowanych przepływów ruchu, wówczas zakres potencjalnych rozwiązań stanie się poważnie ograniczony".

Wielu użytkowników w krajach, w których cenzura Internetu jest faktem, polega na aplikacjach takich jak Telegram i Sygnał do prywatnej komunikacji. Ponieważ coraz więcej rządów wdraża bloki na poziomie sieci, aby to powstrzymać, deweloperzy będą musieli stać się coraz bardziej kreatywni, aby dostarczać usługi w tych krajach.