image

Amazon verbiedt 'domain fronting' door chat-app Signal

woensdag 2 mei 2018, 10:25 door Redactie, 10 reacties

Amazon heeft de versleutelde chat-app Signal verboden om Amazons diensten voor domain fronting te gebruiken, een techniek waarmee censuur en blokkades in landen omzeild kan worden. Bij het opzetten van een verbinding tussen gebruiken en server maakt Signal gebruik van een beveiligde verbinding.

De tls-handshake die hiervoor wordt gebruikt bevat de naam van de Signal-server. Iets waar een provider op kan filteren en blokkeren. Verschillende clouddiensten, zoals Amazon en Google, hadden een oplossing voor dit probleem. De laag voor het verwerken van een verzoek was bij deze diensten gescheiden van de laag waar de tls-verbinding eindigt. Hierdoor is het mogelijk om een tls-verbinding op te zetten die naar domein A lijkt te gaan, maar in werkelijkheid wordt het verzoek door domein B ontvangen en verwerkt. Deze techniek wordt domain fronting genoemd.

Signal kondigde deze techniek al in 2016 aan om overheidscensuur en -blokkades te omzeilen. Onlangs werd er een aanpassing in de code van Signal ontdekt om Amazons Souq.com hiervoor te gebruiken. Dit kwam via Hacker News in de openbaarheid, waarop Amazon een bief naar Signal stuurde. Volgens de internetgigant zou Signal door het gebruik van domain fronting de voorwaarden van Amazon Web Services overtreden.

In eerste instantie maakte Signal gebruik van Google voor domain fronting. Hierdoor was de chatdienst toch beschikbaar in landen als Egypte, Oman, Qatar en de Verenigde Arabische Emiraten, waar directe toegang tot de dienst wordt geblokkeerd. Als de landen Signal zouden willen blokkeren, hadden ze ook Google.com moeten blokkeren. Iets wat ze niet wilden doen. In Iran werkte dit echter niet vanwege de Amerikaanse sancties. Verschillende organisaties besloten Google onder druk te zetten om domain fronting toch in Iran mogelijk te maken.

Dit leidde tot discussies binnen Google, waarbij er uiteindelijk voor werd gekozen om domain fronting helemaal niet meer aan te bieden. De internetgigant wil zich niet in een positie plaatsen waarbij het dekking voor een domein biedt dat landen willen blokkeren. Vervolgens liet Google aan Signal weten dat domain fronting niet meer zou werken, waarop de chatdienst naar Amazon keek. Volgens Signal is het gebruik van domain fronting niet in strijd met de voorwaarden van Amazon. Het bedrijf heeft echter aanpassingen aangekondigd waardoor domain fronting ook op Amazons diensten niet meer zal werken.

"Nu Google Cloud en Amazon Web Services uit beeld zijn, lijkt het erop dat domain fronting als techniek om censuur te omzeilen niet meer levensvatbaar is in landen waar Signal deze feature had ingeschakeld", zegt Signal-oprichter Moxie Marlinspike. "Het idee achter domain fronting is dat om één website te blokkeren, je de rest van het internet ook moet blokkeren. De rest van het internet vond dat echter geen goed idee." Signal kijkt nu naar andere oplossingen. "Landen die censureren hebben (in ieder geval tijdelijk) hun doel bereikt. Helaas hoefden ze alleen maar te wachten", aldus Marlinspike.

Reacties (10)
02-05-2018, 10:40 door buttonius
Dit was wel te verwachten.
02-05-2018, 12:56 door Anoniem
AWS kan waarschijnlijk het misbruik van 'domain fronting' niet onderscheiden van het legitieme en veilige gebruik door Signal en verbiedt het dan maar helemaal. Frustrerend voor Moxie Marlinspike en consorten en ieder die het internet wat democratischer en vrijer wil krijgen.

AWS heeft daar wel een punt (het veiligheidsprincipe) en meegenomen is verder, dat ze ook de surveillance en censuur van o.a. verschillende arabische naties, zoals de emiraten e.d. niet voor de voeten hoeven te lopen met eventuele negatieve gevolgen voor hun 'core business' (datagraaien, afgedwongen USA surveillance ondersteunen en de integriteit van de eindgebruikers frustreren). "Big Data is evil" in dat opzicht.

Altijd al beweerd dat de 'cloud' op non-public internet aleen maar opgezet is om dit soort Big Commerce praktijken uit het zicht van het grote publiek te houden. Het bijkomend veiligheidsaspect is daarbij mooi meegenomen. Dit geval bewijst dit maar weer eens. dat immer de goeden met de kwaden (cybercriminelen, sp**ks en politiestaten) moeten lijden.

Met het facebook drama nog vers in het achterhoofd kunnen we vaststellen dat de verhouding tussen macht over de burger uitoefenen en de bescherming van de integriteit van diezelfde burger volledig scheefgegroeid is.

Hoe kan dit ooit nog tot een beetje fatsoenljke proporties worden teruggebracht? De machthebbers van Big Commerce en de diverse overheden laten ons helemaal in de kou staan en als we niet voor onszelf opkomen is het voor hen een gelopen race en betekent het voor ons een laatste achterhoedegevecht.

Jodocus Oyevaer
02-05-2018, 15:11 door Anoniem
Door Anoniem: [knip][/knip]

Hoe kan dit ooit nog tot een beetje fatsoenljke proporties worden teruggebracht? De machthebbers van Big Commerce en de diverse overheden laten ons helemaal in de kou staan en als we niet voor onszelf opkomen is het voor hen een gelopen race en betekent het voor ons een laatste achterhoedegevecht.

Jodocus Oyevaer

Niet.

Kijk Adam Curtis - Hypernormalisation.
(Duurt 2:46u)
En al z'n andere werken.
02-05-2018, 16:56 door Anoniem
Door Anoniem: AWS kan waarschijnlijk het misbruik van 'domain fronting' niet onderscheiden van het legitieme en veilige gebruik door Signal en verbiedt het dan maar helemaal.
Amazon / AWS is als hostende partij juist de enige die wel onderscheid kan maken tussen domain fronting voor verschillende target domeinen. Ze zouden dus best signal.org op een whitelist voor domain fronting kunnen zetten. Ze willen het waarschijnlijk niet omdat ze dan het risico lopen dat heel AWS wordt geblokkeerd in laden die signal willen blokkeren.
02-05-2018, 18:36 door Anoniem
Zeer gewaardeerde reagerenden in deze draad, +1

@ anoniem van 16:56

Als ze zgn. "domain fronting" door de verkeerde partijen niet kunnen onderscheiden van legitiem gebruik ervan ter beveiliging van e2e encrypted messaging, betekent dat, dat Amazon liever rijke autoritaire regimes overal ter wereld bedient dan democratisch vrij internetverkeer voor te staan.

Een zeer kwalijke zaak, als dat waar is (toegeven zullen ze dat nooit), en een bewijs te meer dat voor deze onethische entrepeneurs club alleen geld en geld alleen telt. Ze hoeven alleen maar duidelijk te zijn naar hun aandeelhouders, de enige doodzonde die ze kunnen begaan is tegen stakeholders iets te verzwijgen. Voor de rest staan ze kennelijk boven de wet en hebben overal groot lak aan.

@ anoniem van 15:11

Heel veel dank voor de link, een eye-opener voor degenen, die hier al nog niet vast van overtuigd zijn. Heb genoten edoch ook gehuiverd.

Jodocus Oyevaer
03-05-2018, 08:50 door Anoniem
Een zeer kwalijke zaak, als dat waar is (toegeven zullen ze dat nooit), en een bewijs te meer dat voor deze onethische entrepeneurs club alleen geld en geld alleen telt. Ze hoeven alleen maar duidelijk te zijn naar hun aandeelhouders, de enige doodzonde die ze kunnen begaan is tegen stakeholders iets te verzwijgen. Voor de rest staan ze kennelijk boven de wet en hebben overal groot lak aan.
Het zijn geen filantropische instellingen, maar bedrijven met als doel: winst maken. Dat kan je heel kwalijk vinden, maar zo werkt onze wereld (helaas). Het is niet de taak van Amazon om een vrij internet te realiseren en als zij hun bedrijfsmodel willen beschermen, dan is dat hun goed recht.

Niets staat je in de weg om zelf een handel in domeinfronting te beginnen als je een vrij internet voor iedereen zo na aan je hart ligt. ;)
03-05-2018, 14:14 door Anoniem
Het zijn geen filantropische instellingen, maar bedrijven met als doel: winst maken. Dat kan je heel kwalijk vinden, maar zo werkt onze wereld (helaas). Het is niet de taak van Amazon om een vrij internet te realiseren en als zij hun bedrijfsmodel willen beschermen, dan is dat hun goed recht.

Nee, ze zijn bepaald niet filantropisch. Maar als ze hierin samen zouden optrekken dan is zou dit een kans van slagen hebben. Er zijn gelukkig maar weinig regeringen die het in hun hoofd halen om 90% of zo van het internet voor hun volk te blokkeren.

Niets staat je in de weg om zelf een handel in domeinfronting te beginnen als je een vrij internet voor iedereen zo na aan je hart ligt. ;)

Wat een ontzettende BS!

Om zoiets op de zetten heb je de schaal van Google, AWS en aanverwanten nodig, want anders is jouw domain fronting oplossing in no-time kansloos geworden. En om zo'n schaal op te kunnen zetten heb je een enorme berg geld nodig, en dat is iets dat Jan met de Pet niet heeft. Dus er is wel degelijk iets dat Jan met de Pet in de weg staat om een handel in domain fronting op te zetten.
03-05-2018, 14:19 door Anoniem
@anoniem van 08:50

Alles tot je dienst.

Ook de harde commercieel heeft voordeel van een internet met zo weinig mogelijk malware en cybercrime.
Of toch niet, liggen de kaarten toch anders?

Voor Google en Amazon en dergelijke bedrijven staat kennelijk een onethische dollar verdienen gelijk aan een ethisch verdiende.

Als je ooit wat ellende van het net wilt weren, dan is er dus mede wel degelijk behoefte aan een domainfronting portaal/dienst.

Wie werpt zich op? Hiermee kan men aan de slag: https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md en handige tool: https://github.com/Mr-Un1k0d3r/CatMyFish

Weg met onbetrouwbare (scam) sites, phishing sites en andere te sinkholen domeinen, overheidscensuur e.d.
Kennelijk heeft het geen prioriteit.

Jodocus Oyevaer
04-05-2018, 22:52 door Anoniem
L.S.

Ik heb nog steeds de tor-propaganda machine hier niet gehoord, nu ook Microsoft niet meer het omgaan van censuur van restrictieve regimes faciliteert en hand in hand gaat met de surveillance krachten dezer wereld. In ieder geval is Big Tech Commerce het eens met de repressieve krachten.

De tor-gebruikers hier, zijzouden dit toch van de daken moeten schreeuwen, dat dit zo maar onaangekondigd nog al wel, hen is overkomen of speculeren over hoe een en ander nu verder moet.

In het Engels zouden we zeggen: "The clamps are coming down, when the going gets narrow, keep your eye on the sparrow".

Komt er nog enig commentaar uit deze hoek of is het aan iedereen hier verder volledig voorbijgegaan?

luntrus
05-05-2018, 15:00 door Anoniem
Schijnt nu dat "Google amp cache domain fronting" een nieuw alternatief biedt:

https://trac.torproject.org/projects/tor/ticket/25986

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.