IT-гиганты пытаются облегчить госцензуру интернета?

0   269   0

May 06, 2018 11:00


В первой половине 2018 года Google и Amazon внезапно пересмотрели свое отношение к обходу цензуры с помощью их облачных сервисов, поставив многие сайты и приложения под удар

Поделиться c друзьями:  


5aeeee308b8a873f54199043

На днях компания Amazon отправила создателям защищенного мессенджера Signal письмо, отреагировав на их планы по использованию техники domain fronting для обхода интернет-цензуры. Этот способ позволяет маскировать трафик приложения под трафик стороннего сайта (в данном случае речь шла о принадлежащем Amazon домене Souq.com). В своем письмо представители компании заявили, что такое использование платформы Amazon Web Services прямо нарушает пользовательское соглашение. В случае если Signal не откажется от подобной практики, компания грозится отказать разработчикам мессенджера в доступе к сервисам Amazon CloudFront.

Прямой доступ к Signal ограничен в Египте, Омане, Катаре и ОАЭ на протяжении полутора лет. Эти страны пытаются заблокировать мессенджер, требуя от интернет-провайдеров блокировки соединения с серверами Signal.

Как и большинство современных сервисов, Signal не имеет единого статического IP-адреса, который провайдеры могут без особых проблем фильтровать. В облачных сервисах IP-адреса со временем могут меняться в зависимости от выравнивания нагрузки и даже не всегда привязаны к одной конкретной точке. Например, Amazon CloudFront может прекращать запросы на один и тот же IP-адрес для любого количества сервисов, которые хотят распространять контент посредством своей CDN. Это может затруднить определение цензорами запрещенного трафика только по IP-адресу.

К сожалению, квитирование TLS полностью раскрывает целевое имя хоста в виде открытого текста, поскольку имя хоста включено в заголовок SNI в незашифрованном виде. Такое положение вещей актуально и для TLS 1.3.

Однако к настоящему моменту был создан целый ряд облачных сред со специфическими особенностями, позволяющими решить эту проблему. Они позволяют создать TLS-соединение для домена A с запросом, который будет фактически получен и обработан доменом Б. Такая техника как раз и называется domain fronting.

Когда доступ к Signal был ограничен в вышеозначенных странах, создатели мессенджера прибегли к такой методике, используя Google App Engine. Это привело к тому, что для блокировки Signal эти страны также должны были бы блокировать основной сайт поисковой системы Google – google.com. Принцип, лежащий в основе domain fronting, заключается в том, что для блокирования одного сайта вам придется заблокировать большую часть интернета. Руководство стран было не готово к такому шагу, что подорвало все их усилия по блокировке мессенджера. От пользователей даже не требовалось никаких лишних действий – они могли просто скачать приложение и использовать его как обычно.

Прямой доступ к Signal также был ограничен в Иране в течение последних трех лет, но там у разработчиков не было возможности прибегнуть к описанным выше способам обхода блокировки. Опираясь на спорную трактовку юридических аспектов санкционного режима, Google не разрешает использование сервиса Google App Engine в Иране.

В начале 2018 года общественные организации усилили давление на Google, чтобы изменить позицию компании по этому вопросу. К сожалению, эти усилия имели обратный эффект. Когда руководство Google стало более осведомленным о методике domain fronting, оно задумалось об ограничениях использования таких способов обхода блокировок в других странах. Недавно компания Google также проинформировала создателей Signal об их стремлении начать борьбу с domainfronting.

Реагируя на заявления Google, разработчики мессенджера стали использовать платформу CloudFront. Однако и реакция Amazon не заставила себя ждать.

Подробнее можно прочитать здесь.


Автор: Максим Волков

  0  

Источник: roskomsvoboda.org

Поделиться c друзьями: