IT-гиганты пытаются облегчить госцензуру интернета?

В первой половине 2018 года Google и Amazon внезапно пересмотрели свое отношение к обходу цензуры с помощью их облачных сервисов, поставив многие сайты и приложения под удар.

На днях компания Amazon отправила создателям защищенного мессенджера Signal письмо, отреагировав на их планы по использованию техники domain fronting для обхода интернет-цензуры. Этот способ позволяет маскировать трафик приложения под трафик стороннего сайта (в данном случае речь шла о принадлежащем Amazon домене Souq.com). В своем письмо представители компании заявили, что такое использование платформы Amazon Web Services прямо нарушает пользовательское соглашение. В случае если Signal не откажется от подобной практики, компания грозится отказать разработчикам мессенджера в доступе к сервисам Amazon CloudFront.

Прямой доступ к Signal ограничен в Египте, Омане, Катаре и ОАЭ на протяжении полутора лет. Эти страны пытаются заблокировать мессенджер, требуя от интернет-провайдеров блокировки соединения с серверами Signal.

Как и большинство современных сервисов, Signal не имеет единого статического IP-адреса, который провайдеры могут без особых проблем фильтровать. В облачных сервисах IP-адреса со временем могут меняться в зависимости от выравнивания нагрузки и даже не всегда привязаны к одной конкретной точке. Например, Amazon CloudFront может прекращать запросы на один и тот же IP-адрес для любого количества сервисов, которые хотят распространять контент посредством своей CDN. Это может затруднить определение цензорами запрещенного трафика только по IP-адресу.

К сожалению, квитирование TLS полностью раскрывает целевое имя хоста в виде открытого текста, поскольку имя хоста включено в заголовок SNI в незашифрованном виде. Такое положение вещей актуально и для TLS 1.3.

Однако к настоящему моменту был создан целый ряд облачных сред со специфическими особенностями, позволяющими решить эту проблему. Они позволяют создать TLS-соединение для домена A с запросом, который будет фактически получен и обработан доменом Б. Такая техника как раз и называется domain fronting.

Когда доступ к Signal был ограничен в вышеозначенных странах, создатели мессенджера прибегли к такой методике, используя Google App Engine. Это привело к тому, что для блокировки Signal эти страны также должны были бы блокировать основной сайт поисковой системы Google – google.com. Принцип, лежащий в основе domain fronting, заключается в том, что для блокирования одного сайта вам придется заблокировать большую часть интернета. Руководство стран было не готово к такому шагу, что подорвало все их усилия по блокировке мессенджера. От пользователей даже не требовалось никаких лишних действий – они могли просто скачать приложение и использовать его как обычно.

Прямой доступ к Signal также был ограничен в Иране в течение последних трех лет, но там у разработчиков не было возможности прибегнуть к описанным выше способам обхода блокировки. Опираясь на спорную трактовку юридических аспектов санкционного режима, Google не разрешает использование сервиса Google App Engine в Иране.

В начале 2018 года общественные организации усилили давление на Google, чтобы изменить позицию компании по этому вопросу. К сожалению, эти усилия имели обратный эффект. Когда руководство Google стало более осведомленным о методике domain fronting, оно задумалось об ограничениях использования таких способов обхода блокировок в других странах. Недавно компания Google также проинформировала создателей Signal об их стремлении начать борьбу с domain fronting.

Реагируя на заявления Google, разработчики мессенджера стали использовать платформу CloudFront. Однако и реакция Amazon не заставила себя ждать.

Такая политика компаний может привести к тому, что domain fronting станет нежизнеспособным методом обхода цензуры во всех странах, где Signal использовал эту методику. Команда Signal состоит всего из нескольких человек, и поиск нового решения по обходу блокировок может занять продолжительное время. Более того, если последние изменения политики разработчиков облачных сервисов говорят об их приверженности обеспечению прозрачности пунктов назначения зашифрованных потоков трафика на уровне сети, тогда диапазон потенциальных решений становится сильно ограниченным.

Интернет-цензоры во многих странах смогут, наконец, достичь своих целей. К сожалению, им остается только немного подождать.

Источник: https://roskomsvoboda.org/38561/