Zensur-Umgehung: Amazon verbietet Signal Domain-Fronting

Google hatte die Technik bereits vor wenigen Wochen eingestellt, sodass Signal auf die Amazon-Plattform gewechselt war. Signal-Erfinder Matthew Rosenfield, alias Moxie Marlinspike, wirft den Konzernen vor, die Ziele der Zensoren zu unterstützen.

Um Zensurmaßnahmen in den Ländern Ägypten, Iran, Oman, Katar und den Vereinigten Arabischen Emiraten abzuwehren, verwendet Signal eine Technik, die mit Domain-Fronting bezeichnet wird. Dadurch wird bei einer Verbindung der reale Server verschleiert, sodass sich Nutzer über HTTPS mit einem blockierten Dienst verbinden können, während er mit einer völlig anderen Site zu kommunizieren scheint. Bisher hat der Messenger-Dienst, der von WhatsApp-Gründer Brian Acton mit 50 Millionen Dollar unterstützt wurde, dafür die Google-Cloud genutzt. Dies bedeutet, dass diese Länder, um Signal zu blockieren, auch google.com blockieren müssten, was in den meisten Fällen jedoch nicht geschieht.
Messenger Signal - Open-Source (Bild: Tyler Reinhard [Public domain], <a href="https://commons.wikimedia.org/wiki/File:Signal_Blue_Icon.png">via Wikimedia Commons</a>)
Da Google diesen Service aber nicht mehr bietet, hat sich Signal zum Wechsel auf Amazon Cloudfront entschlossen. Und da Signal als Open Source veröffentlicht ist, hat auch Amazon diesen Wechsel mitbekommen und Signal darauf hingewiesen, dass sie damit gegen die AWS-Servicebedingungen verstoßen. In einer E-Mail an Signal heißt es dazu: „Gestern wurde AWS auf Ihre Github- und Hacker-News/ycombinator-Posts aufmerksam, die beschreiben, wie Signal plant, seinen Traffic wie Traffic von einer anderen Website (im Volksmund als „Domain-Fronting“ bekannt) unter Verwendung einer Domain von Amazon — Souq.com zu gestalten. Sie haben keine Erlaubnis von Amazon, Souq.com für irgendeinen Zweck zu nutzen. Jegliche Nutzung von Souq.com oder einer anderen Domain zur Maskerade ohne ausdrückliche Genehmigung des Domaininhabers verstößt eindeutig gegen die AWS-Servicebedingungen. Wir freuen uns, dass Sie AWS Services nutzen, aber Sie müssen sich an unsere Servicebedingungen halten. Wir werden Ihre Nutzung von CloudFront sofort einstellen, wenn Sie Domains Dritter ohne deren Erlaubnis nutzen, sich als solche zu tarnen.“

Signal-Erfinder Matthew Rosenfield, alias Moxie Marlinspike (Bild: [<a href="https://creativecommons.org/licenses/by-sa/2.0">CC BY-SA 2.0</a>], <a href="https://commons.wikimedia.org/wiki/File:Moxie_Marlinspike.jpg">via Wikimedia Commons</a>)Signal-Erfinder Matthew Rosenfield, alias Moxie Marlinspike kritisiert Amazaon und Google. Die beiden Cloud-Provider würden die Ziele von Zensoren unterstützten (Bild: [CC BY-SA 2.0], via Wikimedia Commons)Zu dem Vorfall nimmt Signal-Miterfinder Matthew Rosenfield, alias Moxie Marlinspike, Stellung: „Wie die meisten modernen Dienste hat Signal keine einzige statische IP-Adresse, die von ISPs gefiltert werden kann. In Cloud-Umgebungen können sich die IP-Adressen im Laufe der Zeit ändern, da die Load Balancer nach oben und unten skalieren und die Adressen nicht immer einem einzigen Endpunkt zugeordnet sind. Amazon CloudFront kann beispielsweise Anfragen auf derselben IP für eine beliebige Anzahl von Diensten, die Inhalte auf ihrem CDN verteilen möchten, beenden. Dies kann es für einen Zensor schwieriger machen, den Datenverkehr allein anhand der IP-Adresse zu identifizieren. Leider stellt ein TLS-Handshake den Ziel-Hostnamen vollständig im Klartext dar, da der Hostname im SNI-Header im Clear enthalten ist. Das bleibt auch in TLS 1.3 so und gibt einem Zensor alles, was er braucht. Unsere CloudFront-Distribution verwendet nicht das SSL-Zertifikat einer Domain, sondern unser eigenes. Wir verfälschen nicht die Herkunft des Datenverkehrs, wenn unsere Kunden sich mit CloudFront verbinden. Doch in der altehrwürdigen Tradition, unbeliebte Nachrichten am späten Freitagnachmittag zu verbreiten, hat Amazon vor einigen Tagen eine neue Technik mit der Bezeichnung „Enhanced Domain Protections for Amazon CloudFront Requests“ angekündigt. Es handelt sich um eine Reihe von Änderungen, die verhindern sollen, dass das Domain-Fronting in der gesamten CloudFront vollständig funktioniert.“

Für Rosenfield ist damit Domain-Fronting als Zensurumgehung in den Ländern, in denen Signal diese Funktion aktiviert hatte, nicht mehr lebensfähig . „Die Idee hinter dem Domain-Fronting war, dass man, um eine einzelne Seite zu blockieren, auch den Rest des Internets blockieren müsste. Am Ende hat der Rest des Internets diesen Plan nicht gemocht.“ Durch die Änderungen von Amazon und Google wird auf Netzwerkebene ein Einblick in das Endziel verschlüsselter Verkehrsströme ermöglicht. Die beiden Cloud-Anbieter unterstützten damit die Ziele der Zensoren.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Messenger, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zensur-Umgehung: Amazon verbietet Signal Domain-Fronting

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *