Categories: Cloud

Zensur-Umgehung: Amazon verbietet Signal Domain-Fronting

Um Zensurmaßnahmen in den Ländern Ägypten, Iran, Oman, Katar und den Vereinigten Arabischen Emiraten abzuwehren, verwendet Signal eine Technik, die mit Domain-Fronting bezeichnet wird. Dadurch wird bei einer Verbindung der reale Server verschleiert, sodass sich Nutzer über HTTPS mit einem blockierten Dienst verbinden können, während er mit einer völlig anderen Site zu kommunizieren scheint. Bisher hat der Messenger-Dienst, der von WhatsApp-Gründer Brian Acton mit 50 Millionen Dollar unterstützt wurde, dafür die Google-Cloud genutzt. Dies bedeutet, dass diese Länder, um Signal zu blockieren, auch google.com blockieren müssten, was in den meisten Fällen jedoch nicht geschieht.

Da Google diesen Service aber nicht mehr bietet, hat sich Signal zum Wechsel auf Amazon Cloudfront entschlossen. Und da Signal als Open Source veröffentlicht ist, hat auch Amazon diesen Wechsel mitbekommen und Signal darauf hingewiesen, dass sie damit gegen die AWS-Servicebedingungen verstoßen. In einer E-Mail an Signal heißt es dazu: „Gestern wurde AWS auf Ihre Github- und Hacker-News/ycombinator-Posts aufmerksam, die beschreiben, wie Signal plant, seinen Traffic wie Traffic von einer anderen Website (im Volksmund als „Domain-Fronting“ bekannt) unter Verwendung einer Domain von Amazon — Souq.com zu gestalten. Sie haben keine Erlaubnis von Amazon, Souq.com für irgendeinen Zweck zu nutzen. Jegliche Nutzung von Souq.com oder einer anderen Domain zur Maskerade ohne ausdrückliche Genehmigung des Domaininhabers verstößt eindeutig gegen die AWS-Servicebedingungen. Wir freuen uns, dass Sie AWS Services nutzen, aber Sie müssen sich an unsere Servicebedingungen halten. Wir werden Ihre Nutzung von CloudFront sofort einstellen, wenn Sie Domains Dritter ohne deren Erlaubnis nutzen, sich als solche zu tarnen.“

Signal-Erfinder Matthew Rosenfield, alias Moxie Marlinspike kritisiert Amazaon und Google. Die beiden Cloud-Provider würden die Ziele von Zensoren unterstützten (Bild: [CC BY-SA 2.0], via Wikimedia Commons)Zu dem Vorfall nimmt Signal-Miterfinder Matthew Rosenfield, alias Moxie Marlinspike, Stellung: „Wie die meisten modernen Dienste hat Signal keine einzige statische IP-Adresse, die von ISPs gefiltert werden kann. In Cloud-Umgebungen können sich die IP-Adressen im Laufe der Zeit ändern, da die Load Balancer nach oben und unten skalieren und die Adressen nicht immer einem einzigen Endpunkt zugeordnet sind. Amazon CloudFront kann beispielsweise Anfragen auf derselben IP für eine beliebige Anzahl von Diensten, die Inhalte auf ihrem CDN verteilen möchten, beenden. Dies kann es für einen Zensor schwieriger machen, den Datenverkehr allein anhand der IP-Adresse zu identifizieren. Leider stellt ein TLS-Handshake den Ziel-Hostnamen vollständig im Klartext dar, da der Hostname im SNI-Header im Clear enthalten ist. Das bleibt auch in TLS 1.3 so und gibt einem Zensor alles, was er braucht. Unsere CloudFront-Distribution verwendet nicht das SSL-Zertifikat einer Domain, sondern unser eigenes. Wir verfälschen nicht die Herkunft des Datenverkehrs, wenn unsere Kunden sich mit CloudFront verbinden. Doch in der altehrwürdigen Tradition, unbeliebte Nachrichten am späten Freitagnachmittag zu verbreiten, hat Amazon vor einigen Tagen eine neue Technik mit der Bezeichnung „Enhanced Domain Protections for Amazon CloudFront Requests“ angekündigt. Es handelt sich um eine Reihe von Änderungen, die verhindern sollen, dass das Domain-Fronting in der gesamten CloudFront vollständig funktioniert.“

Für Rosenfield ist damit Domain-Fronting als Zensurumgehung in den Ländern, in denen Signal diese Funktion aktiviert hatte, nicht mehr lebensfähig . „Die Idee hinter dem Domain-Fronting war, dass man, um eine einzelne Seite zu blockieren, auch den Rest des Internets blockieren müsste. Am Ende hat der Rest des Internets diesen Plan nicht gemocht.“ Durch die Änderungen von Amazon und Google wird auf Netzwerkebene ein Einblick in das Endziel verschlüsselter Verkehrsströme ermöglicht. Die beiden Cloud-Anbieter unterstützten damit die Ziele der Zensoren.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago