255 meneos
1731 clics
Amazon obliga a Signal a dejar de utilizar domain fronting si quieren seguir en AWS
Los responsables de la aplicación de mensajería Signal, aseguran que Amazon les ha amenazado con sacarlos de CloudFront si siguen utilizando la técnica llamada "domain fronting". Dicha técnica permite a los desarrolladores de aplicaciones y páginas web engañar a las herramientas de censura. Sirve para que el tráfico parezca que procede de una fuente diferente, permitiendo evitar las prohibiciones de ciertos países.
|
comentarios cerrados
Recomiendo usar Whatsapp, que tiene la ventaja de que en Rusia no está prohibido.
jaque mate, censores.
AWS y Google están aplicando parches para evitar que sus CFNs permitan esto por las consecuencias de seguridad.
También está el problema de que gobiernos cómo Irán, corten acceso a dominios lícitos usados por Signal para evitar la censura, dejando a estas empresas algo cabreadas con sus proveedores, Amazon y Google.
Es sin duda un tema muy interesante por ser usado para temas de libertad de expresión pero al mismo tiempo ser un exploit.
DNS over TLS es una nueva especificación del protocolo DNS que aún no está extendida, pero que cuando lo ese, la resolución del dominio DNS será cifrada punto a punto.
Lo que van a tener que hacer es montar sus propias granjas de equipos.
1. DNS over TLS te da la ip a llamar
2. Iniciar a TLS handshake a la ip
3. Censor puede ver el dominio en la primera request de TLS porque va sin cifrar
2 debe incluir el dominio para especificar que certificado y CA es esperada.
Incluso usando domain fronting, el censor sabe a qué ip haces las peticiones.
No creo que sea posible un protocolo IP, en el que la IP va cifrada punto a punto, no sería posible enrutar la petición.
A no ser que el paquete se propagase inicialmente en todas direcciones, y solo el que sabe que es para él, respondiese en sentido inverso marcando la ruta... no sé... no soy teleca, pero me parece ciencia ficción un IP cifrado punto a punto.
El primer paquete de TCP es un CONNECT {domain}, y este va en claro. Como parte de esta retirar va hacer un upgrade a TLS, por lo que el segundo paquete intercambiado ya va cifrado.
Es en ese primer paquete dónde Irán estaba cortando la comunicación, leyendo el dominio de Signal. Para evitarlo, habían puesto un dominio tercero con alojamiento en un CDN que le el header con el forwarding. Es hacer una especie de túnel haciendo TCP/TLS
#20 pues precisamente aquí hablamos de Rusia...
Tambien un grupo ha sacado
github.com/Moonshotgroup/TelegramDR--AndroidNative
play.google.com/store/apps/details?id=org.telegram.digitalresistance
(hice un diff, mas de 400.000 lineas de diferencia entre el fuente de ese repositorio y el oficial de android)
parece que tienes razón
No creo que pueda aplicarse el modelo de TOR a un sistema que conecte de punto específico a punto específico
¿paso algo por alto?
Supongo que lo ideal es llegar a algún equilibrio entre equipos propios y equipos "cloud".
1 el hecho de que sea federado es irrelevante si el servidor esta comprometido adios a la seguridad/privacidad
2 arriba de dicho ring.cx si las vídeo llamadas con son "instantáneas" no se lo que es
Mientras tanto seguiré con riot.im y mi servidor federado, ya que es el que utilizan mis contactos.