Amazon in Google odpovedala gostoljublje Signalu

Matej Huš

2. maj 2018 ob 14:34:10

Ko so Egipt, Oman, Katar in Združeni arabski emirati pred poldrugim letom blokirali aplikacijo za šifrirano hipno komunikacijo Signal, ta v teh krajih ni prenehala delovati. Čeprav so blokirali neposredni dostop do Signalovih strežnikov, je Signal ostal dostopen zaradi uporabe domain frontinga. Gre za tehniko, ki omogoča izmikanje cenzuri, ker se izogne težavi pri uporabi TLS, kjer se ime domene razkrije v zahtevku (v glavi SNI).

Sprva je zato Signal uporabljal domain fronting. S tem se je izognil cenzuri, saj so bili zahtevki videti, kakor da prihajajo na Googlove strežnike. Države bi zato za blokado Signala morale blokirati dostop do Googla, česar pa si niso mogle privoščiti. Uporabnikom ni bilo treba spreminjati ali nastavljati ničesar - Signal jim je preprosto deloval. Nekoliko kompleksnejša je bila situacija v Iranu, kjer Signal ni deloval, ker je Google blokiral dostop do Google App Engine, ki je potreben za domain fronting.

V začetku tega leta pa se je situacija spremenila. Google je napovedal spremembe v svojem Google App Engine, ki so efektivno onemogočile ta trik. Sprememba zanimivo sovpada z rusko napovedjo, da bodo blokirali Telegram, kar se je tudi zgodilo. Signal je potem začel uporabljati Amazonov AWS (na CloudFrontu), ki je takisto dovolj velika storitev, da je države niso upale blokirati. Minuli teden pa je Signal dobil obvestilo iz Amazona, da tega ne smejo več početi. Čeprav Signalovi strežniki ne uporabljajo SSL-certifikatov drugih domen ali se pretvarjajo, da so kaj drugega, tega ne bodo smeli več početi. Amazon trdi, da gre za ukrep, ki bo preprečil delovanje zlikovcev in razpečevalcev malwara, ki svojega prometa ne bodo mogli več skrivati kakor promet do neškodljivih domen. Ne glede na resnične motive pa je rezultat uspešna blokada Signala.