Google deshabilita la capacidad de “dominio frontal” usado para evadir censores

Un edificio tomado por Google durante SXSW. El banner dice: Ampliar / No, no, no puedes.Nathan Mattise

App Engine de Google puede no haber sido diseñado para proporcionar una manera para que los desarrolladores evadan los censores, pero en los últimos años ha ofreció uno, a través de una técnica conocida como dominio frontal. Envolviendo comunicaciones a un servicio con una solicitud a otro dominio inocuo o rango de direcciones IP como la aplicación de Google los desarrolladores pueden ocultar solicitudes a dominios bloqueados de otro modo por censores estatales o corporativos. Es un método que se ha utilizado tanto para bien y para mal, adoptada por Signal, la censura anti-china servicio GreatFire.org, complementos para la red de anonimato de Tor, algunos proveedores de redes privadas virtuales, y por un supuesto ruso campaña de malware financiada por el estado para ofuscar datos basados ​​en Tor robo.

Otras lecturas

En un esfuerzo por cerrar Telegram, Rusia bloquea Amazon y Google direcciones de red

Pero el 13 de abril, los miembros del Proyecto Tor notaron ese dominio. el frente se había roto. El motivo, según un informe de Russell Brandom, de Verge, es que Google realizó cambios en el arquitectura de red de la compañía que había estado en proceso durante algunos hora. Un representante de Google le dijo a Brandom que el dominio de dominio tenía nunca ha sido oficialmente compatible con Google, y solo funcionó hasta la semana pasada “debido a una peculiaridad de nuestra pila de software … como parte de un actualización de software planificada, el frente de dominio ya no funciona. Nosotros no tiene algún plan para ofrecerlo como una característica “.

Ars intentó contactar a Google, pero no hemos recibido respuesta. al cierre de esta edición. [Actualización, 4:40 PM EDT: Google envió lo mismo declaración dada a Brandom en respuesta a nuestra consulta.]

// “El uso de dominio nunca ha sido una característica compatible en Google, pero hasta hace poco funcionó debido a una peculiaridad de nuestro software apilar. Estamos constantemente evolucionando nuestra red, y como parte de un actualización de software planificada, el frente de dominio ya no funciona. Nosotros no tiene algún plan para ofrecerlo como una característica “.

El frente de dominio utiliza una manipulación de la Web HTTP segura protocolo (HTTPS) y el estándar de Seguridad de la capa de transporte (TLS) para ayudar a engañar a los sistemas de inspección profunda de paquetes y las reglas de firewall sobre el destino previsto de una solicitud web y para explotar funcionalidad de las redes de entrega de contenido (CDN). Nombres de dominio aparecer tres veces durante una solicitud web, como parte de una consulta DNS para la dirección IP del sitio, en la Indicación del nombre del servidor (SNI) extensión de TLS (que le dice a un servidor con múltiples sitios que dominio para el que es el tráfico) y en el encabezado HTTP “host” del Solicitud web. Para el tráfico HTTP, las tres instancias de el nombre de dominio es visible para el equipo de red de un censor; cuando navegas un Sitio HTTPS, el encabezado HTTP está encriptado.

En un esquema de frente de dominio, la solicitud DNS y la extensión SNI use el nombre de dominio de un host desbloqueado, pero el encabezado HTTPS contiene el destino real, que luego se reenvía la solicitud a, siempre que sea parte de la misma CDN. Ese destino es generalmente un servidor proxy, puerta de enlace VPN o un puente Tor. En Google, ese proxy podría estar en un host AppEngine; en las principales redes CDN, podría estar alojado en cualquier servidor que sea un cliente que paga. A cualquiera sentado entre el cliente y el CDN, el tráfico parece ser ir a un sitio inofensivo, pero de hecho, se está redirigiendo a Su ubicación prevista.

Hay una razón directa por la que Google y otras nubes y sitios web los proveedores de servicios no admiten intencionalmente el dominio de dominio: el daño potencial a su negocio que enfrentarían si su las redes fueron bloqueadas como resultado. “No admitimos dominio “, dijo el CEO y cofundador de Cloudflare, Matthew Prince, en un correo electrónico a Ars. “Hacerlo pondría en riesgo a nuestros clientes tradicionales ya que enmascararía el tráfico prohibido detrás de sus dominios “.

Y eso puede ser parte de por qué Google ha realizado cambios que han Frente de dominio roto basado en la propia CDN interna de Google: aumenta en la censura de las herramientas de comunicaciones cifradas han tenido un importante impacto en los otros clientes que pagan de Google.

Telegram y Zello fueron recientemente bloqueados por Roskomnadzor, la autoridad de telecomunicaciones de Rusia, y el las direcciones bloqueadas en ese esfuerzo se expandieron rápidamente para abarcar Direcciones de servicios web de Google y Amazon cuando los usuarios de Telegram comenzaron utilizando proxies basados ​​en la nube. Cuando Amazon supuestamente le pidió a Zello que Deje de alojar servidores proxy en AWS, el servicio se trasladó a Google. Y muchos Los usuarios de Telegram en Rusia han estado usando proxies en varias nubes servicios para evadir la censura. Con la pérdida de dominio al frente, los usuarios se ven obligados a apuntar a direcciones IP específicas para proxies en la nube: direcciones que los censores pueden bloquear al por mayor.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: