Zensur-Umgehung: Amazon verbietet Signal Domain-Fronting

Um Zensurmaßnahmen in den Ländern Ägypten, Iran, Oman, Katar und den Vereinigten Arabischen Emiraten abzuwehren, verwendet Signal eine Technik, die mit Domain-Fronting bezeichnet wird. Dadurch wird bei einer Verbindung der reale Server verschleiert, sodass sich Nutzer über HTTPS mit einem blockierten Dienst verbinden können, während er mit einer völlig anderen Site zu kommunizieren scheint. Bisher hat der Messenger-Dienst, der von WhatsApp-Gründer Brian Acton mit 50 Millionen Dollar unterstützt wurde, dafür die Google-Cloud genutzt. Dies bedeutet, dass diese Länder, um Signal zu blockieren, auch google.com blockieren müssten, was in den meisten Fällen jedoch nicht geschieht.

Da Google diesen Service aber nicht mehr bietet, hat sich Signal zum Wechsel auf Amazon Cloudfront entschlossen. Und da Signal als Open Source veröffentlicht ist, hat auch Amazon diesen Wechsel mitbekommen und Signal darauf hingewiesen, dass sie damit gegen die AWS-Servicebedingungen verstoßen. In einer E-Mail an Signal heißt es dazu: „Gestern wurde AWS auf Ihre Github- und Hacker-News/ycombinator-Posts aufmerksam, die beschreiben, wie Signal plant, seinen Traffic wie Traffic von einer anderen Website (im Volksmund als „Domain-Fronting“ bekannt) unter Verwendung einer Domain von Amazon — Souq.com zu gestalten. Sie haben keine Erlaubnis von Amazon, Souq.com für irgendeinen Zweck zu nutzen. Jegliche Nutzung von Souq.com oder einer anderen Domain zur Maskerade ohne ausdrückliche Genehmigung des Domaininhabers verstößt eindeutig gegen die AWS-Servicebedingungen. Wir freuen uns, dass Sie AWS Services nutzen, aber Sie müssen sich an unsere Servicebedingungen halten. Wir werden Ihre Nutzung von CloudFront sofort einstellen, wenn Sie Domains Dritter ohne deren Erlaubnis nutzen, sich als solche zu tarnen.“

Signal-Erfinder Matthew Rosenfield, alias Moxie Marlinspike kritisiert Amazaon und Google. Die beiden Cloud-Provider würden die Ziele von Zensoren unterstützten (Bild: [CC BY-SA 2.0], via Wikimedia Commons)Zu dem Vorfall nimmt Signal-Miterfinder Matthew Rosenfield, alias Moxie Marlinspike, Stellung: „Wie die meisten modernen Dienste hat Signal keine einzige statische IP-Adresse, die von ISPs gefiltert werden kann. In Cloud-Umgebungen können sich die IP-Adressen im Laufe der Zeit ändern, da die Load Balancer nach oben und unten skalieren und die Adressen nicht immer einem einzigen Endpunkt zugeordnet sind. Amazon CloudFront kann beispielsweise Anfragen auf derselben IP für eine beliebige Anzahl von Diensten, die Inhalte auf ihrem CDN verteilen möchten, beenden. Dies kann es für einen Zensor schwieriger machen, den Datenverkehr allein anhand der IP-Adresse zu identifizieren. Leider stellt ein TLS-Handshake den Ziel-Hostnamen vollständig im Klartext dar, da der Hostname im SNI-Header im Clear enthalten ist. Das bleibt auch in TLS 1.3 so und gibt einem Zensor alles, was er braucht. Unsere CloudFront-Distribution verwendet nicht das SSL-Zertifikat einer Domain, sondern unser eigenes. Wir verfälschen nicht die Herkunft des Datenverkehrs, wenn unsere Kunden sich mit CloudFront verbinden. Doch in der altehrwürdigen Tradition, unbeliebte Nachrichten am späten Freitagnachmittag zu verbreiten, hat Amazon vor einigen Tagen eine neue Technik mit der Bezeichnung „Enhanced Domain Protections for Amazon CloudFront Requests“ angekündigt. Es handelt sich um eine Reihe von Änderungen, die verhindern sollen, dass das Domain-Fronting in der gesamten CloudFront vollständig funktioniert.“

Für Rosenfield ist damit Domain-Fronting als Zensurumgehung in den Ländern, in denen Signal diese Funktion aktiviert hatte, nicht mehr lebensfähig . „Die Idee hinter dem Domain-Fronting war, dass man, um eine einzelne Seite zu blockieren, auch den Rest des Internets blockieren müsste. Am Ende hat der Rest des Internets diesen Plan nicht gemocht.“ Durch die Änderungen von Amazon und Google wird auf Netzwerkebene ein Einblick in das Endziel verschlüsselter Verkehrsströme ermöglicht. Die beiden Cloud-Anbieter unterstützten damit die Ziele der Zensoren.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.