Comments | sporaw: Google пал быстро, Amazon

sporaw

Google пал быстро, Amazon - 2 недели

May 01, 2018 19:03

CloudFront will also be soon be implementing enhanced protections against so-called “Domain Fronting”
https://aws.amazon.com/blogs/security/enhanced-domain-protections-for-amazon-cloudfront-requests/

amazon, мессенджеры, РосКомНадзор, Россия, telegram

Leave a comment

Back to all threads

apmx May 1 2018, 17:30:58 UTC

Эти два события никакого отношения к Телеграму или российской госцензуре интернета не имеют.

sporaw May 1 2018, 17:35:31 UTC

Удивительным образом годами никого не интересовали, а тут одновременно произошли.

apmx May 1 2018, 17:37:00 UTC

Думаю, так и есть. По крайней мере, Телеграм в использовании domain fronting замечен не был.

sporaw May 1 2018, 17:40:15 UTC

Вы технически следили что они делали последнее время (начиная еще с введения самой возможности ввода SOCKS-прокси в мобильном клиенте) (это не последние две-три недели)?

apmx May 1 2018, 17:45:46 UTC

Да, следил на любительском уровне. Из технических методов сопротивления РКН наблюдал только использование push notifications для передачи новых адресов серверов, никаких DNS трюков пока не видел. Я пропустил чего то?

sporaw May 1 2018, 17:57:56 UTC

Полагаю, что с их стороны было и получение данных через https-запросы (т.е. гейты) (на этой теме возможно было и использование второго уровня - сторонними сервисами).

apmx May 1 2018, 18:12:30 UTC

Может и так, но я следил по возможности внимательно и ничего такого не видел.

Domain fronting был бы сразу замечен, и, думаю, что об этом бы сразу стали писать, т.к. шила в мешке не утаишь несмотря на нежелание технического сообщества помогать РКН подсказками и советами. Особенно сейчас, когда ясно что этот метод больше неэффективен.

Думаю, впереди еще много интересного на эту тему - всякие DGA, может даже P2P распространение адресов. Будет интересно.

oleg_umnik May 1 2018, 18:53:43 UTC

Телеграм до сих пор использует фронтинг на Google (google.com -> dns.google.com). Этот они не отключили. Сломали только такое: google.com -> vasya.appspot.com.

И да, из того, что я вижу, Телеграм держится во многом благодаря Гуглу. Свежеустановленный Telegram Desktop получает IP-адрес для коннекта через них. Здесь разобрано: https://gist.github.com/jefmathiot/7beb198555c53278757ab93e8a2d0290

apmx May 1 2018, 19:05:32 UTC

Очень интересно, спасибо. Действительно, вполне себе используют фронтинг.
Кроме этих французов, я не видел чтобы кто то еще об этом писал.

Беру свои слова обратно насчет "не связано" тогда, был неправ, похоже что связано, по крайней мере выглядит так.

apmx May 1 2018, 19:28:59 UTC

В Telegram Desktop добавили фронтинг 20го марта, за две недели до блокировок примерно: https://github.com/telegramdesktop/tdesktop/commit/38c20fc3c220df0d6436febef38bf5b6509143fd

sporaw May 1 2018, 19:36:25 UTC

На всякий случай - аккуратнее с датами в случае с Telegram.

Вы не учитываете, что Telegram - не open-source проект. (Хотя конкретно про Desktop не помню, но вроде и Desktop того же порядка). Т.е. фактически это изменение легко могло быть сделано на практике и 2, и 3 месяца назад. Исходники в паблик выкладывают позже. (Мобильные клиенты 100%)

apmx May 1 2018, 19:45:52 UTC

Согласен. Может кто и делал анализ когда та или иная мера была введена, но быстрый поиск ничего не дает.

Вот еще свежая новость в тему: https://signal.org/blog/looking-back-on-the-front/

Не хотят прикрывать никого от цензоров, похоже. Зря, на мой взгляд. Уместнее было бы просто не замечать такого использования своих мощностей, не лезть в этот спор вообще.

sporaw May 1 2018, 19:53:09 UTC

Я про Signal писал в первом сообщении на эту тему.
Что Telegram и РФ удалось сделать то, что не удавалось Signal, TOR и другим странам годами.

oleg_umnik May 1 2018, 19:37:26 UTC

Я бы сказал не добавили, а расширили (в части google.com -> что-то-их.appspot.com). И как раз именно эти изменения похерил гугл в середине апреля (уже после того, как начался шум вокруг возможной блокировки, но до фактической блокировки).

apmx May 2 2018, 01:58:26 UTC

To get around the block Telegram turned to a technique called domain fronting. The method essentially hosts a service on another company's systems and effectively hides the traffic's source. "It's almost a bug but it's more of an unintended consequence of the way these services work," Wright explains. As a result of the block, Telegram turned to domain fronting using Google and Amazon's hosting services. Domain fronting is often used as an anti-censorship tool but it has also been abused by cybercriminals to disguise malware.
"It basically hides the traffic as Google traffic and there's no way the censoring authority can see that this is Google traffic and not Telegram traffic," Wright adds.
http://www.wired.co.uk/article/telegram-in-russia-blocked-web-app-ban-facebook-twitter-google

Back to all threads