Компания Amazon сообщила о введении новых правил защиты доменов сервиса Amazon CloudFront, которые предполагают запрет на использование сетей Amazon для доменного фронтирования (domain fronting; позволяет перенаправлять трафик на собственные серверы через маскировочный домен). Фронтирование применяется в том числе для обхода блокировок
В Amazon новые правила объяснили борьбой с мошенниками. «Вредоносные программы могут использовать никак не связанные домены для обхода блокировок, выставляемых на уровне TLS/SSL (протоколы, обеспечивающие защищенную передачу данных)», — говорится в сообщении компании.
Клиент может подключиться к серверу, поддерживающему протоколы TLS/SSL, под определенным именем, а затем сделать HTTPS запрос под совершенно другим именем. «Например, соединение по TLS может подключиться к www.example.com, а затем выдать запрос на www.example.org», — объяснили в Amazon.
«Ни один из клиентов не хотел бы узнать, что кто-то другой маскируется под его домен», — добавили в компании. Теперь Amazon разрешит использовать фронтирование только тем пользователям, которые владеют адресами, защищенными единым сертификатом безопасности.
19 апреля Google запретила использовать доменное фронтирование на своих сетях, заявив, что эта опция никогда не входила в предоставляемый функционал. «До недавнего времени они [подставные домены] работали из-за особенностей нашего программного обеспечения. Мы постоянно развиваем нашу сеть, и в рамках планового обновления программного обеспечения подставные домены больше не работают», — сообщала компания.
Издание The Verge пишет, что подобная технология использовалась для обхода государственных блокировок. Telegram не использовал подставные домены для обхода блокировки в России, говорили ранее опрошенные РБК эксперты.
В России с 16 апреля блокируется мессенджер Telegram. Для обхода блокировки Telegram постоянно меняет IP-адреса Amazon Web Services и Google Cloud, из-за чего Роскомнадзор вынужден блокировать их целыми пулами. В итоге были заблокированы миллионы IP-адресов, что привело к сбою в работе не относящихся к Telegram сайтов.
Основатель web-программы amoCRM Михаил Токовинин полагает, что изменения в политике Amazon не повлияют на работу мессенджера. «Все зависит от того, как они [Amazon] будут следить за правилами исполнения новой политики. Если будут следить строго, Telegram будет использовать других провайдеров и продолжать работать», — сказал эксперт.
«У Amazon очень много разных облачных услуг. В данном случае речь идет об обновлении политики одной из услуг CloudFront — это услуга по доставке больших объемов тяжелого контента, например видео или обновления ПО, большому количеству пользователей (CDN)», — рассказал РБК эксперт Общества защиты интернета Александр Исавнин. Telegram и частные лица используют для создания proxy другие услуги Amazon, отметил он.
«[До изменения политики Amazon] Была возможна ситуация, в которой установленное безопасное соединение с одним сайтом, находящимся за облачным фронтом, могло быть использовано для соединения с совсем другим сайтом без уведомления клиента. Этот механизм можно было бы использовать для сокрытия истинного источника контента в каком-нибудь нежелательном государствами приложении, но, вероятнее всего, им активно пользовались злоумышленники», — пояснил Исавнин. Тот факт, что в Amazon начали отслеживать такое поведение, говорит о том, что в компании уделяют «существенное внимание вопросам безопасности», заключил он.
Павел Казарновский, Мария Кокорева