Dominio al frente

Técnica para eludir la censura en Internet

Una vez establecido el cifrado TLS, el encabezado HTTP se redirige a otro dominio alojado en la misma CDN.

El domain fronting es una técnica para eludir la censura en Internet que utiliza diferentes nombres de dominio en distintas capas de comunicación de una conexión HTTPS para conectarse discretamente a un dominio de destino diferente al que es discernible para terceros que monitorean las solicitudes y conexiones.

Debido a peculiaridades en los certificados de seguridad , los sistemas de redireccionamiento de las redes de distribución de contenido (CDN) utilizadas como "frentes de dominio" y la protección proporcionada por HTTPS, los censores normalmente no pueden diferenciar el tráfico de elusión ("frente de dominio") del tráfico no fronterizo evidente para cualquier nombre de dominio determinado. Por lo tanto, se ven obligados a permitir todo el tráfico al frente de dominio (incluido el tráfico de elusión) o bloquear el frente de dominio por completo, lo que puede resultar en daños colaterales costosos y se ha comparado con "bloquear el resto de Internet". ^{[nota 1]}

El dominio fronting se logra mediante una falta de coincidencia entre el encabezado HTTP Host y la extensión SNI de TLS . El estándar que define la extensión SNI desalienta dicha falta de coincidencia, pero no la prohíbe. ^[2] Muchos proveedores de servicios en la nube importantes, incluidos Amazon, Microsoft y Google, prohíben activamente el dominio fronting, lo que lo ha limitado como una técnica para eludir la censura. Se cree que la presión de los censores en Rusia y China ha contribuido a estas prohibiciones, ^{[3] [4] [5]} pero el dominio fronting también se puede utilizar de forma maliciosa.

Una variante más reciente del dominio fronting, el ocultamiento de dominio, pasa una solicitud cifrada de un recurso (por ejemplo, un sitio web) oculta tras una solicitud no cifrada (texto simple) de otro recurso cuyos registros DNS están almacenados en la misma nube. Tiene un efecto muy similar. ^[3] La red de refracción es una aplicación del principio más amplio.

Detalles técnicos

Base

La base del fronting de dominios es el uso de diferentes nombres de dominio en diferentes capas de comunicación con los servidores (que admiten múltiples dominios de destino; es decir, nombres alternativos de sujeto ) de un gran proveedor de alojamiento o una red de distribución de contenido (CDN). Las CDN se utilizan debido a las idiosincrasias en la forma en que enrutan el tráfico y las solicitudes, que es lo que permite que el fronting funcione. ^{[6] [7]}

Ofuscar solicitudes

En una solicitud HTTPS , el nombre de dominio de destino aparece en tres lugares relevantes: la consulta DNS , la extensión de indicación de nombre de servidor (SNI) TLS y el encabezado de host HTTPS. Por lo general, el mismo nombre de dominio aparece en los tres lugares. ^{[8] : 1}

En una solicitud HTTPS con dominio frontal, un dominio aparece en el "exterior" de una solicitud HTTPS en texto simple (en la solicitud DNS y la extensión SNI), que será lo que el cliente quiere simular que está apuntando en el establecimiento de la conexión y es el que es visible para los censores, mientras que un dominio encubierto aparece en el "interior" (en el encabezado del host HTTPS, invisible para el censor bajo el cifrado HTTPS), que sería el objetivo real de la conexión. ^{[6] [8] : 2}

# wget envía una consulta DNS y se conecta a www.google.com pero el encabezado HTTP Host solicita # la página web www.youtube.com, que puede obtener y mostrar. Aquí www.youtube.com # está esencialmente dirigido por el dominio www.google.com; es decir, al bloquear www.youtube.com # pero permitir www.google.com, se puede eludir un censor de manera trivial mediante una solicitud dirigida por el dominio
wget  -q  -O  -  https://www.google.com/  --header 'Host: www.youtube.com' | grep -o '<title>.*</title>'     <título>YouTube</título>

Debido al cifrado del encabezado de hosts HTTPS por el protocolo HTTPS, el tráfico de elusión es indistinguible del tráfico "legítimo" (no fronted). Las implementaciones de fronting de dominio complementan el HTTPS con el uso de grandes redes de distribución de contenido (como varias CDN grandes) como sus dominios fronted, ^[8] de las que dependen grandes partes de la web para su funcionalidad. ^[9] Para bloquear el tráfico de elusión, un censor tendrá que bloquear directamente el dominio fronted. ^[8] El bloqueo de las redes de distribución de contenido populares es económica, política y diplomáticamente inviable para la mayoría de los censores. ^{[9] [6]}

Cuando Telegram fue bloqueada en abril de 2018 tras una sentencia judicial en Rusia, debido al bloqueo por parte de los ISP de las CDN que Telegram utilizaba como fachada para evadir los bloqueos de sus propias direcciones IP, 15,8 millones de direcciones IP asociadas con las CDN de Google y Amazon fueron bloqueadas de forma colateral. Esto dio lugar a cortes de red a gran escala para los principales bancos, cadenas minoristas y numerosos sitios web; la forma de bloqueo fue criticada por incompetencia. ^[10]

Aprovechar el reenvío de solicitudes

El dominio fronting funciona con las CDN porque, cuando se atienden con dos dominios diferentes en una solicitud, están (o históricamente hablando, estaban; consulte §Deshabilitación) configurados para cumplir automáticamente una solicitud para ver/acceder al dominio especificado en el encabezado Hosts incluso después de encontrar que la extensión SNI tiene un dominio diferente. Este comportamiento no era y no es universal entre los proveedores de alojamiento; hay servicios que validan si se usa el mismo dominio en las diferentes capas de una solicitud HTTP. Una variación de la técnica habitual de dominio fronting, conocida como domainless fronting, puede funcionar en este caso, que deja el campo SNI en blanco. ^[11]

Si la solicitud de acceso al dominio de encabezado Hosts tiene éxito, para el censor o terceros que monitorean las conexiones, parece que la CDN ha reenviado internamente la solicitud a una página que no interesa dentro de su red; esta es la conexión final que normalmente monitorean. En escenarios de elusión, el dominio en el encabezado Hosts será un proxy . El dominio del encabezado Hosts, al ser un proxy, sería bloqueado por el censor si se accede directamente; el fronting oculta su dirección al censor y permite a las partes evadir los bloqueos y acceder a él. Ningún tráfico llega nunca al dominio frontend especificado en la solicitud DNS y la extensión SNI; el servidor frontend de la CDN es el único tercero en esta interacción que puede descifrar el encabezado Hosts y conocer el verdadero destino de la solicitud encubierta. Es posible emular este mismo comportamiento con servicios de host que no reenvían solicitudes automáticamente, a través de una aplicación web "reflectora". ^{[8] : 2}

Como regla general, los servicios web sólo reenvían solicitudes a los dominios de sus propios clientes, no a los arbitrarios. Por lo tanto, es necesario que los dominios bloqueados, que utilizan domain fronting, también estén alojados por el mismo gran proveedor que los sitios inofensivos que utilizarán como fronting en sus solicitudes HTTPS (para DNS y STI). ^{[8] : 2}

Ocultación de dominio

Las conexiones seguras a Internet comunes (que utilizan TLS ) tienen un mensaje inicial no cifrado, en el que el cliente solicitante se pone en contacto con el servidor. A continuación, el servidor y el cliente negocian una conexión cifrada y el contenido real enviado entre ellos se cifra. Esto oculta el contenido de la comunicación, pero no los metadatos : quién se está conectando con quién, cuándo y cuánto se están comunicando. ^{[12] [13]} Una variante del dominio frontal, la ocultación del dominio, pasa una solicitud cifrada para un recurso (por ejemplo, un sitio web), oculta detrás de una solicitud no cifrada (texto simple) para otro recurso. Si ambos recursos tienen sus registros DNS alojados en la misma nube, los servidores de Internet que lean la dirección de texto simple reenviarán la solicitud al destinatario correcto, la nube. El servidor de la nube negociará entonces una conexión cifrada, ignorará la dirección no cifrada y enviará el mensaje a la dirección (diferente) enviada a través del canal cifrado. Un tercero que espíe la conexión solo puede leer el texto simple y, por lo tanto, se equivoca en cuanto a qué recurso se está conectando el solicitante. ^[3]

Uso

Evasión de la censura en Internet

Linterna

Lantern (software) se vio afectado. ^[14]

Señal

Signal , un servicio de mensajería segura, implementó un dominio fronting en las compilaciones de sus aplicaciones entre 2016 y 2018 para evitar bloqueos de conexiones directas a sus servidores desde Egipto, Omán, Qatar y los Emiratos Árabes Unidos. ^{[15] [9]}

Navegador Tor

La red de anonimato Tor utiliza una implementación de dominio fronting llamada 'meek' en su navegador web oficial para evitar los bloqueos a la red Tor. ^{[7] [9] [6]}

Telegrama

Telegram utilizó Amazon Web Services como dominio fachada para resistir los intentos de bloquear el servicio en Rusia. ^[16]

Télex

El télex se vio afectado. ^[14]

Colina

Tor se vio afectado, incluidos los transportes conectables obsf4, ScrambleSuite, meek y meek_lite. ^[14]

Gran fuego

GreatFire , una organización sin fines de lucro que ayuda a los usuarios a eludir el Gran Cortafuegos , utilizó el dominio fronting en un momento dado. ^[9]

Ataques cibernéticos

El dominio fronting ha sido utilizado por individuos y grupos privados y patrocinados por estados para cubrir sus huellas y lanzar ciberataques discretamente y diseminar malware . ^{[9] [6]}

Oso acogedor

Se ha observado que el grupo de hackers ruso Cozy Bear , clasificado como APT29 , ha utilizado el dominio fronting para obtener acceso no autorizado a sistemas de forma discreta haciéndose pasar por tráfico legítimo de las CDN. Su técnica utilizaba el complemento Meek (desarrollado por el Proyecto Tor para su red de anonimato) para evitar ser detectado. ^{[17] [18] [19]}

Desactivación

La persistencia del domain fronting como método para eludir la censura se ha atribuido a los costosos daños colaterales que supone el bloqueo. Para bloquear el domain fronting, hay que bloquear todo el tráfico que entra y sale de los domain fronting (CDN y grandes proveedores), de los que dependen, por diseño, muchos otros servicios web. ^[9] La Signal Foundation utilizó la analogía de que para bloquear un sitio domain fronting "hay que bloquear también el resto de Internet". ^[20]

Rusia se enfrentó a un problema similar cuando intentó bloquear Telegram (una aplicación de mensajería que utiliza domain fronting), bloqueando todos los servidores de Google y Amazon . Esto bloqueó muchos servicios web no relacionados (como sitios web bancarios y aplicaciones móviles) que usaban contenido de las nubes de Google y Amazon. ^{[21] [22]} No logró bloquear Telegram. ^[23] La prohibición y los bloqueos comenzaron el 13 de abril de 2018. ^[24]

El 14 de abril de 2018, Google bloqueó silenciosamente el domain fronting en su nube, y el 27 de abril, Amazon anunció que lo estaba bloqueando. ^[25] Cloudflare , otra nube importante, también lo bloqueó. ^{[4] [5]} Akamai también se vio afectada. ^{[26] [25]} Inicialmente, Microsoft (cuya nube es necesaria para los servicios en la nube de Microsoft y las actualizaciones en vivo, entre otras cosas) no siguió, ^[25] pero en marzo de 2021, Microsoft anunció su intención de prohibir el domain fronting en la nube Microsoft Azure . ^[27]

Cloudflare deshabilitó el dominio fronting en 2015. ^[28]

En abril de 2018, Google y Amazon deshabilitaron el fronting de dominio de sus servicios de entrega de contenido al eliminar las idiosincrasias en los esquemas de redireccionamiento que permitían que ocurriera el fronting. ^[29] Google rompió el fronting de dominio al eliminar la capacidad de usar 'google.com' como un dominio fronting al cambiar la forma en que se estructuró su CDN. ^[30] Cuando se les pidió que comentaran, dijeron que el fronting de dominio "nunca había sido una característica compatible" y que los cambios realizados eran actualizaciones planificadas desde hace mucho tiempo. ^{[31] [30] [32]} Amazon afirmó que el fronting "ya se manejaba como una violación de los Términos de servicio de AWS" e implementó un conjunto de cambios que prohibían la ofuscación que permitía a los sitios hacerse pasar por dominios CloudFront de otros sitios web y usarlos como fronting. ^{[33] [20] [34]}

Reacciones

Varias publicaciones especularon que el esfuerzo tanto de Google como de Amazon se debió en parte a la presión del gobierno ruso y su autoridad de comunicaciones Roskomnadzor, que bloquearon millones de dominios de Google y Amazon, también en abril de 2018, debido a que Telegram los utilizó como fachadas. ^{[35] [30] [36] [37] [4] [5]}

Los defensores de los derechos digitales han comentado que la medida socava la capacidad de las personas de acceder y transmitir información de forma libre y segura en estados represivos. ^[38]

Según el fundador de Signal, Moxie Marlinspike , la dirección de Google llegó a preguntarse si querían actuar como fachada para sitios y servicios que estados enteros querían bloquear a medida que el dominio fronting ganaba atención popular con aplicaciones como Signal que lo implementaban. Dijo que el uso del fronting como herramienta de evasión "ahora es en gran medida inviable" en los países en los que era necesario. ^[20] Sin embargo, algunos servicios, como Tor y Lantern, todavía lo utilizan.

Véase también

• Libertad colateral
• Télex (sistema anticensura)
• SNI encriptado

Notas

1. Citas de Moxie Marlinspike , creador de Signal. ^[1]

Referencias

1. Marlinspike, Moxie (1 de mayo de 2018). "Una carta de Amazon". Signal .
2. Eastlake 3Rd, Donald E. (enero de 2011). "IETF RFC 6066 sección 3".{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
3. Cimpanu, Catalin (8 de agosto de 2020). "DEF CON: Nueva herramienta recupera el 'domain fronting' como 'domain hide'". ZDNET .
4. "Por qué no necesitas el Domain Fronting de Google". Proyecto Psiphon . 24 de abril de 2018.
5. Dou, Eva; Barr, Alistair. "Los proveedores de servicios en la nube de EE. UU. enfrentan una reacción negativa de los censores de China". The Wall Street Journal .
6. "Privacidad 2019: Tor, Meek y el ascenso y caída del dominio fronting". SentinelOne . 2019-04-15 . Consultado el 2020-06-30 .
7. "doc/meek – Tor Bug Tracker & Wiki". trac.torproject.org . Consultado el 4 de enero de 2017 .
8. Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern (15 de febrero de 2015). "Comunicación resistente al bloqueo mediante dominio fronting" (PDF) . Actas sobre tecnologías de mejora de la privacidad . 2015 (2): 46–64. doi : 10.1515/popets-2015-0009 . ISSN  2299-0984. S2CID  5626265 . Consultado el 3 de enero de 2017 – a través de De Gruyter.
9. "La muerte del Domain Fronting | ¿Qué nos espera?". Finjan Blog . 2018-06-11. Archivado desde el original el 2020-07-03 . Consultado el 2020-06-30 .
10. Savov, Vlad (17 de abril de 2018). "La prohibición de Telegram en Rusia es un gran y complicado lío". The Verge . Consultado el 10 de agosto de 2020 .
11. "Proxy: Domain Fronting, Sub-técnica T1090.004 - Enterprise | MITRE ATT&CK®". attack.mitre.org . Consultado el 28 de septiembre de 2020 .
12. Ghedini, Alessandro (24 de septiembre de 2018). "Encrypt it or lose it: how encrypted SNI works" (Cifrarlo o perderlo: cómo funciona el SNI cifrado). The Cloudflare Blog (El blog de Cloudflare) . Consultado el 24 de septiembre de 2018 .
13. Patton, Christopher (8 de diciembre de 2020). "¡Adiós ESNI, hola ECH!". El blog de Cloudflare .
14. White, Nathan (18 de abril de 2018). "Google pone fin al "domain fronting", una forma crucial de las herramientas para evadir la censura". Acceda ahora .
15. "Open Whisper Systems >> Blog >> Garabatos, pegatinas y elusión de la censura para Signal Android". whispersystems.org . Consultado el 4 de enero de 2017 .
16. Brandom, Russell (30 de abril de 2018). «Amazon Web Services comienza a bloquear el domain-fronting, siguiendo el ejemplo de Google». The Verge . Consultado el 8 de agosto de 2020 .
17. "APT29 Domain Fronting con TOR". FireEye . Consultado el 28 de septiembre de 2020 .
18. "Domain Fronting, ataques de phishing y lo que los CISO deben saber". Cofense . 2018-12-13 . Consultado el 2020-09-28 .
19. Brandom, Russell (18 de abril de 2018). "Una actualización de Google acaba de crear un gran problema para las herramientas anticensura". The Verge .
20. Marlinspike, Moxie (1 de mayo de 2018). "Una carta de Amazon". Signal . Archivado desde el original el 1 de mayo de 2018 . Consultado el 16 de septiembre de 2020 .
21. Cimpanu, Catalin. "Rusia prohíbe 1,8 millones de direcciones IP de Amazon y Google en un intento de bloquear Telegram". BleepingComputer .
22. Cimpanu, Catalin (18 de junio de 2020). "Rusia elimina la prohibición de Telegram". ZDNET .
23. Burgess, Matt (28 de abril de 2018). "Por eso han fracasado los intentos de Rusia de bloquear Telegram". Wired UK .
24. MacFarquhar, Neil (13 de abril de 2018). «Tribunal ruso prohíbe la aplicación Telegram tras una audiencia de 18 minutos». The New York Times . Archivado desde el original el 13 de abril de 2018. Consultado el 13 de abril de 2018 .
25. Mates, Matan (15 de abril de 2019). "Tor, Meek y el ascenso y la caída del dominio fronting". SentinelOne .
26. "Implementación de comando y control de malware utilizando CDN importantes y dominios de alto tráfico". www.cyberark.com .
27. Jones, Emma (26 de marzo de 2021). "Cómo proteger nuestro enfoque de dominio fronting dentro de Azure". Blog de seguridad de Microsoft .
28. "#14256 (Aclarar si el SSL universal de Cloudflare funciona con Meek) – Tor Bug Tracker & Wiki". Tor Bug Tracker . Consultado el 12 de mayo de 2020 .
29. "Domain fronting: pros y contras | NordVPN". nordvpn.com . 2019-07-12 . Consultado el 2020-09-16 .
30. Gallagher, Sean (2 de mayo de 2018). "Amazon bloquea el dominio fronting y amenaza con cerrar la cuenta de Signal". Ars Technica . Consultado el 16 de septiembre de 2020 .
31. Brandom, Russell. "Una actualización de Google acaba de crear un gran problema para las herramientas anticensura". The Verge . Consultado el 19 de abril de 2018 .
32. "Google pone fin al "domain fronting", una forma crucial para que las herramientas evadan a los censores - Access Now". 18 de abril de 2018.
33. "Protecciones de dominio mejoradas para solicitudes de Amazon CloudFront". 27 de abril de 2018.
34. "Amazon Web Services comienza a bloquear el domain-fronting, siguiendo el ejemplo de Google". 2018-04-30.
35. "Amazon y Google se inclinan ante los censores rusos en la batalla de Telegram". Fast Company . 2018-05-04 . Consultado el 2018-05-09 .
36. Bershidsky, Leonid (3 de mayo de 2018). "El censor ruso recibe ayuda de Amazon y Google". Bloomberg .
37. "Información". Tass.ru . Consultado el 14 de noviembre de 2018 .
38. Dahir, Abdi Latif (3 de mayo de 2018). "La decisión de Google y Amazon de bloquear el domain fronting perjudicará a los activistas en regímenes represivos". Quartz Africa . Consultado el 16 de septiembre de 2020 .

Enlaces externos

• David Fifield, Chang Lan, Rod Hynes, Percy Wegmann, Vern Paxson, 2015: Comunicación resistente al bloqueo a través de la interfaz de dominio