Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Amazon Web Services legt domain fronting aan banden

Amazon Web Services, oftewel AWS, heeft bekendgemaakt dat het de praktijk van domain fronting aan banden gaat leggen. De beslissing volgt op een soortgelijke actie van Google, dat eerder deze maand een einde maakte aan deze mogelijkheid.

In een aankondiging schrijft AWS dat het in de komende week binnen zijn CloudFront-dienst controles gaat uitvoeren of 'het account dat het certificaat voor een bepaalde verbinding bezit ook het account is dat het verzoek maakt bij die verbinding'. Daardoor is de techniek alleen nog te gebruiken voor domeinen onder hetzelfde certificaat. Het stelt dat domain fronting door 'tools zoals malware wordt gebruikt om blokkades op tls/ssl-niveau te omzeilen'.

Domain fronting werkt door in het dns-verzoek en in de aanduiding van de tls-server een bekend domein te gebruiken en daar een https-verzoek naartoe te sturen. Zo lijkt een verzoek aan de 'buitenkant' bijvoorbeeld naar Google of Amazon verstuurd te worden. Daarbij bevat de http host header, die is verborgen door de encryptie van https, het domein waar werkelijk mee gecommuniceerd wordt.

Daardoor is deze techniek bijvoorbeeld nuttig om censuur en andere blokkades te omzeilen, doordat internetverkeer een andere bestemming lijkt te hebben dan dat het daadwerkelijk heeft. Bijvoorbeeld de chatapp Signal maakt in bepaalde gevallen van deze techniek gebruik. Amazon schrijft verder dat 'geen enkele klant er ooit achter wil komen dat iemand anders zich voordoet als zijn gewone, onschuldige domein'.

Amazon is niet het eerste grote internetbedrijf dat een dergelijke beslissing neemt. Google deed dit eerder deze maand en zei tegen The Verge dat domain fronting 'nooit een functie was die door Google werd ondersteund'. De organisatie Access Now uitte zich kritisch over de beslissing tegenover de site en zei dat de techniek 'miljoenen mensen een vrijer internet liet ervaren'.

De beslissing viel rond dezelfde tijd dat de Russische blokkade van Telegram gevolgen had voor andere diensten die gebruikmaakten van Amazon en Google.

Door Sander van Voorst

Nieuwsredacteur

01-05-2018 • 08:11

22 Linkedin Google+

Reacties (22)

Wijzig sortering
heb hier gemengde gevoelens bij.
Net zoals HTTPS.
De overheid hamert erop dat websites https moeten gaan gebruiken (want veiliger), maar is tegelijkertijd chagrijnig als mensen encrypted/beveiligde verbindingen gebruiken omdat ze daardoor gehinderd worden met het afluisteren.

Zo ook hier: domain fronting klinkt dus als een handig fenomeen om censuur tegen te gaan.
Anderszijds klinkt het als spoofing, en dat wil je ook niet.

[Reactie gewijzigd door tyrunar op 1 mei 2018 08:33]

Het is een keuze van amazon en google. Neem telegram die maakt er gebruik van met als gevolg dat google en amazon ip's op een zwarte lijst komen.
google en amazon en klanten van beide kunnen hier dan last van krijgen als ze niet te benaderen zijn.
Ze kiezen dus voor dit niet meer mogelijk te maken.

Het wordt natuurlijk gebruikt om censuur tegen te gaan hetgeen weer goed kan zijn maar ja dat blijft een kat en muis spel.
heb hier gemengde gevoelens bij.
Net zoals HTTPS.
De overheid hamert erop dat websites https moeten gaan gebruiken (want veiliger), maar is tegelijkertijd chagrijnig als mensen encrypted/beveiligde verbindingen gebruiken omdat ze daardoor gehinderd worden met het afluisteren.

Zo ook hier: domain fronting klinkt dus als een handig fenomeen om censuur tegen te gaan.
Anderszijds klinkt het als spoofing, en dat wil je ook niet.
De overheid is niet 1 persoon maar bevat talloze groeperingen en facties met tegenstrijdige belangen.
Dat zal men bij Signal niet leuk vinden, die zijn nu net van Google overgestapt naar souq.com (zie deze commit: https://github.com/signal...c3ab411627bbb23109ef9facc) en dat is van Amazon. Uiteraard heeft Amazon dat gedaan om een Russische blokkade te voorkomen. Ik ben benieuwd of er nog bruikbare domain fronting hosts overblijven, of dat men iets nieuws moet bedenken.
Ook Tor ondervindt problemen hierdoor. Lijkt erop dat ze nu overstappen op Microsoft Azure, maar de vraag is natuurlijk of Microsoft niet ook Domain Fronting zullen uitschakelen als dit zo doorgaat. Ik hoop van niet.

[Reactie gewijzigd door xrf op 1 mei 2018 11:43]

Het is relatief eenvoudig om malware te genereren die gebruik maakt van domain fronting, als je wat slim Googled vind je het zo. Domain fronting via Google kan het nog steeds (al dan niet via een omweg) en bij Microsoft Azure is het ook nog mogelijk, de vraag is alleen voor hoelang. Ik begrijp het wel dat ze het aan banden willen leggen, de domeinen van CDN's haar klanten worden namelijk misbruikt om het te doen lijken dat er malware-communicatie naar toe gaat, terwijl het eigenlijk naar een andere server ergens op het internet gaat; dat kan niet de bedoeling zijn. Het is jammer dat censuur niet meer op deze wijze ontweken kan worden, maar het is wel terecht.

Een redelijk te volgen beschrijving van hoe domain fronting werkt is hier te vinden: https://medium.com/@malco...ain-fronting-8d23dcb694a0
Het is jammer dat censuur niet meer op deze wijze ontweken kan worden, maar het is wel terecht.
Dat is natuurlijk ieders persoonlijke afweging. Ik vind niet dat alles moet wijken voor veiligheid, er zijn grenzen en het ontwijken van censuur (in veel landen ook een kwestie van veiligheid) vind ik persoonlijk belangrijker dan wat malware die er misschien tussendoor slipt.
Beetje als hoe ik de blokkade op The Pirate Bay omzeil door mijn requests direct naar het Cloudflare IP te sturen dat ik heb gekregen door Stichting Brein te pingen :+? Niet helemaal, maar vond het een leuk verhaal.

[Reactie gewijzigd door Cilph op 1 mei 2018 08:24]

TPB is vanuit Nederland gelukkig makkelijk benaderbaar via Tor, zolang Brein dat niet geblokkeerd weet te krijgen is TPB net zo makkelijk te benaderen als het dubbelclicken op de gedownloade Tor browser.
Je kan natuurlijk ook het .onion adres gebruiken, wat voor zover ik weet helemaal niet geblokkeerd kan worden.
Tenzij Tor in het algemeen dus geblokkeerd zou worden.
Waarom zo moeilijk doen als je nog steeds Google Filetype Search filtering kunt gebruiken? Zo kan je ongeveer elke torrent vinden die je zoekt en ik wens Brein & Co heel veel success met het filteren en blokkeren van Google Search.
Zelfde laken een pak met Bing.
En met een beetje geluk heeft Google of Bing zelfs een cached copy van de pagina, dus als daar een Magnet URI op staat ben je helemaal snel klaar. Heb je heel TPB of KAT niet meer nodig.
TPB is vanuit Nederland gelukkig makkelijk benaderbaar via Tor,
Of via één van de vele proxies. Wel even JavaScript uitzetten, aangezien die proxies veel crap toevoegen.

Waar een wil is, is een weg. Waar een onwil is, is een omweg. ;)
Gebruik een "open" DNS server, want TPB is op dns niveau geblokkeerd.
Dat klinkt als een interresante oplossing
Dat vraag ik me ook ff af. Cloudflare is in de basis een DDOS-beveiliging, en heeft nog een aantal andere voordelen. Ze verlichten server load, schermen IP's af, etc. Daarnaast is het ook nog eens een heel overzichtelijke DNS setup, die een stuk makkelijker werkt dan mijn eigen page op TransIP.

Edit: met cloudflare is niets mis, sommige gebruiken daarentegen wel. Beetje hetzelfde als wapen fabrikanten de schuld geven van moord. (guns don't kill people, people kill people. The gun is just a tool)

[Reactie gewijzigd door bunnybugs_007 op 1 mei 2018 10:26]

Verklaar je nader.
https://archive.is/TSFWV

Cloudflare was created in 2009 by Matthew Prince, Lee Holloway, and Michelle Zatlyn,[4][5] who had previously worked on Project Honey Pot.[

A quotation from CEO Matthew Prince
( from the University of Chicago law school journal )

"Back in 2003, Lee Holloway and I started Project Honey Pot as an open-source project to track online fraud and abuse. The Project allowed anyone with a website to install a piece of code and track hackers and spammers. We ran it as a hobby and didn't think much about it until, in 2008, the Department of Homeland Security called and said, 'Do you have any idea how valuable the data you have is?' That started us thinking about how we could effectively deploy the data from Project Honey Pot, as well as other sources, in order to protect websites online. That turned into the initial impetus for CloudFlare."

When you fetch a page from a website that is served from CloudFlare, Javascript has been injected on-the-fly into that page by CloudFlare, and they also plant a cookie that brands your browser with a globally-unique ID. This happens even if the website is using SSL and shows a cute little padlock in your browser.

We don't know if CloudFlare is tracking you. We do know that they are perfectly positioned to immediately begin tracking web surfers who visit selected sites hosted by CloudFlare. Is this why they proxy so many dodgy sites? Are they trying to jack up their stats and hype their way into another round of venture funding, or are they getting black-budget bucks from the feds? Or both?

It is clear that Homeland Security admires the Honey Pot technique.
A better question might be this: If Homeland Security approached CloudFlare with checkbook in hand, would CloudFlare take the money and keep quiet?
Hmm, boeiend stukje...

Het stukje 'keep quiet' hebben ze al heel vaak gedaan. Voor zover mij bekend is hebben ze nog maar 1 keer data vrijgegeven, en dat had volgens mij iets met kinderporno te maken.

De injectie 'on-the-fly' is ook niets nieuws. De SSL ondersteuning die zij bieden is tot op hun servers, waarvandaan het verkeer ontsleuteld word, en doorgezet. Ze zijn best wel open over hun werkwijze, en ze hebben geen belangen bij advertentienetwerken oid lopen. Het enige dat zij doen is hun netwerk versterken dmv techniek. Hoe eerder een device als frauduleus aangemerkt word, hoe sterker de bescherming is die ze bieden.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True