Amazon Web Services legt domain fronting aan banden

Amazon Web Services, oftewel AWS, heeft bekendgemaakt dat het de praktijk van domain fronting aan banden gaat leggen. De beslissing volgt op een soortgelijke actie van Google, dat eerder deze maand een einde maakte aan deze mogelijkheid.

In een aankondiging schrijft AWS dat het in de komende week binnen zijn CloudFront-dienst controles gaat uitvoeren of 'het account dat het certificaat voor een bepaalde verbinding bezit ook het account is dat het verzoek maakt bij die verbinding'. Daardoor is de techniek alleen nog te gebruiken voor domeinen onder hetzelfde certificaat. Het stelt dat domain fronting door 'tools zoals malware wordt gebruikt om blokkades op tls/ssl-niveau te omzeilen'.

Domain fronting werkt door in het dns-verzoek en in de aanduiding van de tls-server een bekend domein te gebruiken en daar een https-verzoek naartoe te sturen. Zo lijkt een verzoek aan de 'buitenkant' bijvoorbeeld naar Google of Amazon verstuurd te worden. Daarbij bevat de http host header, die is verborgen door de encryptie van https, het domein waar werkelijk mee gecommuniceerd wordt.

Daardoor is deze techniek bijvoorbeeld nuttig om censuur en andere blokkades te omzeilen, doordat internetverkeer een andere bestemming lijkt te hebben dan dat het daadwerkelijk heeft. Bijvoorbeeld de chatapp Signal maakt in bepaalde gevallen van deze techniek gebruik. Amazon schrijft verder dat 'geen enkele klant er ooit achter wil komen dat iemand anders zich voordoet als zijn gewone, onschuldige domein'.

Amazon is niet het eerste grote internetbedrijf dat een dergelijke beslissing neemt. Google deed dit eerder deze maand en zei tegen The Verge dat domain fronting 'nooit een functie was die door Google werd ondersteund'. De organisatie Access Now uitte zich kritisch over de beslissing tegenover de site en zei dat de techniek 'miljoenen mensen een vrijer internet liet ervaren'.

De beslissing viel rond dezelfde tijd dat de Russische blokkade van Telegram gevolgen had voor andere diensten die gebruikmaakten van Amazon en Google.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-05-2018 08:11 22

01-05-2018 • 08:11

22

Lees meer

Five Eyes-landen roepen bedrijven op versleutelde data toegankelijk te maken
Five Eyes-landen roepen bedrijven op versleutelde data toegankelijk te maken Nieuws van 3 september 2018
Gerucht: Amazon overweegt eigen netwerkswitches te verkopen
Gerucht: Amazon overweegt eigen netwerkswitches te verkopen Nieuws van 16 juli 2018
Tor Project stapt over naar Azure om domain fronting te blijven aanbieden
Tor Project stapt over naar Azure om domain fronting te blijven aanbieden Nieuws van 4 mei 2018
Amazon: Signal moet stoppen met domain fronting
Amazon: Signal moet stoppen met domain fronting Nieuws van 2 mei 2018
Rusland zet ip-adressen Google op zwarte lijst wegens omzeilen Telegram-blokkade
Rusland zet ip-adressen Google op zwarte lijst wegens omzeilen Telegram-blokkade Nieuws van 23 april 2018
'Russische Telegram-blokkade leidt tot niet-werkende Google- en Amazon-diensten'
'Russische Telegram-blokkade leidt tot niet-werkende Google- en Amazon-diensten' Nieuws van 17 april 2018
Signal introduceert versleuteld videobellen
Signal introduceert versleuteld videobellen Nieuws van 15 maart 2017
Crypto-chatapp Signal omzeilt censuur in Egypte en Emiraten
Crypto-chatapp Signal omzeilt censuur in Egypte en Emiraten Nieuws van 22 december 2016
Meer producten en artikelen
Internet Amazon Google

Reacties (22)

-Moderatie-faq
22
21
5
0
0
10
Wijzig sortering
Verwijderd 1 mei 2018 08:32
heb hier gemengde gevoelens bij.
Net zoals HTTPS.
De overheid hamert erop dat websites https moeten gaan gebruiken (want veiliger), maar is tegelijkertijd chagrijnig als mensen encrypted/beveiligde verbindingen gebruiken omdat ze daardoor gehinderd worden met het afluisteren.

Zo ook hier: domain fronting klinkt dus als een handig fenomeen om censuur tegen te gaan.
Anderszijds klinkt het als spoofing, en dat wil je ook niet.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:58]

bbob
@Verwijderd1 mei 2018 09:29
Het is een keuze van amazon en google. Neem telegram die maakt er gebruik van met als gevolg dat google en amazon ip's op een zwarte lijst komen.
google en amazon en klanten van beide kunnen hier dan last van krijgen als ze niet te benaderen zijn.
Ze kiezen dus voor dit niet meer mogelijk te maken.

Het wordt natuurlijk gebruikt om censuur tegen te gaan hetgeen weer goed kan zijn maar ja dat blijft een kat en muis spel.
sdk1985 @Verwijderd1 mei 2018 18:32
heb hier gemengde gevoelens bij.
Net zoals HTTPS.
De overheid hamert erop dat websites https moeten gaan gebruiken (want veiliger), maar is tegelijkertijd chagrijnig als mensen encrypted/beveiligde verbindingen gebruiken omdat ze daardoor gehinderd worden met het afluisteren.

Zo ook hier: domain fronting klinkt dus als een handig fenomeen om censuur tegen te gaan.
Anderszijds klinkt het als spoofing, en dat wil je ook niet.
De overheid is niet 1 persoon maar bevat talloze groeperingen en facties met tegenstrijdige belangen.
Verwijderd 1 mei 2018 10:10
Dat zal men bij Signal niet leuk vinden, die zijn nu net van Google overgestapt naar souq.com (zie deze commit: https://github.com/signal...c3ab411627bbb23109ef9facc) en dat is van Amazon. Uiteraard heeft Amazon dat gedaan om een Russische blokkade te voorkomen. Ik ben benieuwd of er nog bruikbare domain fronting hosts overblijven, of dat men iets nieuws moet bedenken.
xrf @Verwijderd1 mei 2018 11:43
Ook Tor ondervindt problemen hierdoor. Lijkt erop dat ze nu overstappen op Microsoft Azure, maar de vraag is natuurlijk of Microsoft niet ook Domain Fronting zullen uitschakelen als dit zo doorgaat. Ik hoop van niet.

[Reactie gewijzigd door xrf op 23 juli 2024 15:58]

sjosz 1 mei 2018 13:50
Het is relatief eenvoudig om malware te genereren die gebruik maakt van domain fronting, als je wat slim Googled vind je het zo. Domain fronting via Google kan het nog steeds (al dan niet via een omweg) en bij Microsoft Azure is het ook nog mogelijk, de vraag is alleen voor hoelang. Ik begrijp het wel dat ze het aan banden willen leggen, de domeinen van CDN's haar klanten worden namelijk misbruikt om het te doen lijken dat er malware-communicatie naar toe gaat, terwijl het eigenlijk naar een andere server ergens op het internet gaat; dat kan niet de bedoeling zijn. Het is jammer dat censuur niet meer op deze wijze ontweken kan worden, maar het is wel terecht.

Een redelijk te volgen beschrijving van hoe domain fronting werkt is hier te vinden: https://medium.com/@malco...ain-fronting-8d23dcb694a0
Verwijderd @sjosz1 mei 2018 18:43
Het is jammer dat censuur niet meer op deze wijze ontweken kan worden, maar het is wel terecht.
Dat is natuurlijk ieders persoonlijke afweging. Ik vind niet dat alles moet wijken voor veiligheid, er zijn grenzen en het ontwijken van censuur (in veel landen ook een kwestie van veiligheid) vind ik persoonlijk belangrijker dan wat malware die er misschien tussendoor slipt.
bluegoaindian 1 mei 2018 22:13
of dit :
https://trac.torproject.o...r/ticket/12208#comment:11
Cilph 1 mei 2018 08:23
Beetje als hoe ik de blokkade op The Pirate Bay omzeil door mijn requests direct naar het Cloudflare IP te sturen dat ik heb gekregen door Stichting Brein te pingen :+? Niet helemaal, maar vond het een leuk verhaal.

[Reactie gewijzigd door Cilph op 23 juli 2024 15:58]

Verwijderd @Cilph1 mei 2018 10:12
TPB is vanuit Nederland gelukkig makkelijk benaderbaar via Tor, zolang Brein dat niet geblokkeerd weet te krijgen is TPB net zo makkelijk te benaderen als het dubbelclicken op de gedownloade Tor browser.
vdstaak @Verwijderd1 mei 2018 12:09
Je kan natuurlijk ook het .onion adres gebruiken, wat voor zover ik weet helemaal niet geblokkeerd kan worden.
Verwijderd @vdstaak1 mei 2018 12:51
Tenzij Tor in het algemeen dus geblokkeerd zou worden.
PepijnK @vdstaak1 mei 2018 15:27
Waarom zo moeilijk doen als je nog steeds Google Filetype Search filtering kunt gebruiken? Zo kan je ongeveer elke torrent vinden die je zoekt en ik wens Brein & Co heel veel success met het filteren en blokkeren van Google Search.
Zelfde laken een pak met Bing.
En met een beetje geluk heeft Google of Bing zelfs een cached copy van de pagina, dus als daar een Magnet URI op staat ben je helemaal snel klaar. Heb je heel TPB of KAT niet meer nodig.
The Zep Man
@Verwijderd1 mei 2018 13:12
TPB is vanuit Nederland gelukkig makkelijk benaderbaar via Tor,
Of via één van de vele proxies. Wel even JavaScript uitzetten, aangezien die proxies veel crap toevoegen.

Waar een wil is, is een weg. Waar een onwil is, is een omweg. ;)
Damic @Verwijderd1 mei 2018 14:47
Gebruik een "open" DNS server, want TPB is op dns niveau geblokkeerd.
maxxie85 @Cilph1 mei 2018 10:13
Dat klinkt als een interresante oplossing
bunnybugs_007 @BoozeWooz1 mei 2018 10:24
Dat vraag ik me ook ff af. Cloudflare is in de basis een DDOS-beveiliging, en heeft nog een aantal andere voordelen. Ze verlichten server load, schermen IP's af, etc. Daarnaast is het ook nog eens een heel overzichtelijke DNS setup, die een stuk makkelijker werkt dan mijn eigen page op TransIP.

Edit: met cloudflare is niets mis, sommige gebruiken daarentegen wel. Beetje hetzelfde als wapen fabrikanten de schuld geven van moord. (guns don't kill people, people kill people. The gun is just a tool)

[Reactie gewijzigd door bunnybugs_007 op 23 juli 2024 15:58]

BoozeWooz @bunnybugs_0071 mei 2018 10:31
zie hierboven
MaxTheKing @BoozeWooz1 mei 2018 09:00
Verklaar je nader.
BoozeWooz @MaxTheKing1 mei 2018 10:31
https://archive.is/TSFWV

Cloudflare was created in 2009 by Matthew Prince, Lee Holloway, and Michelle Zatlyn,[4][5] who had previously worked on Project Honey Pot.[

A quotation from CEO Matthew Prince
( from the University of Chicago law school journal )

"Back in 2003, Lee Holloway and I started Project Honey Pot as an open-source project to track online fraud and abuse. The Project allowed anyone with a website to install a piece of code and track hackers and spammers. We ran it as a hobby and didn't think much about it until, in 2008, the Department of Homeland Security called and said, 'Do you have any idea how valuable the data you have is?' That started us thinking about how we could effectively deploy the data from Project Honey Pot, as well as other sources, in order to protect websites online. That turned into the initial impetus for CloudFlare."

When you fetch a page from a website that is served from CloudFlare, Javascript has been injected on-the-fly into that page by CloudFlare, and they also plant a cookie that brands your browser with a globally-unique ID. This happens even if the website is using SSL and shows a cute little padlock in your browser.

We don't know if CloudFlare is tracking you. We do know that they are perfectly positioned to immediately begin tracking web surfers who visit selected sites hosted by CloudFlare. Is this why they proxy so many dodgy sites? Are they trying to jack up their stats and hype their way into another round of venture funding, or are they getting black-budget bucks from the feds? Or both?

It is clear that Homeland Security admires the Honey Pot technique.
A better question might be this: If Homeland Security approached CloudFlare with checkbook in hand, would CloudFlare take the money and keep quiet?
bunnybugs_007 @BoozeWooz1 mei 2018 13:11
Hmm, boeiend stukje...

Het stukje 'keep quiet' hebben ze al heel vaak gedaan. Voor zover mij bekend is hebben ze nog maar 1 keer data vrijgegeven, en dat had volgens mij iets met kinderporno te maken.

De injectie 'on-the-fly' is ook niets nieuws. De SSL ondersteuning die zij bieden is tot op hun servers, waarvandaan het verkeer ontsleuteld word, en doorgezet. Ze zijn best wel open over hun werkwijze, en ze hebben geen belangen bij advertentienetwerken oid lopen. Het enige dat zij doen is hun netwerk versterken dmv techniek. Hoe eerder een device als frauduleus aangemerkt word, hoe sterker de bescherming is die ze bieden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq