Спустя неделю после того, как корпорация Google отключил возможность использовать свою сеть в качестве прокси-сервиса, аналогичным образом поступила и компания Amazon. На днях представители Amazon Web Services объявили о том, что они планируют ввести новые правила работы со своим сервисом. Эти правила подразумевают невозможность для разработчиков перенаправлять трафик для того, чтобы избежать блокировки сетей.
В Amazon сообщили, что этот шаг позволит лучше бороться со зловредным программным обеспечением. «Разработчики malware могут использовать сеть Amazon для того, чтобы избежать возможности блокировки», — говорится в посте. «Никто из пользователей AWS не согласился бы на то, чтобы кто-то использовал в своих целях их собственный домен».
До настоящего момента большинство провайдеров облачных услуг позволяли работать со своими сервисами в качестве прокси, перенаправляя запросы пользователей на другие домены. Кроме разработчиков зловредного ПО эту возможность использовали пользователи сети, которые боролись с теми либо иными блокировками, включая запрет Telegram в России.
К сожалению для многих пользователей Telegram ни Google, ни Amazon не станут продолжать практику проксирования. Впрочем, Amazon позволит своим пользователям работать с различными доменами и ресурсами, которые принадлежат этому пользователю, но проксировать трафик всем желающим не разрешат.
Google раньше других крупных компаний запретил использовать собственную сеть в качестве прокси. Ранее многие сервисы имели возможность использовать Google в качестве прокси-сервиса, включая перенаправление трафика на свои сервера через домен Google.com. Кроме всего прочего, это позволяло разным компаниям обходить блокировки.
Изначально официального объявления не было, первыми изменения заметили разработчики сети Tor 13 апреля. Тем сервисам, которые использовали технологию доменного фронтирования, пришлось несладко, поскольку некоторые из них не смогли обходить государственную цензуру, включая защищенный мессенджер Signal и VPN-сервис Psiphon.
В корпорации Google рассказали о том, что инструмент domain-fronting был доступен благодаря особенностям программного обеспечения корпорации, но восстанавливать эту возможность никто не собирается.
Что касается Amazon, то вполне может быть, что действия компании обусловлены тем, что Роскомнадзор забанил 655 352 IP-адресов Amazon. Это было сделано для того, чтобы предотвратить возможность работы мессенджера в России. «У нас в выгрузку поступила подсеть Amazon, на которую перешёл Telegram, — сказал глава ведомства Александр Жаров. — Дело в том, что третий пункт решения суда предписывает Роскомнадзору и иным юридическим лицам не создавать условия для технического доступа к заблокированному мессенджеру. Мы исполняем решение суда». Тогда под блокировку попали подсети Amazon 52.58.0.0/15, 18.196.0.0/15, 18.194.0.0/15 и 35.156.0.0/14. Позже в реестр внесли ещё подсеть 18.184.0.0/15.
Подсеть Google попала подсеть Google 35.192.0.0/12, которая содержала более миллиона IP-адресов компании, попала в выгрузку реестра запрещенных сайтов для провайдеров по той же причине — Telegram обходил блокировку с использованием метода проксирования.
Действия Роскомнадзора, который и борется с Telegram, привели к тому, что крупнейшие телекоммуникационные компании РФ стали высказываться против действий ведомства. «Попытка заблокировать Telegram в России неожиданно стала ударом по всему рунету. Блокировка коснулась не только мессенджера — пострадали многие ресурсы и их пользователи. Мы не считаем эту ситуацию нормальной», — заявил в «Яндексе».
C представителями отечественного поискового сервиса согласны и другие компании, например «Вконтакте». Так, управляющий директор социальной сети Андрей Рогозов заявил, что передача ключей и получение доступа к информации за пределами устройства с мессенджером, где работает end-to-end шифрование невозможно по определению.
В настоящее время противостояние продолжается, и сейчас сложно сказать, кто может выйти из него победителем.
Комментарии (15)
ConstSe
02.05.2018 05:35Бейте меня палками, но я немного не догоняю. Гугл и амазон запретили domain fronting. Но не запретили же использовать их сервера в качестве проксей? А при чём тут телеграм? Я может быть неправильно понимаю, сильно не вдавался в подробности реализации обхода блокировок телеграмом, но вроде бы он пушит клиентам адреса проксей, периодически их меняя? Как это связано с domain fronting? В чём я ошибаюсь?
vconst
02.05.2018 06:28Всё так, в «новости» сплошной желтушный бред. Ни тот, на другой хостер на запретили использовать свои серверы как прокси, Телеграмм не использовал domain fronting, адресов Амазон было заблокировано не 655к — а насколько миллионов.
Пожалуйста, удалите отсюда эту безграмотную чушь, в ней нет ни слова правды.
Laney1
02.05.2018 07:39+1А при чём тут телеграм?
мы живем в мире пиара. Теперь Роскомнадзор победно отрапортует на госканалах, что Гугл и AWS начали выполнять их требования, процитирует мнения айтишников, якобы полностью с этим согласных (domain fronting и правда очень грязный хак), может даже что-нибудь разблокирует, и т.д.
ConstSe
02.05.2018 08:10Вот какая штука… При появлении статей о, скажем политкорректно, некомпетентных действиях надзорного органа, Geektimes ставит плашку о недопустимости «токсичного поведения». При этом редакторы портала вполне позволяют себе токсичное поведение в отношении пользователей. Введение в заблуждение во имя пропаганды ведь следует считать таковым? Некорректно, ящитаю.
lostpassword
02.05.2018 06:53+1Разработчики Signal вчера сообщили, что им взгрустнулось.
sotnikdv
02.05.2018 07:15Откровенно говоря, я полностью на стороне Амазона в данном конкретном случае
Yesterday AWS became aware of your Github and Hacker News/ycombinator posts describing how Signal plans to make its traffic look like traffic from another site, (popularly known as “domain fronting”) by using a domain owned by Amazon — Souq.com. You do not have permission from Amazon to use Souq.com for any purpose. Any use of Souq.com or any other domain to masquerade as another entity without express permission of the domain owner is in clear violation of the AWS Service Terms
tyomitch
02.05.2018 08:42+1Я не очень понимаю фразу «You do not have permission from Amazon to use Souq.com for any purpose.»
Чтобы ввести название домена Souq.com в браузер, мне ведь не нужно разрешение Amazon?
А чтобы то же самое название домена Souq.com серверу Amazon передавал не мой браузер, а написанный мной скрипт — мне уже нужно разрешение Amazon?tyomitch
02.05.2018 08:48Собственно, разработчики Signal в том посте сами комментируют, что формального нарушения AWS Service Terms нет:
Although our interpretation is ultimately not the one that matters, we don’t believe that we are violating the terms they describe:
- Our CloudFront distribution isn’t using the SSL certificate of any domain but our own.
- We aren’t falsifying the origin of traffic when our clients connect to CloudFront.
Dmitri-D
02.05.2018 08:51+3marks вы неправы. Ничего такого ни Amazon ни Гугл не запретили. Не нужно тиражировать вранье, благо оригинал доступен:
aws.amazon.com/ru/blogs/security/enhanced-domain-protections-for-amazon-cloudfront-requests
и там ни слова о запрете проксирования.
Там запрет на Domain Fronting, это совсем не прокси, это совсем другая хрень, которая вообще никогда и не должна была работать.tyomitch
02.05.2018 09:12+1Это была «непреднамеренная фича», но единственное, для чего она могла использоваться — это обход DPI. Соответственно, единственная мотивация её выпиливать — это облегчить работу интернет-цензорам.
Аргументы Амазона («in other cases, tools including malware can use this technique between completely unrelated domains to evade restrictions and blocks that can be imposed at the TLS/SSL layer») ничем не отличаются от аргументов Роскомнадзора: «раз этим гипотетически могут пользоваться террористы и педофилы, значит надо отключить».
rexen
02.05.2018 09:12-2Пожалуйста, удалите отсюда эту безграмотную чушь, в ней нет ни слова правды.
Тем не менее, статья — с плюсами. (по крайней мере на момент моего комментария). Что показывает среднестатистический уровень читателя. «Пипл хавает» (Нынче — лайкает). К сожалению, используя эмоции, а не понимание.tyomitch
02.05.2018 09:16В статье есть некорректные формулировки (речь о domain fronting, а не о проксировании) и некорректные сравнения (Телеграм и блокировки его IP-адресов не имеют никакого отношения к делу), но в целом новость «Amazon вслед за Google принимает меры в поддержку интернет-цензуры» очень важная, и передана корректно.
vassabi
я наверно плохо понимаю тонкости реализации, но что мешает завести 730 аккаунтов, а потом год менять айпи по два раза в сутки?
BlessYourHeart
Ничего не мешает. Вопрос контекста.
Никакой фигвамнадзор не может прийти к Амазону и потребовать заблокировать телеграмм.
НО при этом (считается) совершенно нормально если надзор сообщит, что Амазон имеет инструменты для злоумышленников для обмана наивных пользователей интернета и попросит их закрыть.
Если Амазон откажется, то любой надзор скажет, что мошенники и скамеры с помощью амазонов создают поддельные сайты и воруют деньги и персональную информацию. А это уже выглядит не очень красиво со стороны Амазона. Палка о двух концах. И Амазон правильно решил внести изменения, так как у телеграмма есть и другие возможности избегать блокировок.
qw1
Ну, то есть всё как обычно: Телеграм продолжит работать, а пострадают очередные непричастные сервисы — Tor и Psiphon.