Amazon mette al bando un trucco per mascherarsi dietro al suo servizio. E manda un ultimatum alla app Signal, che lo usava per non farsi bloccare. Ma il tema è più vasto.
Da oggi sarà più difficile per Signal, la app di messaggi cifrati, aggirare la censura nei Paesi in cui è proibita, come l’Egitto, l’Oman, il Qatar e gli Emirati Arabi Uniti. E questo perché una tecnica che sfruttava i servizi cloud di Google e Amazon, un trucco ingegnoso utilizzato dalla app per sfuggire alle maglie dei censori, non è più permessa dalle due aziende.
La tecnica del domain fronting
Infatti, dopo Google, anche Amazon ha deciso di non voler più chiudere un occhio sul sistema utilizzato da Signal per mimetizzare le connessioni degli utenti al proprio servizio in Paesi dove è vietato. Tale sistema viene chiamato “domain fronting” e ha bisogno di almeno due siti: quello vero, messo al bando, cui si vuole connettere un utente; e un altro che fa da schermo, da esca, da copertura. Per funzionare, entrambi i siti devono essere ospitati dallo stesso fornitore di servizi web, come Google o Amazon.
A quel punto l’utente inizia una connessione al sito schermo; o meglio la simula, inserendo quel dominio nella richiesta iniziale, che è in chiaro, non è cifrata e può essere intercettata dai censori (tecnicamente, nella richiesta DNS e nella connessione TLS); ma in realtà, dopo aver stabilito una connessione cifrata (in HTTPS) si collega al dominio bannato. “Con il fronting, tu ti connetti in TLS a Google.com e poi dentro la richiesta dici: ‘no guarda in realtà a me interessa questo altro host (sito/servizio, ndr)’. Mentre da fuori appare come un normale dialogo cifrato con Google.com”, spiega ad AGI Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano.
I censori a quel punto non sono in grado di sapere a cosa si stia davvero collegando l’utente e nel dubbio dovrebbero mettere al bando tutta l’infrastruttura su cui si reggono i due siti (ovvero tutti i siti che stanno sui servizi Google o Amazon). “E allora il Paese deve decidere se intende chiudere l’accesso a Google o ai servizi web di Amazon, pur di spegnere una app”, commenta Zanero.
Lo stop di Google e Amazon
Ora Signal ha usato questa tecnica per un anno e mezzo usando i servizi Google (Google App Engine). Ma Google l’ha proibita a inizio aprile. E nei giorni scorsi anche Amazon l’ha messa al bando. Non è chiaro perché e perché adesso. Ci possono essere degli usi maligni della tecnica, nota il sito di Amazon: “software malevoli possono usarla per evadere restrizioni e blocchi”. Sta di fatto che il gruppo nei giorni scorsi ha anche chiesto a Signal, che era passata ai suoi servizi, di non utilizzarla più. In una lettera inviata al fondatore di Open Whisper Systems (che sviluppa Signal), Moxie Marlinspike, Amazon chiede di interrompere questa pratica o in alternativa di trovarsi un altro fornitore di servizi web.
“L’idea dietro al domain fronting era che per bloccare un singolo sito, avresti dovuto bloccare il resto di internet”, ha scritto Moxie nel blog di Signal. “Alla fine, al resto di internet l’idea non è piaciuta”. Signal ha anche fatto sapere di non avere una alternativa immediata all’orizzonte, e quindi è probabile che la sua app non sarà facilmente accessibile nei Paesi in cui è stata vietata: ”I censori hanno raggiunto (almeno temporaneamente) i loro obiettivi”.
“Signal usa il domain fronting per aggirare la censura della loro piattaforma nei paesi in cui è bloccata; è una opzione avanzata che l’utente deve attivare dentro la app (alla voce Raggira censura, ndr)”, commenta ad AGI Artuto Filastò, che gestisce il progetto anticensura OONI, parte di Tor, la noprofit che sviluppa l’omonimo software per navigare proteggendo la propria privacy. E aggiunge: “La decisione di Amazon avrà un impatto anche su Tor”. In particolare su un sistema usato dalla rete Tor per bypassare la censura che si fonda su dei nodi, dei server nascosti, non pubblicizzati (in gergo, bridges); alcuni dei quali (noti come meek) si mimetizzano attraverso il cloud di Amazon e di Microsoft.
“Ma ci sono anche altri sistemi per aggirare la censura che dipendono dal domain fronting”, ricorda Filastò. Secondo la ong per i diritti digitali Access Now, oltre a Signal e Tor, vanno contati almeno una decina di tecnologie/progetti anticensura che sfruttano meccanismi simili per nascondersi ai bavagli statali, tra cui Collateral Freedom, il sistema usato da attivisti cinesi per sfuggire alle grinfie di quell’insieme di filtri e blocchi della Repubblica popolare noti come il Great Firewall. Si chiama “Libertà Collaterale” proprio perché per mettere al bando un sito si obbliga i censori a fare tanti danni collaterali nella speranza di farli desistere.
E Telegram?
A questo punto, viene da chiedersi anche cosa succederà alla app cifrata Telegram, visto che in Russia, dove è stata messa al bando, sta usando i servizi cloud di Google e Amazon (e di conseguenza ci sono stati problemi di accesso per molti altri siti nei giorni scorsi, e fino a 20 milioni gli indirizzi IP bloccati). La decisione di Google e Amazon di bloccare il domain fronting arriva proprio mentre la app creata dai fratelli Durov è impegnata in un braccio di ferro con la censura russa. C’è chi ritiene che Telegram abbia usato anche il domain fronting, come Signal, ma sia poi passata ad altre tecniche: una ipotesi è che stia usando il servizio cifrato di risoluzione dei nomi a dominio di Google (DNS Over HTTPS), quello che connette i domini, come www.agi.it, ai rispettivi indirizzi IP, come meccanismo per permettere agli utenti di scoprire gli indirizzi di nuovi server non bloccati. In una continua corsa in avanti, o laterale, per sfuggire ai blocchi. “In ogni caso hanno più risorse di Signal o Tor per trovare soluzioni al problema”, commenta Filastò.
Google, Amazon e altri giganti tech dovranno però fare i conti anche con le richieste della società civile. Proprio in questi giorni Amnesty International e altre 25 organizzazioni per i diritti umani hanno scritto una lettera congiunta all’Unione europea, agli Stati Uniti, all’Onu per chiedere di condannare il blocco di Telegram; e alle aziende tecnologiche per chiedere loro resistere a ordini che violano la legislazione internazionale sui diritti umani.