Aplikasi Signal Perkenalkan Domain Fronting

Update terbaru dari aplikasi Signal, salah satu aplikasi yang dianggap paling aman untuk pengguna non-teknis memperkenalkan teknik pengelakan sensor yang akan membuatnya lebih bermanfaat bagi pengguna yang berada di bawah pemerintah atau rezim yang melakukan pengawasan.

Update ini merupakan respon terhadap tindakan Mesir dan Uni Emirat Arab yang telah memblokir pesan Signal melalui ISP regional. Open Whisper Systems perusahaan yang berada di belakang aplikasi Signal kemudian merevisi versi Android dari Signal untuk menerapkan teknik yang disebut Domain Fronting.

Dengan update tersebut, domain fronting diaktifkan untuk pengguna Signal yang memiliki nomor telepon dengan kode negara dari Mesir atau UAE. Ketika para pengguna mengirim pesan Signal, hal tersebut akan terlihat seperti permintaan HTTPS normal www.google.com. Untuk memblokir pesan Signal, negara-negara ini juga harus memblokir google.com.

Seperti dijelaskan dalam sebuah makalah pada tahun 2015 oleh para peneliti dari University of California, Berkeley, Psiphon, dan Brave New Software, domain fronting bergantung pada penggunaan nama domain yang berbeda pada lapisan aplikasi yang berbeda untuk menghindari sensor.

Berbeda dengan permintaan HTTPS di mana nama domain diikutkan di sekitar DNS query, ekstensi TLS Server Name Indication (SNI), dan HTTP Host header, permintaan domain fronted termasuk domain umpan dan domain nyata. DNS query dan SNI menyajikan domain umpan sementara HTTP host header yang tidak dapat diakses dalam transit berkat HTTPS mengandung tujuan yang sebenarnya yang bisa saja domain yang dianulir atau disensor. Ketika domain umpannya adalah google.com maka ketika memblokir domain tersebut sekaligus akan memblokir akses semua orang ke Google. Dengan cara ini rezim yang memblokir pesan Signal hanya memiliki satu pilihan, yaitu menonaktifkan internet untuk menonaktifkan Signal.

Sumber: The Register