PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Pada konferensi keamanan DEF CON 28 minggu ini, seorang peneliti keamanan telah merilis alat baru yang dapat membantu pembuat aplikasi sensitif menghindari sensor dan me-bypass firewall. Alat ini bernama Noctilucent, dikembangkan oleh Erik Hunstad, Kepala Teknis di perusahaan keamanan siber SixGen.

Menurut Hunstad, Noctilucent hadir untuk mengisi peran yang ditinggalkan oleh penyedia cloud seperti Amazon dan Google yang memblokir “domain fronting” di infrastruktur mereka.

Hunstad mengatakan dia menggunakan protokol TLS 1.3 baru untuk menghidupkan kembali domain fronting sebagai teknik anti-sensor tetapi dalam format baru. Hunstad menyebutnya sebagai “domain hiding”.

Apa itu domain fronting?

Domain fronting adalah teknik yang telah dipopulerkan oleh pengembang aplikasi seluler pada tahun 2010-an dan telah digunakan untuk memungkinkan aplikasi melewati upaya penyensoran.

Teknik domain fronting memungkinkan klien (aplikasi) untuk terhubung ke front domain, yang kemudian meneruskan koneksi ke infrastruktur nyata pembuat aplikasi.

Negara-negara yang ingin memblokir aplikasi yang dilindungi oleh front domain hanya akan melihat front domainnya, karena masalah teknis dalam bagaimana sambungan HTTPS akan dinegosiasikan. Lihat penjelasan Wikipedia di bawah ini:

“In a domain-fronted HTTPS request, one domain appears on the “outside” of an HTTPS request in plain text-in the DNS request and SNI extention-which will be what the client wants to pretend they are targeting in the connection establishment and is the one that is visible to censors, while a different domain appears on the “inside”-in the HTTP Host header, invisible to the censor under HTTPS encryption-which would be the actual target of the connection.”

Jika suatu negara memblokir front domain, operator aplikasi hanya perlu merotasi ke front domain baru, sambil mempertahankan infrastruktur asli di tempat yang sama, tanpa harus memigrasi ribuan server.

(Gambar: Erik Hunstad)

Domain fronting masih bisa berfungsi saat ini, tetapi hanya ada sedikit penyedia hosting yang mengizinkannya. Sebagian besar perusahaan takut seluruh infrastruktur mereka diblokir di dalam negara yang ingin memblokir satu atau lebih aplikasi.

Sementara beberapa penyedia masih mendukungnya, domain fronting dinonaktifkan pada musim semi 2018, ketika Amazon dan Google menjatuhkan dukungan untuk teknik tersebut, di bawah ancaman dari pemerintah Rusia, yang pada saat itu ingin memblokir akses ke aplikasi Telegram dengan biaya berapa pun.

Telegram menemukan cara lain untuk bersembunyi dari sensor internet Rusia, dan pemerintah Rusia akhirnya membatalkan larangan tersebut; namun pada akhirnya domain fronting tidak pernah diaktifkan kembali di AWS dan Google Cloud, dan dengan itu secara efektif mengakhiri penggunaan luasnya.

Baca Juga: “Memata-Matai Trafik Internet Satelit Hanya Dengan Peralatan TV Rumah


Apa itu domain hiding?

Namun sejak 2018, teknologi baru memiliki peluang untuk berkembang. TLS 1.3, yang baru berumur beberapa minggu dalam kehidupannya sebagai protokol stabil pada saat domain fronting dilarang, sekarang banyak digunakan di internet.

Hunstad mengatakan bahwa dalam kondisi tertentu dan mudah dibuat ulang, aplikasi dapat menghidupkan kembali domain fronting dengan bantuan teknologi yang lebih baru, dan membuat jenis front domain baru yang membuat sensor internet dan firewall tidak dapat mengakses tujuan sebenarnya dari koneksi jaringan.

Teknik baru ini, yang saya sebut sebagai domain hiding, mencapai tujuan yang sama seperti domain fronting, tetapi menggunakan teknologi yang berbeda,” kata Hunstad di DEF CON.

Teknik ini tidak sepenuhnya identik dengan domain fronting, tetapi sebenarnya jauh lebih canggih karena bisa juga me-bypass firewall dan teknologi pemantauan jaringan lainnya untuk berpikir bahwa pengguna mengakses situs web lain daripada yang sebenarnya diakses oleh aplikasi/pengguna.

Misalnya, dalam koneksi “domain hiding”, sebuah aplikasi mungkin tampak sedang memulai koneksi HTTPS ke firefox[.]com, tetapi di belakang layar, itu sebenarnya terhubung ke situs-tujuan[.]com.

Hal ini dimungkinkan karena klien (aplikasi) menampilkan informasi yang salah di bidang teks biasa koneksi HTTPS, tetapi bidang koneksi yang dienkripsi berisi informasi yang berbeda, dan yang diberlakukan oleh server.

TLSHost — firefox.com (plaintext/visible)
SNI — firefox.com (plaintext/visible)

HTTP Host header — desired-site.com (encrypted/not visible)
ESNI — desired-site.com (encrypted/not visible)

(Gambar: Erik Hunstad)

Alat baru Noctilucent, dibagikan secara open-source di GitHub pada minggu ini, yang mengotomatiskan proses domain hiding dengan teknik baru dari peneliti.

Alat ini dibuat untuk menggunakan Cloudflare sebagai host front domainnya.

Untuk menggunakan Noctilucent, Hunstad mengatakan aplikasi harus mendukung TLS 1.3 saat memulai koneksi HTTPS, dan juga harus memiliki catatan DNS domain yang dikelola melalui Cloudflare (karena domain sebenarnya tersembunyi di antara domain lain yang dihosting Cloudflare).

Hunstad mengatakan domain hiding memiliki kelebihan jika dibandingkan dengan domain fronting. Yang terbesar adalah aplikasi tidak harus menghosting semua infrastrukturnya di penyedia yang sama seperti yang harus mereka lakukan dengan teknik domain fronting.

Domain hiding sekarang memungkinkan untuk menghosting catatan DNS domain di Cloudflare, dengan menghosting server asli di mana saja dan dengan penyedia hosting apa pun.

Namun, seperti kebanyakan alat, Noctilucent memiliki sisi positif dan negatifnya. Meskipun alat ini dapat membantu aplikasi menyiapkan bentuk baru domain fronting dan menghindari penyensoran, alat ini juga dapat berguna dalam menyembunyikan server command-and-control malware – sesuatu yang mungkin perlu diperhatikan di masa mendatang.

Rincian teknis tambahan tersedia di repositori GitHub Noctilucent dan materi DEF CON Hunstad di bawah ini:


Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.