Tor Snowflake: Công cụ vượt kiểm duyệt giúp kết nối Tor tại các khu vực bị chặn
(snowflake.torproject.org)- Snowflake là công cụ vượt kiểm duyệt giúp người dùng ở những khu vực Tor bị chặn vẫn có thể kết nối vào mạng Tor, và có thể dùng trong các ứng dụng dựa trên Tor như Tor Browser, Orbot, Ricochet-Refresh
- Người dùng có thể chọn Snowflake trong phần cài đặt ứng dụng để định tuyến kết nối qua proxy tình nguyện, không cần tự cài tiện ích trình duyệt
- Snowflake tận dụng WebRTC để khiến lưu lượng Tor trông giống như cuộc gọi video hoặc thoại, làm cho bên kiểm duyệt khó phát hiện hơn
- Tình nguyện viên có thể bật tiện ích cho Firefox, Chrome, Edge để cung cấp băng thông; trang hiện hiển thị đang có 127.599 Snowflake hoạt động
- Tiện ích này không phải công cụ dành cho người muốn tự vượt kiểm duyệt, mà là công cụ cung cấp proxy dành cho những ai muốn giúp người khác truy cập Tor
Dùng Snowflake trong ứng dụng Tor
- Snowflake là công nghệ vượt kiểm duyệt cho phép truy cập Tor ngay cả trên các mạng đã chặn Tor
- Nó được tích hợp sẵn trong các ứng dụng dựa trên Tor, và khi kết nối bị chặn, người dùng có thể chọn Snowflake trong phần cài đặt ứng dụng để vượt chặn
- Tor Browser: hỗ trợ Desktop và Android, do Tor Project phát triển
- Orbot: hỗ trợ Android và iOS, do Guardian Project phát triển
- Ricochet-Refresh: hỗ trợ Desktop, do Blueprint for Free Speech phát triển
- Người muốn vượt kiểm duyệt chỉ cần tải ứng dụng dựa trên Tor như Tor Browser hoặc Orbot rồi kích hoạt Snowflake
- Tiện ích trình duyệt không phải công cụ để tự truy cập vượt chặn, mà là proxy dành cho tình nguyện viên dùng để chuyển tiếp kết nối của người khác
Proxy tình nguyện và cách vượt chặn hoạt động
- Tình nguyện viên có thể cài đặt và kích hoạt tiện ích trình duyệt để cung cấp Snowflake proxy
- Khi biểu tượng chuyển sang màu xanh lá, nghĩa là một người dùng bị chặn đang kết nối tới tiện ích đó
- Cài cho Firefox
- Cài cho Chrome
- Cài cho Edge
- Snowflake cho phép truy cập mạng Tor thông qua proxy tình nguyện tại các quốc gia không có kiểm duyệt
- Nó cũng giúp vượt kiểm duyệt Internet giống như VPN, nhưng điểm đặc trưng là ngụy trang lưu lượng để trông như cuộc gọi video hoặc thoại
- Công nghệ nền tảng là WebRTC, vốn thường được dùng trong phần mềm họp video, và khiến dấu vết sử dụng Tor trông như một cuộc gọi âm thanh hoặc video
- Snowflake là công nghệ vượt chặn tương đối mới thuộc họ Pluggable Transports và vẫn đang tiếp tục được cải tiến
- Pluggable Transports làm cho lưu lượng Tor bridge trông như kết nối thông thường để ngụy trang rằng đó không phải truy cập Tor
- Snowflake làm cho nó trông như cuộc gọi video, meek-azure như kết nối tới Microsoft, còn WebTunnel như kết nối HTTPS tiêu chuẩn
- Kiểu ngụy trang này khiến bên kiểm duyệt nếu muốn chặn công cụ vượt chặn thì phải chặn luôn cả một phần lớn của Internet, từ đó làm tăng chi phí kiểm duyệt
- Có thể xem cấu trúc kỹ thuật tại technical overview, và nếu muốn dùng Snowflake trong ứng dụng thì có thể liên hệ anti-censorship team
1 bình luận
Các ý kiến trên Hacker News
Snowflake dùng domain fronting cho rendezvous[1]. Trong thế giới số, nó giống như một điệp viên tổ chức cuộc họp bí mật tại nhà một người bạn không hề hay biết, và cuối cùng người bạn đó luôn gặp kết cục không hay
Kỹ thuật này được các tác nhân độc hại dùng nhiều, và một số nhà cung cấp đám mây còn chặn mặc định[2]. Khi Signal cố triển khai rộng rãi kỹ thuật này, AWS đã gửi cảnh báo mạnh vì lo các nước như Iran hay Trung Quốc sẽ chặn toàn bộ AWS[3]
Domain fronting không phải chìa khóa vạn năng. Signal và Tor đã gặp vấn đề khi các nhà cung cấp đám mây chặn domain fronting, hay chính xác hơn là khi họ không còn hỗ trợ một tính năng vốn không được chủ ý thiết kế để hoạt động như vậy nữa, nhưng khó có thể nói đó là một hành động có ý định cản trở điều gì đó. Bản thân việc “khiến load balancer cung cấp chứng chỉ khớp với domain đã cấu hình” không phải là một tính năng có vấn đề
Domain fronting đơn giản đến mức chỉ cần một lệnh gọi openssl và một máy chủ nginx, và cũng dễ phá vỡ đến mức chỉ cần thực sự xác minh chứng chỉ. Những chứng chỉ này là tự ký hoặc thuộc một chuỗi tổ chức chứng thực tùy ý mà hệ thống thật sẽ không tin cậy
Thay vì “một điệp viên tổ chức cuộc họp bí mật tại nhà một người bạn không hề hay biết”, nó gần giống việc dựng một tấm biển trước một nhà kho ngẫu nhiên ở Brazil ghi “Nhà Trắng, nhà của Tổng thống Hoa Kỳ, cấm vào” hơn
Phần mềm bị domain fronting đánh lừa là phần mềm không quan tâm đến chứng chỉ và tính hợp lệ của chúng, hoặc có lỗi và cần được vá. Một số trong đó có thể là phần mềm bảo mật, nhưng nếu tác nhân độc hại có thể đánh lừa phần mềm bảo mật tin tưởng chỉ bằng vài chuỗi có thể đọc được, thì domain fronting là một trong những điều ít đáng lo hơn
Encrypted Client Hello là một công việc đang được tiến hành nhằm mã hóa cả lần tiếp xúc đầu tiên của client với máy chủ HTTPS
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
Vì sao ECH thì ổn còn domain fronting thì không? Vấn đề với domain fronting là yêu cầu thật sự được biết quá muộn. Nó trông như một yêu cầu bình thường đến this-thing.example, nên ta đã chuẩn bị xong để xử lý yêu cầu đó, rồi đột nhiên lại thành “xin lỗi, tôi đổi ý, thật ra yêu cầu của tôi là dành cho hidden-service.example”
Với ECH, kẻ tấn công nghe lén kết nối thì không biết, nhưng ngay từ đầu chúng ta đã biết yêu cầu nhắm đến hidden-service.example, nên không lãng phí thời gian chuẩn bị nhầm việc
Chẳng phải cũng có giới hạn đối với mức độ chuyên chế mà họ có thể huy động sao? Cuối cùng thiệt hại phụ có thể trở nên quá lớn khiến họ từ bỏ nỗ lực kiểm duyệt. Hoặc xã hội sẽ trở nên áp bức đến mức người dân không thể chấp nhận
Đây là một guard relay thông thường, tức relay giúp người dùng Tor kết nối tới Tor khi hop đầu tiên của mạch Tor bị chặn, và nó dùng domain fronting và WebRTC
Dựa trên bản dịch tiếng Đức được cung cấp mặc định, cách diễn đạt khá gây rối. Đích cũng phải hỗ trợ WebRTC, nên chỉ với proxy trong trình duyệt thì không thể truy cập một website HTTP(S) tùy ý; vẫn cần một máy chủ khác chấp nhận kết nối WebRTC và chuyển tiếp lưu lượng. Điểm cốt lõi, dù bài viết không nói, là cho phép kết nối gián tiếp tới máy chủ khác này
Nó còn nói rằng không cần phần mềm để truy cập các website bị kiểm duyệt
Có vẻ họ đang cố giải thích cách hoạt động cho những người dùng bối rối không biết phải cài Snowflake như một proxy hay ứng dụng VPN ra sao
Trích nguyên văn thì khá rõ: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
Nếu Tor là bất hợp pháp ở quốc gia của mình, chỉ riêng việc thử sử dụng nó đã có vẻ khá nguy hiểm. Vì ai cũng có thể chạy proxy Snowflake, việc ghi lại địa chỉ IP kết nối là rất dễ. Khi đó, mỗi lần kết nối sẽ trở thành một canh đánh cược làm giảm xác suất được an toàn
Lướt qua Technical Overview[0] cũng không thấy nội dung nào giảm thiểu rủi ro nói trên
Mục đích của Snowflake dường như không phải là ngăn phát hiện việc dùng Tor, mà là vượt qua chặn Tor. Để làm điều này, nó tận dụng domain fronting và WebRTC
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
Tuy nhiên, Tor Project luôn nhấn mạnh nhất quán rằng các pluggable transport đều nhằm mục đích vượt kiểm duyệt chứ không phải steganography. Chúng khó bị chặn, nhưng không ngăn được việc nhà vận hành mạng phát hiện người dùng đang kết nối tới Tor. Cuối cùng, người dùng phải tự đánh giá liệu mình có thể chấp nhận rủi ro đó hay không
Tôi cũng không chắc mình hiểu đúng câu “Hãy bật Snowflake bên dưới và để mở tab trình duyệt, người dùng sẽ có thể kết nối thông qua proxy mới!” hay chưa
Nếu tôi nhúng iframe vào website của mình, lưu lượng của người dùng Tor có được tunnel qua IP của khách truy cập không? Trên relay.love, việc đồng ý được xử lý như thế nào? IP của khách truy cập website của tôi có trông như node thoát Tor không?
Ví dụ đó lấy sự đồng ý của người dùng trước khi bắt đầu
Tuy nhiên, cơ chế này không cho phép tạo socket từ xa tùy ý thông qua JavaScript. Nó chỉ có thể giao tiếp với máy chủ dùng một phiên bản nào đó của WebRTC/WebSockets, hoặc với các dịch vụ plaintext bỏ qua phần overhead giao thức bổ sung như rác rồi parse phần còn lại. Một số máy chủ IRC và WebSockets là ví dụ tốt
Như trong tổng quan kỹ thuật, người ta dùng công nghệ P2P để kết nối tới trình duyệt của người dùng, còn trình duyệt giao tiếp bằng WebSockets với máy chủ WebSocket đóng vai trò điểm vào Tor thông thường
Điều này làm tôi nhớ đến “lưu file trên YouTube”[0] trước đây, và tôi tò mò nếu áp dụng cùng khái niệm đó cho các giải pháp hội nghị thoại được dùng rộng rãi như Zoom thì có thể thu được bao nhiêu băng thông
Sẽ còn tốt hơn nếu có thể truyền dữ liệu theo kiểu steganography trong video trong lúc đang có cuộc gọi thật, để hòa trộn tự nhiên hơn
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
Chính phủ Anh nói rằng đó chỉ là chức năng của cơ quan quản lý, nhưng OSB được đọc như thể sẽ mở rộng ra ngoài biên giới chỉ vì nó có thể được dùng tại Anh
Tôi không biết chuyện này mới đến mức nào, nhưng việc người dùng có thể host node chỉ bằng cách bật iframe toggle hoặc cài extension trình duyệt là rất tuyệt. Tôi cũng tò mò liệu cách này có giới hạn băng thông thấp hơn nhiều so với phiên bản CLI hay không
Cũng có một phiên bản Go độc lập có thể triển khai trên máy chủ[0]
Có nói rằng “một trong những lợi thế chính của proxy Snowflake standalone là có thể cài đặt trên máy chủ, cung cấp lựa chọn băng thông cao hơn và ổn định hơn cho người dùng ở sau NAT và tường lửa hạn chế”
[0] https://community.torproject.org/relay/setup/snowflake/stand...
Tôi đã cài nó và thích nhìn con số tăng lên. Số tăng = dopamine
Thật may mắn khi được sinh ra ở Scandinavia, hiện giờ kiểm duyệt Internet thực tế là bằng 0
Người kiếm tiền bằng tiền mã hóa và muốn dùng nó làm tài sản bảo đảm cho khoản vay mua căn hộ, người muốn chuyển lợi nhuận từ casino trực tuyến hợp pháp ở nước ngoài, hay người muốn truy cập các website mà nhà chức trách Na Uy không thích nên đã chặn DNS cũng vậy. Người rành kỹ thuật có thể dễ dàng vượt qua, nhưng việc chính phủ và chính trị gia lạm dụng quyền lực và hạn chế tự do cá nhân đã bắt đầu và đang tăng lên
Khi nó bắt đầu ảnh hưởng đến “đa số mọi người”, thường sẽ khó đảo ngược hơn rất nhiều. Chính phủ Na Uy đã thông qua luật cho phép giám sát điện tử quy mô lớn, và cũng muốn hạn chế quyền tiếp cận của công chúng đối với hồ sơ chính phủ. Giống phần lớn EU, đó là con dốc rất trơn trượt dẫn tới kiểu “dân chủ xã hội” cánh tả, tức chế độ độc tài quan liêu. Mọi người cần mở mắt và chống lại sự can thiệp quá mức của chính phủ ngay bây giờ
Chặn tất cả các IP Tor có thể tìm thấy. Vì không có thời gian cũng như sự kiên nhẫn để xử lý 99% spam Burp Suite đến từ các máy chủ này. Đây là một giải pháp rất rẻ và hiệu quả
https://check.torproject.org/torbulkexitlist