2 điểm bởi GN⁺ 2023-07-31 | 1 bình luận | Chia sẻ qua WhatsApp
  • Snowflakecông cụ vượt kiểm duyệt giúp người dùng ở những khu vực Tor bị chặn vẫn có thể kết nối vào mạng Tor, và có thể dùng trong các ứng dụng dựa trên Tor như Tor Browser, Orbot, Ricochet-Refresh
  • Người dùng có thể chọn Snowflake trong phần cài đặt ứng dụng để định tuyến kết nối qua proxy tình nguyện, không cần tự cài tiện ích trình duyệt
  • Snowflake tận dụng WebRTC để khiến lưu lượng Tor trông giống như cuộc gọi video hoặc thoại, làm cho bên kiểm duyệt khó phát hiện hơn
  • Tình nguyện viên có thể bật tiện ích cho Firefox, Chrome, Edge để cung cấp băng thông; trang hiện hiển thị đang có 127.599 Snowflake hoạt động
  • Tiện ích này không phải công cụ dành cho người muốn tự vượt kiểm duyệt, mà là công cụ cung cấp proxy dành cho những ai muốn giúp người khác truy cập Tor

Dùng Snowflake trong ứng dụng Tor

  • Snowflake là công nghệ vượt kiểm duyệt cho phép truy cập Tor ngay cả trên các mạng đã chặn Tor
  • Nó được tích hợp sẵn trong các ứng dụng dựa trên Tor, và khi kết nối bị chặn, người dùng có thể chọn Snowflake trong phần cài đặt ứng dụng để vượt chặn
    • Tor Browser: hỗ trợ Desktop và Android, do Tor Project phát triển
    • Orbot: hỗ trợ Android và iOS, do Guardian Project phát triển
    • Ricochet-Refresh: hỗ trợ Desktop, do Blueprint for Free Speech phát triển
  • Người muốn vượt kiểm duyệt chỉ cần tải ứng dụng dựa trên Tor như Tor Browser hoặc Orbot rồi kích hoạt Snowflake
  • Tiện ích trình duyệt không phải công cụ để tự truy cập vượt chặn, mà là proxy dành cho tình nguyện viên dùng để chuyển tiếp kết nối của người khác

Proxy tình nguyện và cách vượt chặn hoạt động

  • Tình nguyện viên có thể cài đặt và kích hoạt tiện ích trình duyệt để cung cấp Snowflake proxy
  • Snowflake cho phép truy cập mạng Tor thông qua proxy tình nguyện tại các quốc gia không có kiểm duyệt
  • Nó cũng giúp vượt kiểm duyệt Internet giống như VPN, nhưng điểm đặc trưng là ngụy trang lưu lượng để trông như cuộc gọi video hoặc thoại
  • Công nghệ nền tảng là WebRTC, vốn thường được dùng trong phần mềm họp video, và khiến dấu vết sử dụng Tor trông như một cuộc gọi âm thanh hoặc video
  • Snowflake là công nghệ vượt chặn tương đối mới thuộc họ Pluggable Transports và vẫn đang tiếp tục được cải tiến
    • Pluggable Transports làm cho lưu lượng Tor bridge trông như kết nối thông thường để ngụy trang rằng đó không phải truy cập Tor
    • Snowflake làm cho nó trông như cuộc gọi video, meek-azure như kết nối tới Microsoft, còn WebTunnel như kết nối HTTPS tiêu chuẩn
    • Kiểu ngụy trang này khiến bên kiểm duyệt nếu muốn chặn công cụ vượt chặn thì phải chặn luôn cả một phần lớn của Internet, từ đó làm tăng chi phí kiểm duyệt
  • Có thể xem cấu trúc kỹ thuật tại technical overview, và nếu muốn dùng Snowflake trong ứng dụng thì có thể liên hệ anti-censorship team

1 bình luận

 
GN⁺ 2023-07-31
Các ý kiến trên Hacker News
  • Snowflake dùng domain fronting cho rendezvous[1]. Trong thế giới số, nó giống như một điệp viên tổ chức cuộc họp bí mật tại nhà một người bạn không hề hay biết, và cuối cùng người bạn đó luôn gặp kết cục không hay
    Kỹ thuật này được các tác nhân độc hại dùng nhiều, và một số nhà cung cấp đám mây còn chặn mặc định[2]. Khi Signal cố triển khai rộng rãi kỹ thuật này, AWS đã gửi cảnh báo mạnh vì lo các nước như Iran hay Trung Quốc sẽ chặn toàn bộ AWS[3]

    1. https://en.wikipedia.org/wiki/Domain_fronting
    2. https://azure.microsoft.com/en-us/updates/generally-availabl...
    3. https://signal.org/blog/looking-back-on-the-front/
    • Tôi từng chạy máy chủ Snowflake ở nhà một thời gian, nhưng nó dùng quá nhiều CPU nên tôi tắt, và tôi không thấy bất kỳ tác động tiêu cực nào
      Domain fronting không phải chìa khóa vạn năng. Signal và Tor đã gặp vấn đề khi các nhà cung cấp đám mây chặn domain fronting, hay chính xác hơn là khi họ không còn hỗ trợ một tính năng vốn không được chủ ý thiết kế để hoạt động như vậy nữa, nhưng khó có thể nói đó là một hành động có ý định cản trở điều gì đó. Bản thân việc “khiến load balancer cung cấp chứng chỉ khớp với domain đã cấu hình” không phải là một tính năng có vấn đề
      Domain fronting đơn giản đến mức chỉ cần một lệnh gọi openssl và một máy chủ nginx, và cũng dễ phá vỡ đến mức chỉ cần thực sự xác minh chứng chỉ. Những chứng chỉ này là tự ký hoặc thuộc một chuỗi tổ chức chứng thực tùy ý mà hệ thống thật sẽ không tin cậy
      Thay vì “một điệp viên tổ chức cuộc họp bí mật tại nhà một người bạn không hề hay biết”, nó gần giống việc dựng một tấm biển trước một nhà kho ngẫu nhiên ở Brazil ghi “Nhà Trắng, nhà của Tổng thống Hoa Kỳ, cấm vào” hơn
      Phần mềm bị domain fronting đánh lừa là phần mềm không quan tâm đến chứng chỉ và tính hợp lệ của chúng, hoặc có lỗi và cần được vá. Một số trong đó có thể là phần mềm bảo mật, nhưng nếu tác nhân độc hại có thể đánh lừa phần mềm bảo mật tin tưởng chỉ bằng vài chuỗi có thể đọc được, thì domain fronting là một trong những điều ít đáng lo hơn
    • Lần cuối tôi xem, ý định rốt cuộc là để endpoint ECH cung cấp một dịch vụ hiệu quả tương tự domain fronting, nhưng không làm rối backend theo cách gây cản trở các nhà cung cấp đám mây, để họ có thể hỗ trợ
      Encrypted Client Hello là một công việc đang được tiến hành nhằm mã hóa cả lần tiếp xúc đầu tiên của client với máy chủ HTTPS
      https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
      Vì sao ECH thì ổn còn domain fronting thì không? Vấn đề với domain fronting là yêu cầu thật sự được biết quá muộn. Nó trông như một yêu cầu bình thường đến this-thing.example, nên ta đã chuẩn bị xong để xử lý yêu cầu đó, rồi đột nhiên lại thành “xin lỗi, tôi đổi ý, thật ra yêu cầu của tôi là dành cho hidden-service.example”
      Với ECH, kẻ tấn công nghe lén kết nối thì không biết, nhưng ngay từ đầu chúng ta đã biết yêu cầu nhắm đến hidden-service.example, nên không lãng phí thời gian chuẩn bị nhầm việc
    • Đó chính là điểm mấu chốt. Để chặn nó, họ phải chặn một phần khổng lồ của Internet hữu ích. Lý tưởng nhất là phải làm sao để nếu muốn kiểm duyệt một thứ gì đó thì họ buộc phải chặn toàn bộ Internet
      Chẳng phải cũng có giới hạn đối với mức độ chuyên chế mà họ có thể huy động sao? Cuối cùng thiệt hại phụ có thể trở nên quá lớn khiến họ từ bỏ nỗ lực kiểm duyệt. Hoặc xã hội sẽ trở nên áp bức đến mức người dân không thể chấp nhận
    • Cần có bằng chứng cho câu “kỹ thuật này được các tác nhân độc hại dùng nhiều”
  • Đây là một guard relay thông thường, tức relay giúp người dùng Tor kết nối tới Tor khi hop đầu tiên của mạch Tor bị chặn, và nó dùng domain fronting và WebRTC
    Dựa trên bản dịch tiếng Đức được cung cấp mặc định, cách diễn đạt khá gây rối. Đích cũng phải hỗ trợ WebRTC, nên chỉ với proxy trong trình duyệt thì không thể truy cập một website HTTP(S) tùy ý; vẫn cần một máy chủ khác chấp nhận kết nối WebRTC và chuyển tiếp lưu lượng. Điểm cốt lõi, dù bài viết không nói, là cho phép kết nối gián tiếp tới máy chủ khác này
    Nó còn nói rằng không cần phần mềm để truy cập các website bị kiểm duyệt

    Im Gegensatz zu VPNs musst du keine separate Anwendung installieren, um dich mit einem Snowflake-Proxy zu verbinden und die Zensur zu umgehen.
    Nhưng thực tế là cần. Không có client Tor thì proxy Snowflake này vô dụng. Khi đi vào chi tiết kỹ thuật, liên kết có cảnh báo “nội dung này bằng tiếng Anh” viết như sau

    1. User in the filtered region wishes to access the free and open internet. They open Tor Browser, selecting snowflake as the Pluggable Transport.
      Phần nội dung nói “khác với VPN, không cần cài phần mềm riêng để vượt kiểm duyệt”, nhưng phần tổng quan kỹ thuật lại nói điều ngược lại: muốn dùng proxy Snowflake thì cần client Tor
    • Tôi không biết bản dịch tiếng Đức ra sao, nhưng ý của bản tiếng Anh là không phải cài chính Snowflake, mà là cài phần mềm sử dụng Snowflake, thường là Tor Browser
      Có vẻ họ đang cố giải thích cách hoạt động cho những người dùng bối rối không biết phải cài Snowflake như một proxy hay ứng dụng VPN ra sao
      Trích nguyên văn thì khá rõ: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
  • Nếu Tor là bất hợp pháp ở quốc gia của mình, chỉ riêng việc thử sử dụng nó đã có vẻ khá nguy hiểm. Vì ai cũng có thể chạy proxy Snowflake, việc ghi lại địa chỉ IP kết nối là rất dễ. Khi đó, mỗi lần kết nối sẽ trở thành một canh đánh cược làm giảm xác suất được an toàn

    • Có thể chặn Snowflake có IP đến từ mạng của các quốc gia không an toàn, nhưng nếu kẻ tấn công mua VPS hoặc node botnet ở một quốc gia tự do hơn thì có thể dễ dàng vượt qua
      Lướt qua Technical Overview[0] cũng không thấy nội dung nào giảm thiểu rủi ro nói trên
      Mục đích của Snowflake dường như không phải là ngăn phát hiện việc dùng Tor, mà là vượt qua chặn Tor. Để làm điều này, nó tận dụng domain fronting và WebRTC
      [0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
    • Ở hầu hết các khu vực mà Snowflake hữu ích, việc kết nối Tor là hợp pháp, hoặc dù có luật cấm thì thường không được thực thi. Thông thường, bên bị xử phạt là những người tạo ra hoặc đóng góp cho công cụ vượt kiểm duyệt
      Tuy nhiên, Tor Project luôn nhấn mạnh nhất quán rằng các pluggable transport đều nhằm mục đích vượt kiểm duyệt chứ không phải steganography. Chúng khó bị chặn, nhưng không ngăn được việc nhà vận hành mạng phát hiện người dùng đang kết nối tới Tor. Cuối cùng, người dùng phải tự đánh giá liệu mình có thể chấp nhận rủi ro đó hay không
    • “Chỉ cần” kết nối từ một IP không thể liên hệ với bản thân, dùng SIM chợ đen trên một điện thoại riêng, kết nối từ nơi bình thường không lui tới, và tắt đi khi không dùng là được. Chi phí sẽ tăng rất nhanh
  • Tôi cũng không chắc mình hiểu đúng câu “Hãy bật Snowflake bên dưới và để mở tab trình duyệt, người dùng sẽ có thể kết nối thông qua proxy mới!” hay chưa
    Nếu tôi nhúng iframe vào website của mình, lưu lượng của người dùng Tor có được tunnel qua IP của khách truy cập không? Trên relay.love, việc đồng ý được xử lý như thế nào? IP của khách truy cập website của tôi có trông như node thoát Tor không?

    • Không phải node thoát. Về cơ bản, ai đó phải chủ động chạy applet Snowflake, nhưng webmaster có thể sửa mã để thực chất tự động khởi động Tor guard trong trình duyệt của ai đó. Tất nhiên, lạm dụng tài nguyên của người khác như vậy là cực kỳ tệ
      Ví dụ đó lấy sự đồng ý của người dùng trước khi bắt đầu
    • Nếu lo về kiểu lạm dụng này, hầu hết các trình duyệt tốt đều có thể tắt WebRTC. WebRTC có thể được dùng cho những việc tệ hơn như quét cổng mạng nội bộ, cũng như những việc tốt như cuộc gọi video độ trễ mili-giây hay Peertube
      Tuy nhiên, cơ chế này không cho phép tạo socket từ xa tùy ý thông qua JavaScript. Nó chỉ có thể giao tiếp với máy chủ dùng một phiên bản nào đó của WebRTC/WebSockets, hoặc với các dịch vụ plaintext bỏ qua phần overhead giao thức bổ sung như rác rồi parse phần còn lại. Một số máy chủ IRC và WebSockets là ví dụ tốt
      Như trong tổng quan kỹ thuật, người ta dùng công nghệ P2P để kết nối tới trình duyệt của người dùng, còn trình duyệt giao tiếp bằng WebSockets với máy chủ WebSocket đóng vai trò điểm vào Tor thông thường
    • Thật lạ là những thứ như vậy lại không yêu cầu sự đồng ý của trình duyệt
  • Điều này làm tôi nhớ đến “lưu file trên YouTube”[0] trước đây, và tôi tò mò nếu áp dụng cùng khái niệm đó cho các giải pháp hội nghị thoại được dùng rộng rãi như Zoom thì có thể thu được bao nhiêu băng thông
    Sẽ còn tốt hơn nếu có thể truyền dữ liệu theo kiểu steganography trong video trong lúc đang có cuộc gọi thật, để hòa trộn tự nhiên hơn
    [0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch

    • Nếu làm được vậy thì sẽ rất hay. Tuy nhiên, nếu nó hoạt động độc lập với mạng, có vẻ mọi người có thể thiết lập node rồi vô tình mang nó vào công ty hoặc mạng công cộng khác. Tôi không chắc như vậy tốt hơn hay tệ hơn so với dùng kết nối liên tục
    • Cách đề xuất đó có thể kéo theo việc áp dụng Online Safety Bill của Anh. Do phương tiện mã hóa/steganography, nó có thể bị phân loại không phải là việc của OfCom, cơ quan quản lý nhà nước, mà là việc của cảnh sát, khiến nhân lực giải mã của chính phủ thuộc GCHQ tham gia
      Chính phủ Anh nói rằng đó chỉ là chức năng của cơ quan quản lý, nhưng OSB được đọc như thể sẽ mở rộng ra ngoài biên giới chỉ vì nó có thể được dùng tại Anh
  • Tôi không biết chuyện này mới đến mức nào, nhưng việc người dùng có thể host node chỉ bằng cách bật iframe toggle hoặc cài extension trình duyệt là rất tuyệt. Tôi cũng tò mò liệu cách này có giới hạn băng thông thấp hơn nhiều so với phiên bản CLI hay không

  • Cũng có một phiên bản Go độc lập có thể triển khai trên máy chủ[0]
    Có nói rằng “một trong những lợi thế chính của proxy Snowflake standalone là có thể cài đặt trên máy chủ, cung cấp lựa chọn băng thông cao hơn và ổn định hơn cho người dùng ở sau NAT và tường lửa hạn chế”
    [0] https://community.torproject.org/relay/setup/snowflake/stand...

  • Tôi đã cài nó và thích nhìn con số tăng lên. Số tăng = dopamine
    Thật may mắn khi được sinh ra ở Scandinavia, hiện giờ kiểm duyệt Internet thực tế là bằng 0

    • Chỉ là may mắn vì “bản thân” bạn chưa bị ảnh hưởng mà thôi. Cứ hỏi một tay chơi poker kiếm được lợi nhuận hợp pháp ở các giải đấu nước ngoài nhưng không thể chuyển tiền về ngân hàng Na Uy là biết
      Người kiếm tiền bằng tiền mã hóa và muốn dùng nó làm tài sản bảo đảm cho khoản vay mua căn hộ, người muốn chuyển lợi nhuận từ casino trực tuyến hợp pháp ở nước ngoài, hay người muốn truy cập các website mà nhà chức trách Na Uy không thích nên đã chặn DNS cũng vậy. Người rành kỹ thuật có thể dễ dàng vượt qua, nhưng việc chính phủ và chính trị gia lạm dụng quyền lực và hạn chế tự do cá nhân đã bắt đầu và đang tăng lên
      Khi nó bắt đầu ảnh hưởng đến “đa số mọi người”, thường sẽ khó đảo ngược hơn rất nhiều. Chính phủ Na Uy đã thông qua luật cho phép giám sát điện tử quy mô lớn, và cũng muốn hạn chế quyền tiếp cận của công chúng đối với hồ sơ chính phủ. Giống phần lớn EU, đó là con dốc rất trơn trượt dẫn tới kiểu “dân chủ xã hội” cánh tả, tức chế độ độc tài quan liêu. Mọi người cần mở mắt và chống lại sự can thiệp quá mức của chính phủ ngay bây giờ
  • Chặn tất cả các IP Tor có thể tìm thấy. Vì không có thời gian cũng như sự kiên nhẫn để xử lý 99% spam Burp Suite đến từ các máy chủ này. Đây là một giải pháp rất rẻ và hiệu quả