Tor Snowflake: Ein Tool zur Umgehung von Zensur, das Tor-Verbindungen in blockierten Regionen ermöglicht
(snowflake.torproject.org)- Snowflake ist ein Tool zur Umgehung von Zensur, das Nutzern in Regionen, in denen Tor blockiert ist, hilft, sich mit dem Tor-Netzwerk zu verbinden, und kann in Tor-basierten Apps wie Tor Browser, Orbot und Ricochet-Refresh verwendet werden
- Nutzer können in den App-Einstellungen Snowflake auswählen, um die Verbindung über einen Freiwilligen-Proxy zu leiten, ohne selbst ein Browser-Add-on installieren zu müssen
- Snowflake nutzt WebRTC, damit Tor-Traffic wie Video- oder Sprachanrufe aussieht, was die Erkennung durch Zensoren erschwert
- Freiwillige können Bandbreite bereitstellen, indem sie Add-ons für Firefox, Chrome oder Edge aktivieren; auf der Seite wird angezeigt, dass 127.599 Snowflakes in Betrieb sind
- Das Add-on ist kein Werkzeug für Nutzer, die selbst Zensur umgehen wollen, sondern ein Proxy-Bereitstellungstool für Menschen, die anderen beim Tor-Zugang helfen möchten
Snowflake in Tor-Apps verwenden
- Snowflake ist eine Technologie zur Umgehung von Zensur, die den Zugang zu Tor auch in Netzwerken ermöglicht, in denen Tor blockiert ist
- Sie ist in Tor-basierte Apps integriert; wenn die Verbindung blockiert wird, kann in den App-Einstellungen Snowflake ausgewählt werden, um die Sperre zu umgehen
- Tor Browser: Unterstützung für Desktop und Android, entwickelt vom Tor Project
- Orbot: Unterstützung für Android und iOS, entwickelt vom Guardian Project
- Ricochet-Refresh: Unterstützung für Desktop, entwickelt von Blueprint for Free Speech
- Nutzer, die Zensur umgehen möchten, müssen lediglich eine Tor-basierte App wie Tor Browser oder Orbot herunterladen und Snowflake aktivieren
- Das Browser-Add-on ist kein Tool für den direkten Umgehungszugang, sondern ein Freiwilligen-Proxy zum Weiterleiten der Verbindungen anderer Nutzer
Freiwilligen-Proxys und Funktionsweise der Umgehung
- Freiwillige können einen Snowflake-Proxy bereitstellen, indem sie das Browser-Add-on installieren und aktivieren
- Wenn das Symbol grün wird, ist ein blockierter Nutzer mit diesem Add-on verbunden
- Für Firefox installieren
- Für Chrome installieren
- Für Edge installieren
- Snowflake ermöglicht den Zugang zum Tor-Netzwerk über Freiwilligen-Proxys in Ländern ohne Zensur
- Wie ein VPN hilft es dabei, Internetzensur zu umgehen, zeichnet sich jedoch dadurch aus, dass es den Traffic als Video- oder Sprachanruf tarnt
- Die zugrunde liegende Technologie ist WebRTC, wie sie häufig in Videokonferenz-Software verwendet wird, und lässt die Spuren der Tor-Nutzung wie Audio- oder Videoanrufe erscheinen
- Snowflake ist eine vergleichsweise neue Umgehungstechnologie aus der Familie der Pluggable Transports und wird fortlaufend verbessert
- Pluggable Transports tarnen den Traffic von Tor-Bridges als gewöhnliche Verbindungen, sodass er nicht wie ein Tor-Zugang aussieht
- Snowflake lässt Verbindungen wie Videotelefonie erscheinen, meek-azure wie Microsoft-Verbindungen und WebTunnel wie standardmäßige HTTPS-Verbindungen
- Diese Tarnung erhöht die Kosten der Blockierung, weil Zensoren große Teile des Internets mitblockieren müssten, um solche Umgehungstools zu sperren
- Die technische Struktur ist im technical overview beschrieben; wer Snowflake in Anwendungen verwenden möchte, kann das anti-censorship team kontaktieren
1 Kommentare
Hacker-News-Kommentare
Snowflake verwendet Domain Fronting für das Rendezvous[1]. In der digitalen Welt ist das so, als würde ein Spion ein geheimes Treffen im Haus eines ahnungslosen Freundes abhalten, was für diesen Freund am Ende immer schlecht ausgeht.
Diese Technik wird häufig von böswilligen Akteuren genutzt, und einige Cloud-Anbieter blockieren sie standardmäßig[2]. Als Signal versuchte, sie breit auszurollen, sprach AWS eine deutliche Warnung aus, weil Länder wie Iran oder China womöglich ganz AWS blockieren könnten[3].
Domain Fronting ist kein Generalschlüssel. Signal und Tor bekamen Probleme, als Cloud-Anbieter Domain Fronting blockierten – genauer gesagt, als sie eine Funktion nicht mehr unterstützten, die nie dafür gedacht war, so zu funktionieren. Aber schwerlich lässt sich sagen, dass dahinter die Absicht steckte, irgendetwas zu behindern. „Dafür sorgen, dass der Load Balancer ein Zertifikat ausliefert, das zur konfigurierten Domain passt“, ist an sich keine problematische Funktion.
Domain Fronting ist so simpel, dass ein openssl-Aufruf und ein nginx-Server genügen, und es zu brechen ist ebenfalls so einfach, dass man nur das Zertifikat tatsächlich validieren muss. Solche Zertifikate sind selbstsigniert oder gehören zu einer beliebigen Zertifizierungsstellen-Kette, der ein reales System nicht vertrauen würde.
Es ist weniger „ein Spion hält ein geheimes Treffen im Haus eines ahnungslosen Freundes ab“ als vielmehr, als würde man vor irgendeinem Lagerhaus in Brasilien ein Schild aufstellen: „Weißes Haus, Wohnsitz des US-Präsidenten, Zutritt verboten“.
Software, die auf Domain Fronting hereinfällt, kümmert sich entweder nicht um Zertifikate und deren Gültigkeit oder hat einen Bug und sollte gepatcht werden. Ein Teil davon mag Sicherheitssoftware sein, aber wenn ein böswilliger Akteur Sicherheitssoftware schon mit ein paar lesbaren Strings dazu bringen kann, etwas zu vertrauen, dann ist Domain Fronting unter den Sorgen eher eine kleine.
Encrypted Client Hello ist eine laufende Arbeit daran, bereits den ersten Kontakt eines Clients mit einem HTTPS-Server zu verschlüsseln.
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
Warum ECH in Ordnung ist und Domain Fronting nicht: Bei Domain Fronting ist das Problem, dass man erst zu spät von der tatsächlichen Anfrage erfährt. Es sieht aus wie eine normale Anfrage an this-thing.example, man hat alles vorbereitet, um diese Anfrage zu verarbeiten, und plötzlich heißt es: „Sorry, ich habe es mir anders überlegt, eigentlich ist meine Anfrage für hidden-service.example.“
Bei ECH weiß ein Angreifer, der die Verbindung belauscht, das nicht, aber wir wissen von Anfang an, dass die Anfrage an hidden-service.example gerichtet ist, und verschwenden daher keine Zeit damit, die falsche Arbeit vorzubereiten.
Gibt es nicht Grenzen für die Tyrannei, die sie aufbieten können? Irgendwann wird der Kollateralschaden so groß, dass sie den Zensurversuch vielleicht aufgeben. Oder die Gesellschaft wird so repressiv, dass die Menschen es nicht mehr hinnehmen.
Das ist ein Relay, das Tor-Nutzern Zugang zu Tor ermöglicht, wenn normale Guard-Relays – also der erste Hop in einem Tor-Circuit – blockiert sind, und es verwendet Domain Fronting und WebRTC.
Gemessen an der standardmäßig bereitgestellten deutschen Übersetzung war die Formulierung ziemlich verwirrend. Auch die Zielseite muss WebRTC unterstützen, daher kann man mit einem Proxy im Browser allein nicht auf beliebige HTTP(S)-Websites zugreifen; man braucht weiterhin einen anderen Server, der WebRTC-Verbindungen annimmt und den Traffic weiterleitet. Der Kern besteht darin, indirekten Zugriff auf diesen anderen Server zu ermöglichen, auch wenn der Artikel das nicht sagt.
Es wird sogar behauptet, dass man keine Software brauche, um zensierte Websites zu besuchen.
Es scheint darum zu gehen, Nutzern, die vielleicht verwirrt sind, wie sie Snowflake wie eine Proxy- oder VPN-App installieren sollen, die Funktionsweise zu erklären.
Direkt zitiert ist es ziemlich klar: „Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.“
Wenn Tor im eigenen Land illegal ist, wirkt schon der Versuch, es zu nutzen, ziemlich riskant. Da jeder einen Snowflake-Proxy betreiben kann, ist es sehr einfach, die zugreifenden IP-Adressen zu protokollieren. Damit wird jede Verbindung zu einem Glücksspiel, bei dem die Chance sinkt, sicher davonzukommen.
Beim Überfliegen des Technical Overview[0] sehe ich nichts, was das oben beschriebene Risiko verringert.
Der Zweck von Snowflake scheint nicht darin zu liegen, die Erkennung der Tor-Nutzung zu verhindern, sondern Tor-Blockaden zu umgehen. Dafür werden Domain Fronting und WebRTC genutzt.
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
Allerdings betont das Tor Project konsequent, dass alle pluggable transports der Umgehung von Zensur dienen und nicht der Steganografie. Sie sind schwer zu blockieren, verhindern aber nicht, dass ein Netzbetreiber herausfindet, dass ein Nutzer sich mit Tor verbindet. Ob man dieses Risiko eingehen kann, muss am Ende der Nutzer entscheiden.
Ich bin mir auch nicht sicher, ob ich die Aussage „Schalten Sie unten Snowflake ein und lassen Sie den Browser-Tab geöffnet, dann können Nutzer über Ihren neuen Proxy eine Verbindung herstellen!“ richtig verstehe.
Wenn ich ein iframe in meine Website einbette, wird dann der Traffic von Tor-Nutzern über die IP der Besucher getunnelt? Wie wird bei relay.love die Zustimmung gehandhabt? Erscheint die IP der Besucher meiner Website als Tor-Exit-Node?
Dieses Beispiel holt vor dem Start die Zustimmung des Nutzers ein.
Allerdings erlaubt dieser Mechanismus nicht, über JavaScript beliebige entfernte Sockets zu erstellen. Man kann nur mit Servern kommunizieren, die irgendeine Version von WebRTC/WebSockets verwenden, oder mit Klartextdiensten, die den zusätzlichen Protokoll-Overhead als Müll ignorieren und den Rest parsen. Einige IRC-Server und WebSockets sind gute Beispiele.
Wie im technischen Überblick zu sehen ist, verbinden sich Leute per P2P-Technik mit dem Browser des Nutzers, und der Browser kommuniziert per WebSockets mit einem WebSocket-Server, der als normaler Tor-Einstiegspunkt dient.
Das erinnert mich an das frühere „Dateien auf YouTube speichern“[0], und ich frage mich, wie viel Bandbreite man bekommen könnte, wenn man dasselbe Konzept auf eine weit verbreitete Sprachkonferenzlösung wie Zoom anwendet.
Noch besser wäre es, wenn man Daten so übertragen könnte, dass sie natürlicher untergehen, etwa per Video-Steganografie während eines echten Anrufs.
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
Die britische Regierung sagt zwar, es gehe nur um die Funktion einer Regulierungsbehörde, aber der OSB liest sich so, als würde er sich allein deshalb über die Grenzen hinaus erstrecken, weil etwas im Vereinigten Königreich genutzt werden kann.
Ich weiß nicht, wie neu das ist, aber dass Nutzer allein durch einen iframe-Toggle oder die Installation einer Browser-Erweiterung Node-Hosting betreiben können, ist ziemlich cool. Ich frage mich auch, ob bei diesem Ansatz die Bandbreitenbegrenzung deutlich niedriger ist als bei der CLI-Version.
Es gibt auch eine eigenständige Go-Version, die man auf einem Server deployen kann[0].
Dort heißt es: „Einer der Hauptvorteile des standalone Snowflake-Proxys ist, dass er auf einem Server installiert werden kann und Nutzern hinter restriktivem NAT und Firewalls eine Option mit höherer Bandbreite und größerer Zuverlässigkeit bietet.“
[0] https://community.torproject.org/relay/setup/snowflake/stand...
Ich habe es installiert, und es ist schön zu sehen, wie die Zahl hochgeht. Größere Zahl = Dopamin.
Ich hatte Glück, in Skandinavien geboren zu sein; derzeit gibt es hier praktisch keine Internetzensur.
Dasselbe gilt für jemanden, der mit Kryptowährungen Geld verdient und es als Sicherheit für einen Wohnungskredit verwenden will, für jemanden, der Gewinne aus einem legalen ausländischen Online-Casino überweisen möchte, oder für jemanden, der auf eine Website zugreifen will, die den norwegischen Behörden missfällt und deshalb per DNS-Blockade gesperrt wurde. Techniker können das leicht umgehen, aber die Regierung und Politiker haben bereits begonnen, ihre Befugnisse zu missbrauchen und persönliche Freiheiten einzuschränken, und das nimmt zu.
Wenn es erst anfängt, „die meisten Menschen“ zu betreffen, ist es normalerweise viel schwieriger, es rückgängig zu machen. Die norwegische Regierung hat bereits Gesetze verabschiedet, die elektronische Massenüberwachung erlauben, und will auch den öffentlichen Zugang zu Regierungsunterlagen einschränken. Wie in weiten Teilen der EU ist das ein sehr rutschiger Abhang hin zu linker „Sozialdemokratie“, also bürokratischer Diktatur. Die Menschen sollten die Augen öffnen und sich jetzt gegen die übermäßige Einmischung des Staates wehren.
Alle auffindbaren Tor-IPs werden blockiert, weil weder Zeit noch Geduld vorhanden sind, um 99 % des von diesen Servern kommenden Burp-Suite-Spams zu bearbeiten. Eine sehr günstige und effektive Lösung
https://check.torproject.org/torbulkexitlist