2 Punkte von GN⁺ 2023-07-31 | 1 Kommentare | Auf WhatsApp teilen
  • Snowflake ist ein Tool zur Umgehung von Zensur, das Nutzern in Regionen, in denen Tor blockiert ist, hilft, sich mit dem Tor-Netzwerk zu verbinden, und kann in Tor-basierten Apps wie Tor Browser, Orbot und Ricochet-Refresh verwendet werden
  • Nutzer können in den App-Einstellungen Snowflake auswählen, um die Verbindung über einen Freiwilligen-Proxy zu leiten, ohne selbst ein Browser-Add-on installieren zu müssen
  • Snowflake nutzt WebRTC, damit Tor-Traffic wie Video- oder Sprachanrufe aussieht, was die Erkennung durch Zensoren erschwert
  • Freiwillige können Bandbreite bereitstellen, indem sie Add-ons für Firefox, Chrome oder Edge aktivieren; auf der Seite wird angezeigt, dass 127.599 Snowflakes in Betrieb sind
  • Das Add-on ist kein Werkzeug für Nutzer, die selbst Zensur umgehen wollen, sondern ein Proxy-Bereitstellungstool für Menschen, die anderen beim Tor-Zugang helfen möchten

Snowflake in Tor-Apps verwenden

  • Snowflake ist eine Technologie zur Umgehung von Zensur, die den Zugang zu Tor auch in Netzwerken ermöglicht, in denen Tor blockiert ist
  • Sie ist in Tor-basierte Apps integriert; wenn die Verbindung blockiert wird, kann in den App-Einstellungen Snowflake ausgewählt werden, um die Sperre zu umgehen
    • Tor Browser: Unterstützung für Desktop und Android, entwickelt vom Tor Project
    • Orbot: Unterstützung für Android und iOS, entwickelt vom Guardian Project
    • Ricochet-Refresh: Unterstützung für Desktop, entwickelt von Blueprint for Free Speech
  • Nutzer, die Zensur umgehen möchten, müssen lediglich eine Tor-basierte App wie Tor Browser oder Orbot herunterladen und Snowflake aktivieren
  • Das Browser-Add-on ist kein Tool für den direkten Umgehungszugang, sondern ein Freiwilligen-Proxy zum Weiterleiten der Verbindungen anderer Nutzer

Freiwilligen-Proxys und Funktionsweise der Umgehung

  • Freiwillige können einen Snowflake-Proxy bereitstellen, indem sie das Browser-Add-on installieren und aktivieren
  • Snowflake ermöglicht den Zugang zum Tor-Netzwerk über Freiwilligen-Proxys in Ländern ohne Zensur
  • Wie ein VPN hilft es dabei, Internetzensur zu umgehen, zeichnet sich jedoch dadurch aus, dass es den Traffic als Video- oder Sprachanruf tarnt
  • Die zugrunde liegende Technologie ist WebRTC, wie sie häufig in Videokonferenz-Software verwendet wird, und lässt die Spuren der Tor-Nutzung wie Audio- oder Videoanrufe erscheinen
  • Snowflake ist eine vergleichsweise neue Umgehungstechnologie aus der Familie der Pluggable Transports und wird fortlaufend verbessert
    • Pluggable Transports tarnen den Traffic von Tor-Bridges als gewöhnliche Verbindungen, sodass er nicht wie ein Tor-Zugang aussieht
    • Snowflake lässt Verbindungen wie Videotelefonie erscheinen, meek-azure wie Microsoft-Verbindungen und WebTunnel wie standardmäßige HTTPS-Verbindungen
    • Diese Tarnung erhöht die Kosten der Blockierung, weil Zensoren große Teile des Internets mitblockieren müssten, um solche Umgehungstools zu sperren
  • Die technische Struktur ist im technical overview beschrieben; wer Snowflake in Anwendungen verwenden möchte, kann das anti-censorship team kontaktieren

1 Kommentare

 
GN⁺ 2023-07-31
Hacker-News-Kommentare
  • Snowflake verwendet Domain Fronting für das Rendezvous[1]. In der digitalen Welt ist das so, als würde ein Spion ein geheimes Treffen im Haus eines ahnungslosen Freundes abhalten, was für diesen Freund am Ende immer schlecht ausgeht.
    Diese Technik wird häufig von böswilligen Akteuren genutzt, und einige Cloud-Anbieter blockieren sie standardmäßig[2]. Als Signal versuchte, sie breit auszurollen, sprach AWS eine deutliche Warnung aus, weil Länder wie Iran oder China womöglich ganz AWS blockieren könnten[3].

    1. https://en.wikipedia.org/wiki/Domain_fronting
    2. https://azure.microsoft.com/en-us/updates/generally-availabl...
    3. https://signal.org/blog/looking-back-on-the-front/
    • Ich habe eine Zeit lang zu Hause einen Snowflake-Server betrieben, ihn aber abgeschaltet, weil er zu viel CPU verbrauchte; negative Auswirkungen habe ich überhaupt keine gesehen.
      Domain Fronting ist kein Generalschlüssel. Signal und Tor bekamen Probleme, als Cloud-Anbieter Domain Fronting blockierten – genauer gesagt, als sie eine Funktion nicht mehr unterstützten, die nie dafür gedacht war, so zu funktionieren. Aber schwerlich lässt sich sagen, dass dahinter die Absicht steckte, irgendetwas zu behindern. „Dafür sorgen, dass der Load Balancer ein Zertifikat ausliefert, das zur konfigurierten Domain passt“, ist an sich keine problematische Funktion.
      Domain Fronting ist so simpel, dass ein openssl-Aufruf und ein nginx-Server genügen, und es zu brechen ist ebenfalls so einfach, dass man nur das Zertifikat tatsächlich validieren muss. Solche Zertifikate sind selbstsigniert oder gehören zu einer beliebigen Zertifizierungsstellen-Kette, der ein reales System nicht vertrauen würde.
      Es ist weniger „ein Spion hält ein geheimes Treffen im Haus eines ahnungslosen Freundes ab“ als vielmehr, als würde man vor irgendeinem Lagerhaus in Brasilien ein Schild aufstellen: „Weißes Haus, Wohnsitz des US-Präsidenten, Zutritt verboten“.
      Software, die auf Domain Fronting hereinfällt, kümmert sich entweder nicht um Zertifikate und deren Gültigkeit oder hat einen Bug und sollte gepatcht werden. Ein Teil davon mag Sicherheitssoftware sein, aber wenn ein böswilliger Akteur Sicherheitssoftware schon mit ein paar lesbaren Strings dazu bringen kann, etwas zu vertrauen, dann ist Domain Fronting unter den Sorgen eher eine kleine.
    • Als ich zuletzt nachgesehen habe, war die Absicht letztlich, dass ECH-Endpunkte denselben praktischen Nutzen wie Domain Fronting bieten, ohne aber das Backend so zu verbiegen, dass es Cloud-Anbieter stört, sodass Anbieter es unterstützen können.
      Encrypted Client Hello ist eine laufende Arbeit daran, bereits den ersten Kontakt eines Clients mit einem HTTPS-Server zu verschlüsseln.
      https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
      Warum ECH in Ordnung ist und Domain Fronting nicht: Bei Domain Fronting ist das Problem, dass man erst zu spät von der tatsächlichen Anfrage erfährt. Es sieht aus wie eine normale Anfrage an this-thing.example, man hat alles vorbereitet, um diese Anfrage zu verarbeiten, und plötzlich heißt es: „Sorry, ich habe es mir anders überlegt, eigentlich ist meine Anfrage für hidden-service.example.“
      Bei ECH weiß ein Angreifer, der die Verbindung belauscht, das nicht, aber wir wissen von Anfang an, dass die Anfrage an hidden-service.example gerichtet ist, und verschwenden daher keine Zeit damit, die falsche Arbeit vorzubereiten.
    • Genau das ist der Punkt. Um das zu blockieren, müsste man riesige Teile des nützlichen Internets sperren. Im Idealfall sollte man es so machen können, dass man zur Zensur von etwas das gesamte Internet blockieren muss.
      Gibt es nicht Grenzen für die Tyrannei, die sie aufbieten können? Irgendwann wird der Kollateralschaden so groß, dass sie den Zensurversuch vielleicht aufgeben. Oder die Gesellschaft wird so repressiv, dass die Menschen es nicht mehr hinnehmen.
    • Für die Aussage „Diese Technik wird häufig von böswilligen Akteuren genutzt“ braucht es Belege.
  • Das ist ein Relay, das Tor-Nutzern Zugang zu Tor ermöglicht, wenn normale Guard-Relays – also der erste Hop in einem Tor-Circuit – blockiert sind, und es verwendet Domain Fronting und WebRTC.
    Gemessen an der standardmäßig bereitgestellten deutschen Übersetzung war die Formulierung ziemlich verwirrend. Auch die Zielseite muss WebRTC unterstützen, daher kann man mit einem Proxy im Browser allein nicht auf beliebige HTTP(S)-Websites zugreifen; man braucht weiterhin einen anderen Server, der WebRTC-Verbindungen annimmt und den Traffic weiterleitet. Der Kern besteht darin, indirekten Zugriff auf diesen anderen Server zu ermöglichen, auch wenn der Artikel das nicht sagt.
    Es wird sogar behauptet, dass man keine Software brauche, um zensierte Websites zu besuchen.

    Im Gegensatz zu VPNs musst du keine separate Anwendung installieren, um dich mit einem Snowflake-Proxy zu verbinden und die Zensur zu umgehen.
    Tatsächlich braucht man sie aber. Ohne Tor-Client ist dieser Snowflake-Proxy nutzlos. Wenn man in die technischen Details geht, steht in einem Link mit dem Hinweis „Dieser Inhalt ist auf Englisch“ Folgendes:

    1. User in the filtered region wishes to access the free and open internet. They open Tor Browser, selecting snowflake as the Pluggable Transport.
      Im Haupttext hieß es, „im Gegensatz zu VPNs“ müsse man keine separate Software installieren, um Zensur zu umgehen; die technische Übersicht sagt dagegen genau das Gegenteil: Um einen Snowflake-Proxy zu nutzen, braucht man einen Tor-Client.
    • Ich kenne die deutsche Übersetzung nicht, aber der Punkt der englischen Fassung ist, dass man nicht Snowflake selbst installiert, sondern Software, die Snowflake nutzt, üblicherweise den Tor Browser.
      Es scheint darum zu gehen, Nutzern, die vielleicht verwirrt sind, wie sie Snowflake wie eine Proxy- oder VPN-App installieren sollen, die Funktionsweise zu erklären.
      Direkt zitiert ist es ziemlich klar: „Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.“
  • Wenn Tor im eigenen Land illegal ist, wirkt schon der Versuch, es zu nutzen, ziemlich riskant. Da jeder einen Snowflake-Proxy betreiben kann, ist es sehr einfach, die zugreifenden IP-Adressen zu protokollieren. Damit wird jede Verbindung zu einem Glücksspiel, bei dem die Chance sinkt, sicher davonzukommen.

    • Man könnte zwar Snowflakes mit IPs aus Netzwerken in unsicheren Ländern blockieren, aber wenn ein Angreifer in freieren Ländern VPS- oder Botnet-Nodes kauft, lässt sich das leicht umgehen.
      Beim Überfliegen des Technical Overview[0] sehe ich nichts, was das oben beschriebene Risiko verringert.
      Der Zweck von Snowflake scheint nicht darin zu liegen, die Erkennung der Tor-Nutzung zu verhindern, sondern Tor-Blockaden zu umgehen. Dafür werden Domain Fronting und WebRTC genutzt.
      [0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
    • In den meisten Regionen, in denen Snowflake nützlich ist, ist der Zugriff auf Tor legal, oder entsprechende Verbote werden, selbst wenn es sie gibt, oft nicht durchgesetzt. Bestraft werden normalerweise eher diejenigen, die Tools zur Umgehung von Zensur entwickeln oder dazu beitragen.
      Allerdings betont das Tor Project konsequent, dass alle pluggable transports der Umgehung von Zensur dienen und nicht der Steganografie. Sie sind schwer zu blockieren, verhindern aber nicht, dass ein Netzbetreiber herausfindet, dass ein Nutzer sich mit Tor verbindet. Ob man dieses Risiko eingehen kann, muss am Ende der Nutzer entscheiden.
    • Man muss „einfach“ von einer IP aus zugreifen, die nicht mit einem selbst in Verbindung gebracht werden kann, eine Schwarzmarkt-SIM in einem separaten Handy verwenden, sich von einem Ort verbinden, an den man sonst nicht geht, und es ausschalten, wenn man es nicht nutzt. Die Kosten steigen schnell.
  • Ich bin mir auch nicht sicher, ob ich die Aussage „Schalten Sie unten Snowflake ein und lassen Sie den Browser-Tab geöffnet, dann können Nutzer über Ihren neuen Proxy eine Verbindung herstellen!“ richtig verstehe.
    Wenn ich ein iframe in meine Website einbette, wird dann der Traffic von Tor-Nutzern über die IP der Besucher getunnelt? Wie wird bei relay.love die Zustimmung gehandhabt? Erscheint die IP der Besucher meiner Website als Tor-Exit-Node?

    • Es ist kein Exit. Grundsätzlich muss jemand das Snowflake-Applet bewusst ausführen, aber ein Webmaster könnte den Code so ändern, dass im Browser von jemandem faktisch automatisch ein Tor-Guard gestartet wird. Natürlich wäre es extrem bösartig, fremde Ressourcen so zu missbrauchen.
      Dieses Beispiel holt vor dem Start die Zustimmung des Nutzers ein.
    • Wenn man sich vor solchem Missbrauch sorgt, kann man WebRTC in den meisten brauchbaren Browsern deaktivieren. WebRTC kann für Schlimmeres wie interne Netzwerk-Portscans genutzt werden, aber auch für gute Dinge wie Videoanrufe mit Millisekunden-Latenz oder Peertube.
      Allerdings erlaubt dieser Mechanismus nicht, über JavaScript beliebige entfernte Sockets zu erstellen. Man kann nur mit Servern kommunizieren, die irgendeine Version von WebRTC/WebSockets verwenden, oder mit Klartextdiensten, die den zusätzlichen Protokoll-Overhead als Müll ignorieren und den Rest parsen. Einige IRC-Server und WebSockets sind gute Beispiele.
      Wie im technischen Überblick zu sehen ist, verbinden sich Leute per P2P-Technik mit dem Browser des Nutzers, und der Browser kommuniziert per WebSockets mit einem WebSocket-Server, der als normaler Tor-Einstiegspunkt dient.
    • Es ist seltsam, dass dafür keine Browser-Zustimmung verlangt wird.
  • Das erinnert mich an das frühere „Dateien auf YouTube speichern“[0], und ich frage mich, wie viel Bandbreite man bekommen könnte, wenn man dasselbe Konzept auf eine weit verbreitete Sprachkonferenzlösung wie Zoom anwendet.
    Noch besser wäre es, wenn man Daten so übertragen könnte, dass sie natürlicher untergehen, etwa per Video-Steganografie während eines echten Anrufs.
    [0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch

    • Das wäre ziemlich cool. Wenn es allerdings unabhängig vom Netzwerk funktioniert, könnten Leute Nodes einrichten und sie versehentlich in die Firma oder in andere öffentliche Netzwerke mitnehmen. Ob das besser oder schlechter ist als die Nutzung als dauerhafte Verbindung, weiß ich nicht.
    • Der vorgeschlagene Ansatz könnte den britischen Online Safety Bill auf den Plan rufen. Wegen der Encoding-/Steganografie-Mittel könnte das nicht als Sache der staatlichen Regulierungsbehörde OfCom, sondern als Polizeisache eingestuft werden, wodurch die staatlichen Kryptoanalyse-Fachleute des GCHQ involviert würden.
      Die britische Regierung sagt zwar, es gehe nur um die Funktion einer Regulierungsbehörde, aber der OSB liest sich so, als würde er sich allein deshalb über die Grenzen hinaus erstrecken, weil etwas im Vereinigten Königreich genutzt werden kann.
  • Ich weiß nicht, wie neu das ist, aber dass Nutzer allein durch einen iframe-Toggle oder die Installation einer Browser-Erweiterung Node-Hosting betreiben können, ist ziemlich cool. Ich frage mich auch, ob bei diesem Ansatz die Bandbreitenbegrenzung deutlich niedriger ist als bei der CLI-Version.

  • Es gibt auch eine eigenständige Go-Version, die man auf einem Server deployen kann[0].
    Dort heißt es: „Einer der Hauptvorteile des standalone Snowflake-Proxys ist, dass er auf einem Server installiert werden kann und Nutzern hinter restriktivem NAT und Firewalls eine Option mit höherer Bandbreite und größerer Zuverlässigkeit bietet.“
    [0] https://community.torproject.org/relay/setup/snowflake/stand...

  • Ich habe es installiert, und es ist schön zu sehen, wie die Zahl hochgeht. Größere Zahl = Dopamin.
    Ich hatte Glück, in Skandinavien geboren zu sein; derzeit gibt es hier praktisch keine Internetzensur.

    • Du hattest nur Glück, weil „du“ noch nicht betroffen bist. Frag einen Pokerspieler, der bei einem Turnier im Ausland legale Pokergewinne erzielt hat, sie aber nicht an eine norwegische Bank überweisen kann.
      Dasselbe gilt für jemanden, der mit Kryptowährungen Geld verdient und es als Sicherheit für einen Wohnungskredit verwenden will, für jemanden, der Gewinne aus einem legalen ausländischen Online-Casino überweisen möchte, oder für jemanden, der auf eine Website zugreifen will, die den norwegischen Behörden missfällt und deshalb per DNS-Blockade gesperrt wurde. Techniker können das leicht umgehen, aber die Regierung und Politiker haben bereits begonnen, ihre Befugnisse zu missbrauchen und persönliche Freiheiten einzuschränken, und das nimmt zu.
      Wenn es erst anfängt, „die meisten Menschen“ zu betreffen, ist es normalerweise viel schwieriger, es rückgängig zu machen. Die norwegische Regierung hat bereits Gesetze verabschiedet, die elektronische Massenüberwachung erlauben, und will auch den öffentlichen Zugang zu Regierungsunterlagen einschränken. Wie in weiten Teilen der EU ist das ein sehr rutschiger Abhang hin zu linker „Sozialdemokratie“, also bürokratischer Diktatur. Die Menschen sollten die Augen öffnen und sich jetzt gegen die übermäßige Einmischung des Staates wehren.
  • Alle auffindbaren Tor-IPs werden blockiert, weil weder Zeit noch Geduld vorhanden sind, um 99 % des von diesen Servern kommenden Burp-Suite-Spams zu bearbeiten. Eine sehr günstige und effektive Lösung