Tor Snowflake: เครื่องมือหลบเลี่ยงการเซ็นเซอร์ที่ช่วยเชื่อมต่อ Tor ในพื้นที่ที่ถูกบล็อก
(snowflake.torproject.org)- Snowflake เป็น เครื่องมือหลบเลี่ยงการเซ็นเซอร์ ที่ช่วยให้ผู้ใช้ในพื้นที่ที่ Tor ถูกบล็อกสามารถเชื่อมต่อกับเครือข่าย Tor ได้ และใช้งานได้ในแอปที่อิง Tor เช่น Tor Browser, Orbot, Ricochet-Refresh
- ผู้ใช้สามารถเลือก Snowflake ในการตั้งค่าแอปเพื่อกำหนดเส้นทางการเชื่อมต่อผ่าน พร็อกซีอาสาสมัคร โดยไม่จำเป็นต้องติดตั้งส่วนเสริมของเบราว์เซอร์เอง
- Snowflake ใช้ WebRTC เพื่อทำให้ทราฟฟิก Tor ดูเหมือนการโทรวิดีโอหรือเสียง ทำให้ผู้เซ็นเซอร์ตรวจจับได้ยากขึ้น
- อาสาสมัครสามารถเปิดใช้ส่วนเสริมสำหรับ Firefox, Chrome, Edge เพื่อให้แบนด์วิดท์ได้ และหน้าเว็บแสดงว่ามี Snowflake 127,599 ตัว กำลังทำงานอยู่
- ส่วนเสริมนี้เป็น เครื่องมือให้บริการพร็อกซี ที่ติดตั้งโดยผู้ที่ต้องการช่วยให้ผู้อื่นเชื่อมต่อ Tor ไม่ใช่ผู้ใช้ที่ต้องการหลบเลี่ยงการเซ็นเซอร์เอง
การใช้ Snowflake ในแอป Tor
- Snowflake เป็นเทคโนโลยีหลบเลี่ยงการเซ็นเซอร์ที่ช่วยให้เข้าถึง Tor ได้แม้อยู่ในเครือข่ายที่ Tor ถูกบล็อก
- ถูกฝังอยู่ในแอปที่อิง Tor และเมื่อการเชื่อมต่อถูกปิดกั้น สามารถเลือก Snowflake ในการตั้งค่าแอปเพื่อหลบเลี่ยงได้
- Tor Browser: รองรับ Desktop และ Android พัฒนาโดย Tor Project
- Orbot: รองรับ Android และ iOS พัฒนาโดย Guardian Project
- Ricochet-Refresh: รองรับ Desktop พัฒนาโดย Blueprint for Free Speech
- ผู้ใช้ที่ต้องการหลบเลี่ยงการเซ็นเซอร์เพียงดาวน์โหลด แอปที่อิง Tor เช่น Tor Browser หรือ Orbot แล้วเปิดใช้งาน Snowflake
- ส่วนเสริมของเบราว์เซอร์ไม่ใช่เครื่องมือสำหรับเชื่อมต่อหลบเลี่ยงโดยตรง แต่เป็น พร็อกซีสำหรับอาสาสมัคร ที่ช่วยส่งต่อการเชื่อมต่อของผู้ใช้อื่น
พร็อกซีอาสาสมัครและวิธีหลบเลี่ยง
- อาสาสมัครสามารถติดตั้งและเปิดใช้งานส่วนเสริมของเบราว์เซอร์เพื่อให้บริการพร็อกซี Snowflake ได้
- เมื่อไอคอนเปลี่ยนเป็นสีเขียว แปลว่าผู้ใช้ที่ถูกบล็อกกำลังเชื่อมต่อกับส่วนเสริมนั้นอยู่
- ติดตั้งสำหรับ Firefox
- ติดตั้งสำหรับ Chrome
- ติดตั้งสำหรับ Edge
- Snowflake ทำให้สามารถเชื่อมต่อกับเครือข่าย Tor ผ่าน พร็อกซีอาสาสมัคร ในประเทศที่ไม่มีการเซ็นเซอร์
- ช่วยหลบเลี่ยงการเซ็นเซอร์อินเทอร์เน็ตคล้าย VPN แต่จุดเด่นคือการพรางทราฟฟิกให้ดูเหมือนการโทรวิดีโอหรือเสียง
- เทคโนโลยีพื้นฐานคือ WebRTC ซึ่งพบได้บ่อยในซอฟต์แวร์ประชุมผ่านวิดีโอ และทำให้ร่องรอยการใช้ Tor ดูเหมือนการโทรแบบเสียงหรือวิดีโอ
- Snowflake เป็นเทคโนโลยีหลบเลี่ยงที่ค่อนข้างใหม่ในตระกูล Pluggable Transports และยังคงได้รับการปรับปรุงอย่างต่อเนื่อง
- Pluggable Transports ทำให้ทราฟฟิกของ Tor bridge ดูเหมือนการเชื่อมต่อทั่วไป เพื่อพรางว่าไม่ใช่การเชื่อมต่อ Tor
- Snowflake ทำให้ดูเหมือนการโทรวิดีโอ, meek-azure ทำให้ดูเหมือนการเชื่อมต่อ Microsoft, WebTunnel ทำให้ดูเหมือนการเชื่อมต่อ HTTPS มาตรฐาน
- การพรางลักษณะนี้ทำให้หากผู้เซ็นเซอร์ต้องการบล็อกเครื่องมือหลบเลี่ยง ก็ต้องบล็อกส่วนใหญ่ของอินเทอร์เน็ตไปพร้อมกัน จึงเพิ่มต้นทุนในการบล็อก
- สามารถดูโครงสร้างทางเทคนิคได้ที่ technical overview และหากต้องการใช้ Snowflake ในแอปพลิเคชัน สามารถติดต่อ anti-censorship team ได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
Snowflake ใช้ domain fronting สำหรับ rendezvous[1] เหมือนกับสายลับในโลกดิจิทัลที่นัดประชุมลับในบ้านของเพื่อนที่ไม่รู้อีโหน่อีเหน่ และสุดท้ายก็มักจบไม่ดีสำหรับเพื่อนคนนั้นเสมอ
เทคนิคนี้ถูกผู้ไม่หวังดีใช้กันมาก และผู้ให้บริการคลาวด์บางรายก็ปิดกั้นไว้เป็นค่าเริ่มต้นด้วย[2] ตอนที่ Signal พยายามนำไปใช้ในวงกว้าง AWS ก็ส่งคำเตือนอย่างหนัก เพราะกลัวว่าประเทศอย่างอิหร่านหรือจีนอาจบล็อก AWS ทั้งหมด[3]
domain fronting ไม่ใช่กุญแจสารพัดประโยชน์ Signal และ Tor เจอปัญหาเมื่อผู้ให้บริการคลาวด์ปิดกั้น domain fronting หรือพูดให้ชัดกว่าคือเลิกสนับสนุนฟีเจอร์ที่เดิมไม่ได้ตั้งใจให้ทำงานแบบนั้นอยู่แล้ว แต่คงพูดยากว่านั่นเป็นความตั้งใจเพื่อขัดขวางอะไรบางอย่าง การ “ทำให้ load balancer ส่งมอบใบรับรองที่ตรงกับโดเมนที่ตั้งค่าไว้” ในตัวมันเองไม่ใช่ฟีเจอร์ที่มีปัญหา
domain fronting นั้นเรียบง่ายถึงขั้นต้องมีแค่การเรียก openssl กับเซิร์ฟเวอร์ nginx และการทำลายมันก็ง่ายถึงขั้นแค่ตรวจสอบใบรับรองจริง ๆ ก็พอ ใบรับรองแบบนี้มักเป็นแบบ self-signed หรืออยู่ใน chain ของ certificate authority แบบสุ่มที่ระบบจริงจะไม่เชื่อถือ
มันใกล้เคียงกับการเอาป้าย “ทำเนียบขาว บ้านของประธานาธิบดีสหรัฐฯ ห้ามเข้า” ไปตั้งไว้หน้าโกดังสุ่ม ๆ ในบราซิล มากกว่าจะเป็น “สายลับที่นัดประชุมลับในบ้านของเพื่อนที่ไม่รู้อะไรเลย”
ซอฟต์แวร์ที่ถูก domain fronting หลอกได้นั้น either ไม่สนใจใบรับรองและความถูกต้องของมัน หรือมีบั๊กและควรถูกแพตช์ บางส่วนอาจเป็นซอฟต์แวร์ด้านความปลอดภัยก็ได้ แต่ถ้าผู้ไม่หวังดีสามารถหลอกซอฟต์แวร์ความปลอดภัยให้เชื่อถือได้ด้วยสตริงที่อ่านได้เพียงไม่กี่ตัว domain fronting ก็ถือเป็นเรื่องน่ากังวลที่ค่อนข้างเล็กเมื่อเทียบกับเรื่องอื่น ๆ
Encrypted Client Hello เป็นงานที่กำลังดำเนินอยู่เพื่อเข้ารหัสแม้กระทั่งการติดต่อครั้งแรกของ client กับเซิร์ฟเวอร์ HTTPS
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
เหตุผลที่ ECH ใช้ได้แต่ domain fronting ใช้ไม่ได้ คือใน domain fronting ปัญหาคือเรารู้คำขอจริงช้าเกินไป มันดูเหมือนคำขอปกติไปยัง this-thing.example จนเราเตรียมพร้อมจะจัดการคำขอนั้นเรียบร้อยแล้ว แต่จู่ ๆ ก็กลายเป็น “ขอโทษที ฉันเปลี่ยนใจแล้ว จริง ๆ คำขอของฉันเป็นของ hidden-service.example”
ใน ECH ผู้โจมตีที่ดักฟังการเชื่อมต่อจะไม่รู้ แต่เราเองรู้ตั้งแต่ต้นว่าคำขอนั้นมุ่งไปที่ hidden-service.example จึงไม่เสียเวลาเตรียมงานผิด ๆ
การกดขี่ที่พวกเขาใช้ได้ก็น่าจะมีขีดจำกัดอยู่ไม่ใช่หรือ? สุดท้ายความเสียหายข้างเคียงอาจใหญ่เกินไปจนยอมเลิกพยายามเซ็นเซอร์ หรือไม่สังคมนั้นก็จะกลายเป็นสังคมที่กดขี่รุนแรงจนผู้คนยอมรับไม่ได้
นี่คือ guard relay ทั่วไป หรือก็คือ relay ที่เป็น hop แรกของวงจร Tor ซึ่งช่วยให้ผู้ใช้ Tor เชื่อมต่อกับ Tor ได้เมื่อถูกบล็อก โดยใช้ domain fronting และ WebRTC
หากอิงจากคำแปลภาษาเยอรมันที่ให้มาเป็นค่าเริ่มต้น ข้อความค่อนข้างสับสน เพราะปลายทางก็ต้องรองรับ WebRTC ด้วย ดังนั้นแค่พร็อกซีในเบราว์เซอร์อย่างเดียวจึงไม่สามารถเข้าถึงเว็บไซต์ HTTP(S) ใด ๆ ก็ได้ ยังต้องมีเซิร์ฟเวอร์อื่นที่รับการเชื่อมต่อ WebRTC และส่งต่อทราฟฟิกอยู่ดี แก่นของเรื่อง ซึ่งบทความไม่ได้พูดถึง คือการทำให้สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์อื่นนี้ได้แบบอ้อม ๆ
ถึงขั้นบอกว่าไม่ต้องใช้ซอฟต์แวร์เพื่อเยี่ยมชมเว็บไซต์ที่ถูกเซ็นเซอร์
ดูเหมือนกำลังพยายามอธิบายวิธีทำงานให้ผู้ใช้ที่อาจสับสนว่าต้องติดตั้ง Snowflake แบบพร็อกซีหรือแอป VPN อย่างไร
ถ้ายกคำพูดมาตรง ๆ ก็ค่อนข้างชัดเจน: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
หาก Tor เป็นสิ่งผิดกฎหมายในประเทศของตน แค่พยายามใช้งานก็ดูค่อนข้างเสี่ยงแล้ว เพราะใคร ๆ ก็รันพร็อกซี Snowflake ได้ การบันทึกที่อยู่ IP ที่เชื่อมต่อเข้ามาจึงง่ายมาก แบบนั้นทุกครั้งที่เชื่อมต่อก็กลายเป็น การพนัน ที่โอกาสรอดปลอดภัยจะลดลง
ลองอ่านผ่าน ๆ Technical Overview[0] แล้วก็ไม่เห็นเนื้อหาที่ช่วยลดความเสี่ยงที่พูดถึงข้างต้น
จุดประสงค์ของ Snowflake ดูเหมือนไม่ใช่การป้องกันการตรวจจับการใช้ Tor แต่เป็นการ หลบเลี่ยงการบล็อก Tor โดยใช้ domain fronting และ WebRTC
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
อย่างไรก็ตาม Tor Project ย้ำอย่างสม่ำเสมอว่า pluggable transports ทั้งหมดมีไว้เพื่อหลบเลี่ยงการเซ็นเซอร์ ไม่ใช่เพื่อสเตกาโนกราฟี แม้จะบล็อกได้ยาก แต่ก็ไม่ได้ป้องกันไม่ให้ผู้ดูแลเครือข่ายรู้ว่าผู้ใช้กำลังเชื่อมต่อกับ Tor สุดท้ายผู้ใช้ต้องเป็นคนตัดสินใจเองว่ารับความเสี่ยงนั้นได้หรือไม่
ยังไม่แน่ใจด้วยซ้ำว่าเข้าใจประโยคที่ว่า “เปิด Snowflake ด้านล่างแล้วเปิดแท็บเบราว์เซอร์ทิ้งไว้ ผู้ใช้ก็จะเชื่อมต่อผ่านพร็อกซีใหม่ได้!” ถูกต้องไหม
ถ้าผมใส่ iframe ในเว็บไซต์ของตัวเอง ทราฟฟิกของผู้ใช้ Tor จะถูก tunneling ผ่าน IP ของผู้เข้าชมอย่างนั้นหรือ? ใน relay.love จัดการเรื่องความยินยอมอย่างไร? IP ของผู้เข้าชมเว็บไซต์ของผมจะดูเหมือนเป็น Tor exit node ไหม?
ตัวอย่างดังกล่าวขอความยินยอมจากผู้ใช้ก่อนเริ่ม
อย่างไรก็ตาม กลไกนี้ไม่ได้ทำให้สร้างซ็อกเก็ตระยะไกลใด ๆ ก็ได้ผ่าน JavaScript ได้ มันสื่อสารได้เฉพาะกับเซิร์ฟเวอร์ที่ใช้ WebRTC/WebSockets บางเวอร์ชัน หรือบริการ plaintext ที่ละเลย overhead ของโปรโตคอลเพิ่มเติมเป็นขยะแล้ว parse ส่วนที่เหลือ ตัวอย่างที่ดีคือ IRC server บางตัวและ WebSockets
ตามที่เห็นในภาพรวมทางเทคนิค ผู้คนเชื่อมต่อเข้ากับเบราว์เซอร์ของผู้ใช้ด้วยเทคโนโลยี P2P แล้วเบราว์เซอร์จะสื่อสารผ่าน WebSockets กับเซิร์ฟเวอร์ WebSocket ที่ทำหน้าที่เป็นจุดเข้า Tor ทั่วไป
นึกถึง “การเก็บไฟล์ไว้บน YouTube”[0] สมัยก่อน และสงสัยว่าถ้านำแนวคิดเดียวกันไปใช้กับโซลูชันประชุมเสียงที่ใช้กันแพร่หลายอย่าง Zoom จะได้แบนด์วิดท์มากแค่ไหน
จะยิ่งดีถ้าส่งข้อมูลด้วยวิธีอย่าง วิดีโอสเตกาโนกราฟี ระหว่างการโทรจริง เพื่อให้กลมกลืนเป็นธรรมชาติมากขึ้น
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
รัฐบาลสหราชอาณาจักรบอกว่าเป็นเพียงหน้าที่ของหน่วยงานกำกับดูแล แต่ OSB อ่านแล้วเหมือนจะขยายอำนาจออกไปนอกพรมแดน เพียงเพราะสามารถถูกใช้ในสหราชอาณาจักรได้
ไม่รู้ว่าสิ่งนี้ใหม่แค่ไหน แต่การที่ผู้ใช้สามารถ โฮสต์โหนด ได้เพียงแค่เปิด iframe toggle หรือติดตั้งส่วนขยายเบราว์เซอร์นั้นเจ๋งมาก และก็สงสัยด้วยว่าวิธีนี้มีข้อจำกัดด้านแบนด์วิดท์ต่ำกว่าเวอร์ชัน CLI มากหรือไม่
มี เวอร์ชัน Go แบบ standalone ที่สามารถ deploy บนเซิร์ฟเวอร์ได้ด้วย[0]
เขาบอกว่า “ข้อได้เปรียบหลักอย่างหนึ่งของพร็อกซี standalone Snowflake คือสามารถติดตั้งบนเซิร์ฟเวอร์ได้ และมอบตัวเลือกที่มีแบนด์วิดท์สูงกว่าและเสถียรกว่าให้ผู้ใช้ที่อยู่หลัง NAT และไฟร์วอลล์แบบจำกัด”
[0] https://community.torproject.org/relay/setup/snowflake/stand...
ติดตั้งไว้แล้ว และรู้สึกดีที่ได้เห็นตัวเลขเพิ่มขึ้น ตัวเลขโตขึ้น = โดปามีน
โชคดีที่เกิดในสแกนดิเนเวีย และตอนนี้การเซ็นเซอร์อินเทอร์เน็ตแทบเป็น 0
เช่นเดียวกับคนที่ทำเงินจากคริปโตเคอร์เรนซีแล้วอยากใช้เป็นหลักประกันเงินกู้ซื้ออพาร์ตเมนต์ คนที่อยากโอนรายได้จากคาสิโนออนไลน์ต่างประเทศที่ถูกกฎหมาย หรือคนที่อยากเข้าถึงเว็บไซต์ที่ทางการนอร์เวย์ไม่ชอบจน บล็อก DNS ไว้ นักเทคนิคหลบเลี่ยงได้ง่าย แต่รัฐบาลและนักการเมืองเริ่มใช้อำนาจในทางที่ผิดและจำกัดเสรีภาพส่วนบุคคลแล้ว และกำลังขยายตัวขึ้น
พอมันเริ่มกระทบ “คนส่วนใหญ่” การย้อนกลับมักยากกว่ามาก รัฐบาลนอร์เวย์ได้ผ่านกฎหมายที่อนุญาตให้มีการสอดส่องทางอิเล็กทรอนิกส์ในวงกว้างแล้ว และยังพยายามจำกัดการเข้าถึงบันทึกของรัฐโดยสาธารณะด้วย เช่นเดียวกับสหภาพยุโรปส่วนใหญ่ นี่คือทางลาดลื่นมากไปสู่ “สังคมประชาธิปไตย” แบบฝ่ายซ้าย หรือก็คือเผด็จการโดยระบบราชการ ผู้คนควรลืมตาและต่อต้านการแทรกแซงเกินขอบเขตของรัฐบาลตั้งแต่ตอนนี้
บล็อก IP ของ Tor ทั้งหมดที่หาเจอ เพราะไม่มีเวลาหรือความอดทนพอจะจัดการกับ สแปม Burp Suite 99% ที่มาจากเซิร์ฟเวอร์เหล่านี้ เป็นวิธีแก้ปัญหาที่ถูกมากและได้ผล
https://check.torproject.org/torbulkexitlist