2 पॉइंट द्वारा GN⁺ 2023-07-31 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Snowflake एक censorship circumvention टूल है जो उन क्षेत्रों के उपयोगकर्ताओं को Tor नेटवर्क से जुड़ने में मदद करता है जहाँ Tor ब्लॉक है, और इसे Tor Browser, Orbot, Ricochet-Refresh जैसे Tor-आधारित ऐप्स में इस्तेमाल किया जा सकता है
  • उपयोगकर्ता ऐप सेटिंग्स में Snowflake चुनकर कनेक्शन को volunteer proxy के जरिए रूट कर सकते हैं, और उन्हें अलग से browser add-on इंस्टॉल करने की ज़रूरत नहीं होती
  • Snowflake WebRTC का इस्तेमाल करता है ताकि Tor ट्रैफ़िक वीडियो या वॉइस कॉल जैसा दिखे, जिससे censor के लिए उसकी पहचान करना कठिन हो जाता है
  • स्वयंसेवक Firefox, Chrome और Edge के add-on चालू करके bandwidth दे सकते हैं, और पेज पर 127,599 Snowflake चल रहे होने की जानकारी दिखाई गई है
  • add-on उन उपयोगकर्ताओं के लिए नहीं है जो खुद censorship bypass करना चाहते हैं, बल्कि उन लोगों के लिए proxy उपलब्ध कराने का टूल है जो दूसरों की Tor access में मदद करना चाहते हैं

Tor ऐप्स में Snowflake का उपयोग

  • Snowflake एक censorship circumvention तकनीक है जो Tor-ब्लॉक्ड नेटवर्क में भी Tor तक पहुँच संभव बनाती है
  • यह Tor-आधारित ऐप्स में built-in है, और जब कनेक्शन ब्लॉक हो जाए तो ऐप सेटिंग्स में Snowflake चुनकर bypass किया जा सकता है
    • Tor Browser: Desktop और Android सपोर्ट, Tor Project द्वारा निर्मित
    • Orbot: Android और iOS सपोर्ट, Guardian Project द्वारा निर्मित
    • Ricochet-Refresh: Desktop सपोर्ट, Blueprint for Free Speech द्वारा निर्मित
  • जिन उपयोगकर्ताओं को censorship bypass चाहिए, वे Tor Browser या Orbot जैसे Tor-आधारित ऐप्स डाउनलोड करके Snowflake सक्रिय कर सकते हैं
  • browser add-on सीधे bypass access के लिए टूल नहीं है, बल्कि दूसरे उपयोगकर्ताओं के कनेक्शन को relay करने वाला स्वयंसेवक proxy है

स्वयंसेवक proxy और bypass का तरीका

  • स्वयंसेवक browser add-on इंस्टॉल और सक्रिय करके Snowflake proxy उपलब्ध करा सकते हैं
  • Snowflake censorship-रहित देशों के स्वयंसेवक proxy के जरिए Tor नेटवर्क तक पहुँच संभव बनाता है
  • यह VPN की तरह internet censorship bypass में मदद करता है, लेकिन इसकी खासियत यह है कि यह ट्रैफ़िक को वीडियो या वॉइस कॉल जैसा छुपाकर दिखाता है
  • इसकी आधार तकनीक WebRTC है, जिसका इस्तेमाल आम तौर पर video conferencing software में होता है, और यह Tor उपयोग के निशान को audio-video call जैसा दिखाती है
  • Snowflake Pluggable Transports परिवार की अपेक्षाकृत नई bypass तकनीक है और इसे लगातार बेहतर बनाया जा रहा है
    • Pluggable Transports, Tor bridge ट्रैफ़िक को सामान्य कनेक्शन जैसा दिखाकर उसे Tor access न लगने जैसा छुपाते हैं
    • Snowflake वीडियो कॉल जैसा, meek-azure Microsoft कनेक्शन जैसा, और WebTunnel मानक HTTPS कनेक्शन जैसा दिखाई देने के लिए डिज़ाइन किए गए हैं
    • इस तरह का छद्मवेश censor के लिए bypass टूल्स को ब्लॉक करना महँगा बना देता है, क्योंकि ऐसा करने पर उसे internet के बड़े हिस्से भी साथ में ब्लॉक करने पड़ सकते हैं
  • तकनीकी संरचना technical overview में देखी जा सकती है, और applications में Snowflake का उपयोग करने के लिए anti-censorship team से संपर्क किया जा सकता है

1 टिप्पणियां

 
GN⁺ 2023-07-31
Hacker News की राय
  • Snowflake rendezvous के लिए domain fronting इस्तेमाल करता है[1]. डिजिटल दुनिया में यह कुछ ऐसा है जैसे कोई जासूस किसी अनजान दोस्त के घर में गुप्त बैठक रखे, और अंत में उस दोस्त के लिए हमेशा बुरा नतीजा निकले
    इस तकनीक का malicious actors काफी इस्तेमाल करते हैं, और कुछ cloud providers इसे default रूप से block भी करते हैं[2]. जब Signal ने इसे व्यापक रूप से deploy करने की कोशिश की, तो AWS ने कड़ी चेतावनी भेजी कि ईरान या चीन जैसे देश पूरा AWS ही block कर सकते हैं[3]

    1. https://en.wikipedia.org/wiki/Domain_fronting
    2. https://azure.microsoft.com/en-us/updates/generally-availabl...
    3. https://signal.org/blog/looking-back-on-the-front/
    • मैंने कुछ समय तक घर पर Snowflake server चलाया था, लेकिन यह CPU बहुत ज्यादा इस्तेमाल कर रहा था इसलिए बंद कर दिया, और कोई भी नकारात्मक असर बिल्कुल नहीं देखा
      Domain fronting कोई master key नहीं है. Signal और Tor को cloud providers द्वारा domain fronting रोकने पर—या ज्यादा सटीक कहें तो, ऐसी functionality को support करना बंद करने पर जो मूल रूप से उस तरह काम करने के लिए intended नहीं थी—समस्याएं आईं, लेकिन इसे किसी चीज़ को बाधित करने की मंशा कहना मुश्किल है. “Load balancer को configured domain से मेल खाने वाला certificate देने के लिए बनाना” अपने-आप में कोई समस्याग्रस्त feature नहीं है
      Domain fronting इतना सरल है कि एक openssl call और nginx server ही काफी हैं, और इसे तोड़ना भी इतना आसान है कि बस certificate को वास्तव में verify करना होता है. ऐसे certificate self-signed होते हैं या किसी ऐसी मनमानी certificate authority chain का हिस्सा होते हैं जिस पर असली systems trust नहीं करेंगे
      यह “किसी अनजान दोस्त के घर में गुप्त बैठक रखने वाले जासूस” जैसा कम, और Brazil में किसी random warehouse के सामने “White House, अमेरिकी राष्ट्रपति का घर, प्रवेश निषेध” वाला sign लगाने जैसा ज्यादा है
      जो software domain fronting से धोखा खाता है, वह certificate और validity की परवाह नहीं करता या उसमें bug है, इसलिए उसे patch किया जाना चाहिए. उनमें से कुछ security software हो सकते हैं, लेकिन अगर malicious actor सिर्फ कुछ readable strings से security software को भरोसा करने के लिए मूर्ख बना सकते हैं, तो domain fronting चिंताओं में भी छोटी चिंता है
    • आखिरी बार जब मैंने देखा था, तो intent आखिरकार यह था कि ECH endpoints domain fronting जैसी प्रभावी service दें, लेकिन backend को इस तरह उलझाए बिना कि cloud providers बाधित हों, ताकि providers इसे support कर सकें
      Encrypted Client Hello, HTTPS server से client के पहले संपर्क तक को encrypt करने की ongoing कोशिश है
      https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
      ECH ठीक है और domain fronting क्यों नहीं, तो समस्या यह है कि domain fronting में actual request बहुत देर से पता चलती है. यह this-thing.example के लिए normal request जैसी दिखती है, और आप उस request को handle करने की पूरी तैयारी कर चुके होते हैं, तभी अचानक “sorry, मैंने अपना मन बदल लिया, दरअसल मेरी request hidden-service.example के लिए है” जैसी स्थिति बन जाती है
      ECH में connection पर निगरानी करने वाला attacker नहीं जानता, लेकिन हमें शुरू से पता होता है कि request hidden-service.example के लिए है, इसलिए हम गलत काम की तैयारी में समय बर्बाद नहीं करते
    • यही तो मुख्य बात है. इसे रोकने के लिए useful internet के एक बहुत बड़े हिस्से को block करना पड़े, ऐसा बनाना है. Ideally, अगर किसी चीज़ को censor करना हो तो पूरा internet block करना पड़े, ऐसी स्थिति बननी चाहिए
      वे जितनी tyranny ला सकते हैं, उसकी भी कोई सीमा होगी न? आखिर में collateral damage इतना बड़ा हो सकता है कि वे censorship की कोशिश छोड़ दें. या फिर समाज इतना oppressive हो जाएगा कि लोग उसे स्वीकार नहीं कर पाएंगे
    • “इस तकनीक का malicious actors काफी इस्तेमाल करते हैं” इस बात के लिए सबूत चाहिए
  • यह एक सामान्य guard relay है, यानी ऐसा relay जो Tor circuit का पहला hop block होने पर Tor users को Tor से connect करने देता है, और domain fronting और WebRTC इस्तेमाल करता है
    default में दी गई German translation के आधार पर wording काफी confusing थी. Target को भी WebRTC support करना होता है, इसलिए सिर्फ browser के अंदर proxy से किसी भी arbitrary HTTP(S) website तक पहुंचा नहीं जा सकता; traffic लेने और आगे भेजने के लिए फिर भी कोई दूसरा server चाहिए जो WebRTC connection accept करे. मुख्य बात, जो article में नहीं कही गई, इस दूसरे server तक indirect तरीके से connect कराना है
    यह तो यहां तक कहता है कि censored website पर जाने के लिए software की जरूरत नहीं है

    Im Gegensatz zu VPNs musst du keine separate Anwendung installieren, um dich mit einem Snowflake-Proxy zu verbinden und die Zensur zu umgehen.
    लेकिन असल में जरूरत है. Tor client के बिना यह Snowflake proxy बेकार है. Technical details में जाएं तो “this content is in English” चेतावनी वाले link में यह लिखा है

    1. User in the filtered region wishes to access the free and open internet. They open Tor Browser, selecting snowflake as the Pluggable Transport.
      मुख्य text कहता है कि “VPNs के विपरीत, censorship bypass करने के लिए अलग software install करने की जरूरत नहीं है,” लेकिन technical overview ठीक उल्टा कहता है कि Snowflake proxy इस्तेमाल करने के लिए Tor client चाहिए
    • German translation के बारे में मुझे नहीं पता, लेकिन English version का मतलब यह है कि Snowflake खुद install नहीं करना, बल्कि Snowflake इस्तेमाल करने वाला software, आम तौर पर Tor Browser, install करना होता है
      यह शायद उन users को समझाने की कोशिश है जिन्हें यह भ्रम हो सकता है कि Snowflake को proxy या VPN app की तरह कैसे install करना है
      सीधे quote करें तो काफी स्पष्ट है: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
  • अगर आपके देश में Tor गैरकानूनी है, तो उसे इस्तेमाल करने की कोशिश करना ही काफी जोखिम भरा लगता है। कोई भी Snowflake proxy चला सकता है, इसलिए कनेक्ट करने वाले IP address को रिकॉर्ड करना बहुत आसान है। तब हर बार कनेक्ट करना सुरक्षित बच निकलने की घटती संभावना वाला एक जुआ बन जाता है

    • असुरक्षित देशों के network से आने वाले IP वाले Snowflake को ब्लॉक किया जा सकता है, लेकिन अगर हमलावर किसी ज्यादा आजाद देश में VPS या botnet node खरीद ले, तो इसे आसानी से bypass किया जा सकता है
      Technical Overview[0] को सरसरी तौर पर देखने पर भी ऊपर बताए जोखिम को कम करने वाली कोई बात नहीं दिखती
      Snowflake का उद्देश्य Tor इस्तेमाल की पहचान रोकना नहीं, बल्कि Tor block को bypass करना लगता है। इसके लिए यह domain fronting और WebRTC का उपयोग करता है
      [0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
    • जिन ज्यादातर इलाकों में Snowflake उपयोगी है, वहां Tor से कनेक्ट करना कानूनी होता है, या प्रतिबंध कानून होने पर भी उन्हें अक्सर लागू नहीं किया जाता। आम तौर पर सजा censorship bypass tools बनाने वालों या योगदानकर्ताओं को मिलती है
      हालांकि Tor Project लगातार इस बात पर जोर देता है कि pluggable transports सभी censorship bypass के लिए हैं, steganography के लिए नहीं। इन्हें ब्लॉक करना मुश्किल है, लेकिन ये network operator को यह पता लगाने से नहीं रोकते कि user Tor से कनेक्ट हो रहा है। आखिर में यह user को तय करना है कि वह यह जोखिम उठा सकता है या नहीं
    • “बस” ऐसे IP से कनेक्ट करें जिसे आपसे जोड़ा न जा सके, अलग फोन में black-market SIM इस्तेमाल करें, ऐसी जगह से कनेक्ट करें जहां आप आम तौर पर नहीं जाते, और इस्तेमाल न होने पर बंद रखें। लागत तेजी से बढ़ जाती है
  • “नीचे Snowflake चालू करके browser tab खुला छोड़ दें, तो users नए proxy के जरिए कनेक्ट कर सकते हैं!”—क्या मैंने इसे सही समझा है, यह भी पक्का नहीं
    अगर मैं अपनी website में iframe डाल दूं, तो क्या Tor users का traffic visitors के IP के जरिए tunnel होगा? relay.love पर consent कैसे handle होता है? क्या मेरी website के visitors का IP Tor exit node जैसा दिखेगा?

    • Exit नहीं। मूल रूप से किसी को Snowflake applet जानबूझकर चलाना होता है, लेकिन webmaster code बदलकर व्यवहार में किसी के browser में Tor guard को auto-start करवा सकता है। बेशक, किसी और के resources का इस तरह दुरुपयोग करना बेहद खराब बात है
      उस example में शुरू करने से पहले user consent लिया जाता है
    • अगर इस तरह के दुरुपयोग की चिंता है, तो ज्यादातर अच्छे browsers में WebRTC disable किया जा सकता है। WebRTC का इस्तेमाल internal network port scan जैसी और भी खराब चीजों में, और millisecond-latency video calls या Peertube जैसी अच्छी चीजों में भी हो सकता है
      हालांकि यह mechanism JavaScript के जरिए arbitrary remote sockets बनाने की अनुमति नहीं देता। यह केवल उन servers से communicate कर सकता है जो WebRTC/WebSockets का कोई version इस्तेमाल करते हैं, या ऐसी plaintext services से जो extra protocol overhead को garbage मानकर ignore करती हैं और बाकी parse करती हैं। कुछ IRC servers और WebSockets अच्छे example हैं
      Technical overview में दिखता है कि लोग P2P technology से user के browser से connect करते हैं, और browser WebSockets के जरिए सामान्य Tor entry point की भूमिका निभाने वाले WebSocket server से communicate करता है
    • अजीब है कि ऐसी चीजों के लिए browser consent की जरूरत नहीं पड़ती
  • पुराने “YouTube पर files store करना”[0] की याद आती है, और सोचता हूं कि यही concept Zoom जैसे व्यापक रूप से इस्तेमाल होने वाले voice conferencing solution पर लागू करें तो कितनी bandwidth मिल सकती है
    अगर असली call के दौरान video steganography जैसे तरीके से data transmit किया जा सके ताकि वह और natural तरीके से mix हो जाए, तो और भी अच्छा होगा
    [0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch

    • अगर ऐसा हो सके तो शानदार होगा। हालांकि अगर यह network से independent तरीके से काम करता है, तो लगता है लोग nodes set करके गलती से उन्हें company या किसी और public network में ले जा सकते हैं। यह persistent connection के तौर पर इस्तेमाल करने से बेहतर होगा या बदतर, यह मुझे ठीक से नहीं पता
    • आपके सुझाए तरीके पर UK Online Safety Bill लागू हो सकता है। encoding/steganography के साधन की वजह से इसे government regulator OfCom का मामला नहीं, बल्कि police का मामला माना जा सकता है, और GCHQ के government code-breaking staff शामिल हो सकते हैं
      UK government कहती है कि यह सिर्फ regulator का function है, लेकिन OSB ऐसा पढ़ता है मानो यह UK में इस्तेमाल हो सकने के आधार पर borders के बाहर तक extend होगा
  • पता नहीं यह कितना नया है, लेकिन users का सिर्फ iframe toggle या browser extension install करके node hosting कर पाना बहुत बढ़िया है। यह भी जानना चाहूंगा कि इस तरीके में CLI version की तुलना में bandwidth limit काफी कम है या नहीं

  • एक standalone Go version भी है जिसे server पर deploy किया जा सकता है[0]
    कहा गया है कि “standalone Snowflake proxy के मुख्य फायदों में से एक यह है कि इसे server पर install किया जा सकता है, और यह restrictive NAT और firewall के पीछे मौजूद users को higher bandwidth और ज्यादा stable option देता है”
    [0] https://community.torproject.org/relay/setup/snowflake/stand...

  • इसे install कर लिया है और number बढ़ते देखना अच्छा लगता है। number बड़ा होना = dopamine
    Scandinavia में पैदा होना किस्मत की बात थी, और अभी internet censorship practically 0 है

    • किस्मत अच्छी है कि अभी तक “आप” प्रभावित नहीं हुए हैं। किसी poker player से पूछिए जिसने foreign tournaments में legal poker winnings कमाई, लेकिन उसे Norwegian bank में transfer नहीं कर पा रहा
      वही बात उन लोगों पर भी लागू होती है जो cryptocurrency से पैसा कमाते हैं और उसे apartment loan के collateral के तौर पर इस्तेमाल करना चाहते हैं, या foreign legal online casino winnings transfer करना चाहते हैं, या Norway authorities को नापसंद होने की वजह से DNS-blocked websites access करना चाहते हैं। Technologists आसानी से bypass कर सकते हैं, लेकिन government और politicians द्वारा power का दुरुपयोग और individual freedom को सीमित करना पहले ही शुरू हो चुका है और बढ़ रहा है
      जब यह “ज्यादातर लोगों” को प्रभावित करना शुरू करता है, तो उसे वापस पलटना आम तौर पर कहीं ज्यादा मुश्किल होता है। Norwegian government पहले ही mass electronic surveillance की अनुमति देने वाला law pass कर चुकी है, और government records तक public access भी सीमित करना चाहती है। EU के ज्यादातर हिस्सों की तरह यह left-wing “social democracy”, यानी bureaucratic dictatorship की ओर बहुत फिसलन भरी ढलान है। लोगों को आंखें खोलकर अभी government overreach के खिलाफ खड़ा होना चाहिए
  • जितने भी Tor IP मिल सकें, उन सभी को ब्लॉक कर देते हैं। क्योंकि इन servers से आने वाले Burp Suite spam के 99% से निपटने के लिए न समय है, न धैर्य। यह बहुत सस्ता और असरदार समाधान है