Tor Snowflake: ब्लॉक किए गए क्षेत्रों में Tor कनेक्शन में मदद करने वाला censorship circumvention टूल
(snowflake.torproject.org)- Snowflake एक censorship circumvention टूल है जो उन क्षेत्रों के उपयोगकर्ताओं को Tor नेटवर्क से जुड़ने में मदद करता है जहाँ Tor ब्लॉक है, और इसे Tor Browser, Orbot, Ricochet-Refresh जैसे Tor-आधारित ऐप्स में इस्तेमाल किया जा सकता है
- उपयोगकर्ता ऐप सेटिंग्स में Snowflake चुनकर कनेक्शन को volunteer proxy के जरिए रूट कर सकते हैं, और उन्हें अलग से browser add-on इंस्टॉल करने की ज़रूरत नहीं होती
- Snowflake WebRTC का इस्तेमाल करता है ताकि Tor ट्रैफ़िक वीडियो या वॉइस कॉल जैसा दिखे, जिससे censor के लिए उसकी पहचान करना कठिन हो जाता है
- स्वयंसेवक Firefox, Chrome और Edge के add-on चालू करके bandwidth दे सकते हैं, और पेज पर 127,599 Snowflake चल रहे होने की जानकारी दिखाई गई है
- add-on उन उपयोगकर्ताओं के लिए नहीं है जो खुद censorship bypass करना चाहते हैं, बल्कि उन लोगों के लिए proxy उपलब्ध कराने का टूल है जो दूसरों की Tor access में मदद करना चाहते हैं
Tor ऐप्स में Snowflake का उपयोग
- Snowflake एक censorship circumvention तकनीक है जो Tor-ब्लॉक्ड नेटवर्क में भी Tor तक पहुँच संभव बनाती है
- यह Tor-आधारित ऐप्स में built-in है, और जब कनेक्शन ब्लॉक हो जाए तो ऐप सेटिंग्स में Snowflake चुनकर bypass किया जा सकता है
- Tor Browser: Desktop और Android सपोर्ट, Tor Project द्वारा निर्मित
- Orbot: Android और iOS सपोर्ट, Guardian Project द्वारा निर्मित
- Ricochet-Refresh: Desktop सपोर्ट, Blueprint for Free Speech द्वारा निर्मित
- जिन उपयोगकर्ताओं को censorship bypass चाहिए, वे Tor Browser या Orbot जैसे Tor-आधारित ऐप्स डाउनलोड करके Snowflake सक्रिय कर सकते हैं
- browser add-on सीधे bypass access के लिए टूल नहीं है, बल्कि दूसरे उपयोगकर्ताओं के कनेक्शन को relay करने वाला स्वयंसेवक proxy है
स्वयंसेवक proxy और bypass का तरीका
- स्वयंसेवक browser add-on इंस्टॉल और सक्रिय करके Snowflake proxy उपलब्ध करा सकते हैं
- आइकन हरा हो जाने पर इसका मतलब है कि कोई ब्लॉक किया गया उपयोगकर्ता उस add-on से जुड़ा हुआ है
- Firefox के लिए इंस्टॉल करें
- Chrome के लिए इंस्टॉल करें
- Edge के लिए इंस्टॉल करें
- Snowflake censorship-रहित देशों के स्वयंसेवक proxy के जरिए Tor नेटवर्क तक पहुँच संभव बनाता है
- यह VPN की तरह internet censorship bypass में मदद करता है, लेकिन इसकी खासियत यह है कि यह ट्रैफ़िक को वीडियो या वॉइस कॉल जैसा छुपाकर दिखाता है
- इसकी आधार तकनीक WebRTC है, जिसका इस्तेमाल आम तौर पर video conferencing software में होता है, और यह Tor उपयोग के निशान को audio-video call जैसा दिखाती है
- Snowflake Pluggable Transports परिवार की अपेक्षाकृत नई bypass तकनीक है और इसे लगातार बेहतर बनाया जा रहा है
- Pluggable Transports, Tor bridge ट्रैफ़िक को सामान्य कनेक्शन जैसा दिखाकर उसे Tor access न लगने जैसा छुपाते हैं
- Snowflake वीडियो कॉल जैसा, meek-azure Microsoft कनेक्शन जैसा, और WebTunnel मानक HTTPS कनेक्शन जैसा दिखाई देने के लिए डिज़ाइन किए गए हैं
- इस तरह का छद्मवेश censor के लिए bypass टूल्स को ब्लॉक करना महँगा बना देता है, क्योंकि ऐसा करने पर उसे internet के बड़े हिस्से भी साथ में ब्लॉक करने पड़ सकते हैं
- तकनीकी संरचना technical overview में देखी जा सकती है, और applications में Snowflake का उपयोग करने के लिए anti-censorship team से संपर्क किया जा सकता है
1 टिप्पणियां
Hacker News की राय
Snowflake rendezvous के लिए domain fronting इस्तेमाल करता है[1]. डिजिटल दुनिया में यह कुछ ऐसा है जैसे कोई जासूस किसी अनजान दोस्त के घर में गुप्त बैठक रखे, और अंत में उस दोस्त के लिए हमेशा बुरा नतीजा निकले
इस तकनीक का malicious actors काफी इस्तेमाल करते हैं, और कुछ cloud providers इसे default रूप से block भी करते हैं[2]. जब Signal ने इसे व्यापक रूप से deploy करने की कोशिश की, तो AWS ने कड़ी चेतावनी भेजी कि ईरान या चीन जैसे देश पूरा AWS ही block कर सकते हैं[3]
Domain fronting कोई master key नहीं है. Signal और Tor को cloud providers द्वारा domain fronting रोकने पर—या ज्यादा सटीक कहें तो, ऐसी functionality को support करना बंद करने पर जो मूल रूप से उस तरह काम करने के लिए intended नहीं थी—समस्याएं आईं, लेकिन इसे किसी चीज़ को बाधित करने की मंशा कहना मुश्किल है. “Load balancer को configured domain से मेल खाने वाला certificate देने के लिए बनाना” अपने-आप में कोई समस्याग्रस्त feature नहीं है
Domain fronting इतना सरल है कि एक openssl call और nginx server ही काफी हैं, और इसे तोड़ना भी इतना आसान है कि बस certificate को वास्तव में verify करना होता है. ऐसे certificate self-signed होते हैं या किसी ऐसी मनमानी certificate authority chain का हिस्सा होते हैं जिस पर असली systems trust नहीं करेंगे
यह “किसी अनजान दोस्त के घर में गुप्त बैठक रखने वाले जासूस” जैसा कम, और Brazil में किसी random warehouse के सामने “White House, अमेरिकी राष्ट्रपति का घर, प्रवेश निषेध” वाला sign लगाने जैसा ज्यादा है
जो software domain fronting से धोखा खाता है, वह certificate और validity की परवाह नहीं करता या उसमें bug है, इसलिए उसे patch किया जाना चाहिए. उनमें से कुछ security software हो सकते हैं, लेकिन अगर malicious actor सिर्फ कुछ readable strings से security software को भरोसा करने के लिए मूर्ख बना सकते हैं, तो domain fronting चिंताओं में भी छोटी चिंता है
Encrypted Client Hello, HTTPS server से client के पहले संपर्क तक को encrypt करने की ongoing कोशिश है
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
ECH ठीक है और domain fronting क्यों नहीं, तो समस्या यह है कि domain fronting में actual request बहुत देर से पता चलती है. यह this-thing.example के लिए normal request जैसी दिखती है, और आप उस request को handle करने की पूरी तैयारी कर चुके होते हैं, तभी अचानक “sorry, मैंने अपना मन बदल लिया, दरअसल मेरी request hidden-service.example के लिए है” जैसी स्थिति बन जाती है
ECH में connection पर निगरानी करने वाला attacker नहीं जानता, लेकिन हमें शुरू से पता होता है कि request hidden-service.example के लिए है, इसलिए हम गलत काम की तैयारी में समय बर्बाद नहीं करते
वे जितनी tyranny ला सकते हैं, उसकी भी कोई सीमा होगी न? आखिर में collateral damage इतना बड़ा हो सकता है कि वे censorship की कोशिश छोड़ दें. या फिर समाज इतना oppressive हो जाएगा कि लोग उसे स्वीकार नहीं कर पाएंगे
यह एक सामान्य guard relay है, यानी ऐसा relay जो Tor circuit का पहला hop block होने पर Tor users को Tor से connect करने देता है, और domain fronting और WebRTC इस्तेमाल करता है
default में दी गई German translation के आधार पर wording काफी confusing थी. Target को भी WebRTC support करना होता है, इसलिए सिर्फ browser के अंदर proxy से किसी भी arbitrary HTTP(S) website तक पहुंचा नहीं जा सकता; traffic लेने और आगे भेजने के लिए फिर भी कोई दूसरा server चाहिए जो WebRTC connection accept करे. मुख्य बात, जो article में नहीं कही गई, इस दूसरे server तक indirect तरीके से connect कराना है
यह तो यहां तक कहता है कि censored website पर जाने के लिए software की जरूरत नहीं है
यह शायद उन users को समझाने की कोशिश है जिन्हें यह भ्रम हो सकता है कि Snowflake को proxy या VPN app की तरह कैसे install करना है
सीधे quote करें तो काफी स्पष्ट है: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
अगर आपके देश में Tor गैरकानूनी है, तो उसे इस्तेमाल करने की कोशिश करना ही काफी जोखिम भरा लगता है। कोई भी Snowflake proxy चला सकता है, इसलिए कनेक्ट करने वाले IP address को रिकॉर्ड करना बहुत आसान है। तब हर बार कनेक्ट करना सुरक्षित बच निकलने की घटती संभावना वाला एक जुआ बन जाता है
Technical Overview[0] को सरसरी तौर पर देखने पर भी ऊपर बताए जोखिम को कम करने वाली कोई बात नहीं दिखती
Snowflake का उद्देश्य Tor इस्तेमाल की पहचान रोकना नहीं, बल्कि Tor block को bypass करना लगता है। इसके लिए यह domain fronting और WebRTC का उपयोग करता है
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
हालांकि Tor Project लगातार इस बात पर जोर देता है कि pluggable transports सभी censorship bypass के लिए हैं, steganography के लिए नहीं। इन्हें ब्लॉक करना मुश्किल है, लेकिन ये network operator को यह पता लगाने से नहीं रोकते कि user Tor से कनेक्ट हो रहा है। आखिर में यह user को तय करना है कि वह यह जोखिम उठा सकता है या नहीं
“नीचे Snowflake चालू करके browser tab खुला छोड़ दें, तो users नए proxy के जरिए कनेक्ट कर सकते हैं!”—क्या मैंने इसे सही समझा है, यह भी पक्का नहीं
अगर मैं अपनी website में iframe डाल दूं, तो क्या Tor users का traffic visitors के IP के जरिए tunnel होगा? relay.love पर consent कैसे handle होता है? क्या मेरी website के visitors का IP Tor exit node जैसा दिखेगा?
उस example में शुरू करने से पहले user consent लिया जाता है
हालांकि यह mechanism JavaScript के जरिए arbitrary remote sockets बनाने की अनुमति नहीं देता। यह केवल उन servers से communicate कर सकता है जो WebRTC/WebSockets का कोई version इस्तेमाल करते हैं, या ऐसी plaintext services से जो extra protocol overhead को garbage मानकर ignore करती हैं और बाकी parse करती हैं। कुछ IRC servers और WebSockets अच्छे example हैं
Technical overview में दिखता है कि लोग P2P technology से user के browser से connect करते हैं, और browser WebSockets के जरिए सामान्य Tor entry point की भूमिका निभाने वाले WebSocket server से communicate करता है
पुराने “YouTube पर files store करना”[0] की याद आती है, और सोचता हूं कि यही concept Zoom जैसे व्यापक रूप से इस्तेमाल होने वाले voice conferencing solution पर लागू करें तो कितनी bandwidth मिल सकती है
अगर असली call के दौरान video steganography जैसे तरीके से data transmit किया जा सके ताकि वह और natural तरीके से mix हो जाए, तो और भी अच्छा होगा
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
UK government कहती है कि यह सिर्फ regulator का function है, लेकिन OSB ऐसा पढ़ता है मानो यह UK में इस्तेमाल हो सकने के आधार पर borders के बाहर तक extend होगा
पता नहीं यह कितना नया है, लेकिन users का सिर्फ iframe toggle या browser extension install करके node hosting कर पाना बहुत बढ़िया है। यह भी जानना चाहूंगा कि इस तरीके में CLI version की तुलना में bandwidth limit काफी कम है या नहीं
एक standalone Go version भी है जिसे server पर deploy किया जा सकता है[0]
कहा गया है कि “standalone Snowflake proxy के मुख्य फायदों में से एक यह है कि इसे server पर install किया जा सकता है, और यह restrictive NAT और firewall के पीछे मौजूद users को higher bandwidth और ज्यादा stable option देता है”
[0] https://community.torproject.org/relay/setup/snowflake/stand...
इसे install कर लिया है और number बढ़ते देखना अच्छा लगता है। number बड़ा होना = dopamine
Scandinavia में पैदा होना किस्मत की बात थी, और अभी internet censorship practically 0 है
वही बात उन लोगों पर भी लागू होती है जो cryptocurrency से पैसा कमाते हैं और उसे apartment loan के collateral के तौर पर इस्तेमाल करना चाहते हैं, या foreign legal online casino winnings transfer करना चाहते हैं, या Norway authorities को नापसंद होने की वजह से DNS-blocked websites access करना चाहते हैं। Technologists आसानी से bypass कर सकते हैं, लेकिन government और politicians द्वारा power का दुरुपयोग और individual freedom को सीमित करना पहले ही शुरू हो चुका है और बढ़ रहा है
जब यह “ज्यादातर लोगों” को प्रभावित करना शुरू करता है, तो उसे वापस पलटना आम तौर पर कहीं ज्यादा मुश्किल होता है। Norwegian government पहले ही mass electronic surveillance की अनुमति देने वाला law pass कर चुकी है, और government records तक public access भी सीमित करना चाहती है। EU के ज्यादातर हिस्सों की तरह यह left-wing “social democracy”, यानी bureaucratic dictatorship की ओर बहुत फिसलन भरी ढलान है। लोगों को आंखें खोलकर अभी government overreach के खिलाफ खड़ा होना चाहिए
जितने भी Tor IP मिल सकें, उन सभी को ब्लॉक कर देते हैं। क्योंकि इन servers से आने वाले Burp Suite spam के 99% से निपटने के लिए न समय है, न धैर्य। यह बहुत सस्ता और असरदार समाधान है
https://check.torproject.org/torbulkexitlist