Tor Snowflake: Engellenen bölgelerde Tor bağlantısına yardımcı olan sansür aşma aracı
(snowflake.torproject.org)- Snowflake, Tor’un engellendiği bölgelerdeki kullanıcıların Tor ağına bağlanmasına yardımcı olan bir sansür aşma aracıdır ve Tor Browser, Orbot, Ricochet-Refresh gibi Tor tabanlı uygulamalarda kullanılabilir
- Kullanıcılar uygulama ayarlarından Snowflake’i seçerek bağlantıyı gönüllü proxy’ler üzerinden yönlendirebilir; tarayıcıya ayrıca eklenti kurmaları gerekmez
- Snowflake, WebRTC kullanarak Tor trafiğinin görüntülü veya sesli arama gibi görünmesini sağlar ve böylece sansür uygulayanların tespitini zorlaştırır
- Gönüllüler Firefox, Chrome ve Edge eklentilerini açarak bant genişliği sağlayabilir; sayfada 127.599 Snowflake çalıştığı gösterilmektedir
- Eklenti, sansürü aşmak isteyen kullanıcılar için değil, başkalarının Tor erişimine yardımcı olmak isteyenlerin kurduğu bir proxy sağlama aracıdır
Tor uygulamalarında Snowflake kullanma
- Snowflake, Tor’un engellendiği ağlarda bile Tor’a erişim sağlayan bir sansür aşma teknolojisidir
- Tor tabanlı uygulamalara gömülüdür; bağlantı engellendiğinde uygulama ayarlarından Snowflake seçilerek engel aşılabilir
- Tor Browser: Masaüstü ve Android desteği, Tor Project tarafından geliştirilir
- Orbot: Android ve iOS desteği, Guardian Project tarafından geliştirilir
- Ricochet-Refresh: Masaüstü desteği, Blueprint for Free Speech tarafından geliştirilir
- Sansürü aşmak isteyen kullanıcıların Tor Browser veya Orbot gibi Tor tabanlı uygulamaları indirip Snowflake’i etkinleştirmesi yeterlidir
- Tarayıcı eklentisi doğrudan engeli aşmak için değil, diğer kullanıcıların bağlantısını aktaran gönüllü proxy aracıdır
Gönüllü proxy’ler ve aşma yöntemi
- Gönüllüler tarayıcı eklentisini kurup etkinleştirerek Snowflake proxy’si sağlayabilir
- Simge yeşile döndüğünde, engellenmiş bir kullanıcının ilgili eklentiye bağlı olduğu anlamına gelir
- Firefox için kurulum
- Chrome için kurulum
- Edge için kurulum
- Snowflake, sansür olmayan ülkelerdeki gönüllü proxy’ler üzerinden Tor ağına erişim sağlar
- VPN gibi internet sansürünü aşmaya yardımcı olur; ancak trafiği görüntülü ya da sesli arama gibi kamufle etmesi onu farklı kılar
- Temel teknoloji, görüntülü konferans yazılımlarında yaygın olarak kullanılan WebRTC’dir ve Tor kullanım izlerini sesli/görüntülü arama gibi gösterir
- Snowflake, Pluggable Transports ailesine ait görece yeni bir aşma teknolojisidir ve sürekli geliştirilmektedir
- Pluggable Transports, Tor köprü trafiğini sıradan bağlantı gibi göstererek bunun Tor erişimi olmadığını düşündürür
- Snowflake görüntülü arama gibi, meek-azure Microsoft bağlantısı gibi, WebTunnel ise standart HTTPS bağlantısı gibi görünür
- Bu tür kamuflajlar, sansür uygulayanların aşma araçlarını engellemek için internetin büyük bir bölümünü de birlikte engellemesini gerektirir ve engellemenin maliyetini yükseltir
- Teknik yapı technical overview sayfasında incelenebilir; uygulamalarda Snowflake kullanmak isteyenler anti-censorship team ile iletişime geçebilir
1 yorum
Hacker News görüşleri
Snowflake, buluşma için domain fronting kullanıyor[1]. Dijital dünyada, bir casusun hiçbir şeyden haberi olmayan bir arkadaşının evinde gizli toplantı düzenlemesine benziyor; sonunda da o arkadaş için her zaman kötü sonuçlanıyor.
Bu teknik kötü niyetli aktörler tarafından sıkça kullanılıyor ve bazı bulut sağlayıcıları bunu varsayılan olarak engelliyor[2]. Signal bunu geniş ölçekte dağıtmaya çalışınca AWS, İran veya Çin gibi ülkelerin AWS'in tamamını engelleyebileceği endişesiyle güçlü bir uyarı göndermişti[3].
Domain fronting her kapıyı açan bir anahtar değil. Signal ve Tor, bulut sağlayıcıları domain fronting'i engelleyince; daha doğrusu aslında o şekilde çalışması amaçlanmamış bir özelliği artık desteklemeyince sorun yaşadı. Ama bunun bir şeyi engelleme niyetiyle yapıldığını söylemek zor. “Load balancer'ın, yapılandırılmış domaine uygun sertifikayı sunmasını sağlamak” kendi başına sorunlu bir özellik değil.
Domain fronting, bir openssl çağrısı ve bir nginx sunucusuyla yapılabilecek kadar basit; kırılması da sertifikayı gerçekten doğrulamak kadar kolay. Bu tür sertifikalar ya self-signed olur ya da gerçek sistemin güvenmeyeceği rastgele bir sertifika otoritesi zincirine ait olur.
Bu, “hiçbir şeyden haberi olmayan arkadaşının evinde gizli toplantı yapan casus”tan ziyade, Brezilya'daki rastgele bir deponun önüne “Beyaz Saray, ABD başkanının evi, giriş yasaktır” tabelası koymaya daha çok benziyor.
Domain fronting'e kanan yazılımlar sertifika ve geçerliliğe dikkat etmiyordur ya da yamalanması gereken bir hatası vardır. Bunların bir kısmı güvenlik yazılımı olabilir; ama kötü niyetli bir aktör yalnızca birkaç okunabilir string ile güvenlik yazılımını kandırıp kendine güvendirebiliyorsa, domain fronting endişeler arasında küçük olanlardan biridir.
Encrypted Client Hello, istemcinin bir HTTPS sunucusuyla ilk temasını bile şifrelemeye yönelik devam eden bir çalışma.
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
ECH neden sorun değil de domain fronting neden sorun derseniz: domain fronting'de asıl isteği çok geç öğrenmek problem. this-thing.example için normal bir istek gibi görünüyor, o isteği işlemeye hazırlanıyorsunuz; sonra birden “kusura bakma, fikrimi değiştirdim, aslında isteğim hidden-service.example içindi” durumuna dönüşüyor.
ECH'de bağlantıyı gözetleyen saldırgan bunu bilmez, ama biz isteğin en baştan hidden-service.example'a yönelik olduğunu bildiğimiz için yanlış işe hazırlanarak zaman kaybetmeyiz.
Uygulayabilecekleri zorbalığın da bir sınırı yok mu? Sonunda yan hasar o kadar büyür ki sansür girişiminden vazgeçebilirler. Ya da toplum, insanların kabul edemeyeceği kadar baskıcı bir hâle gelir.
Bu, normal guard relay'ler, yani Tor devresinin ilk hop'u engellendiğinde Tor kullanıcılarının Tor'a bağlanabilmesini sağlayan bir relay; domain fronting ve WebRTC kullanıyor.
Varsayılan olarak sunulan Almanca çeviriye göre ifade epey kafa karıştırıcıydı. Hedefin de WebRTC desteklemesi gerektiğinden, tarayıcı içindeki proxy ile rastgele bir HTTP(S) web sitesine erişemezsiniz; trafiği kabul edip iletecek başka bir sunucuya hâlâ ihtiyaç vardır. Asıl nokta, yazıda söylenmese de bu diğer sunucuya dolaylı olarak bağlanabilmeyi sağlamasıdır.
Hatta sansürlenmiş web sitelerini ziyaret etmek için yazılıma gerek olmadığını söylüyor.
Snowflake'i bir proxy ya da VPN uygulaması gibi nasıl kurması gerektiğini karıştıran kullanıcılara çalışma şeklini anlatmaya çalışıyor gibi görünüyor.
Doğrudan alıntılayınca oldukça net: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
Kendi ülkenizde Tor yasa dışıysa, kullanmayı denemenin kendisi bile epey riskli görünüyor. Herkes Snowflake proxy’si çalıştırabildiğine göre, bağlanan IP adreslerini kaydetmek çok kolay. O zaman her bağlantıda güvende kalma ihtimaliniz azalan bir kumar hâline geliyor
Technical Overview[0]’a göz gezdirince de yukarıda bahsedilen riski azaltan bir şey görünmüyor
Snowflake’in amacı Tor kullanımının tespit edilmesini engellemek değil, Tor engellemesini aşmak gibi görünüyor. Bunun için domain fronting ve WebRTC’den yararlanıyor
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
Ancak Tor Project, takılabilir taşıma yöntemlerinin tamamının sansürü aşma amacı taşıdığını, steganografi amacı taşımadığını tutarlı biçimde vurguluyor. Engellemesi zordur; ama bir ağ operatörünün kullanıcının Tor’a bağlandığını anlamasını tamamen engellemez. Sonuçta bu riski alıp alamayacağına kullanıcı karar vermeli
“Aşağıdaki Snowflake’i açıp tarayıcı sekmesini açık bırakırsanız, kullanıcılar yeni proxy üzerinden bağlanabilir!” ifadesini doğru anlayıp anlamadığımdan da emin değilim
Web siteme iframe koyarsam Tor kullanıcılarının trafiği ziyaretçinin IP’si üzerinden mi tünelleniyor? relay.love’da onay nasıl işleniyor? Web sitemin ziyaretçisinin IP’si Tor çıkış düğümü gibi mi görünür?
Söz konusu örnek, başlamadan önce kullanıcı onayı alıyor
Ancak bu mekanizma JavaScript üzerinden rastgele uzak soketler oluşturmayı mümkün kılmıyor. Yalnızca WebRTC/WebSockets’in bir sürümünü kullanan sunucularla ya da ek protokol yükünü çöp sayıp geri kalanını ayrıştıran düz metin servislerle iletişim kurabilirsiniz. Bazı IRC sunucuları ve WebSockets buna iyi örnekler
Teknik genel bakışta görüldüğü gibi, insanlar P2P teknolojisiyle kullanıcının tarayıcısına bağlanıyor; tarayıcı da WebSockets üzerinden, normal Tor giriş noktası görevi gören WebSocket sunucusuyla iletişim kuruyor
Eski “YouTube’a dosya kaydetme”[0] işini hatırlatıyor; aynı kavram Zoom gibi yaygın kullanılan sesli toplantı çözümlerine uygulansa ne kadar bant genişliği elde edilebileceğini merak ediyorum
Daha doğal karışması için gerçek bir görüşme sırasında video steganografisi gibi bir yöntemle veri aktarılabilse daha da iyi olurdu
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
Birleşik Krallık hükümeti bunun yalnızca düzenleyicinin işlevi olduğunu söylüyor; ama OSB, Birleşik Krallık’ta kullanılabilir olması gerekçesiyle sınırların dışına kadar uzanacakmış gibi okunuyor
Bunun ne kadar yeni olduğunu bilmiyorum; ama kullanıcıların yalnızca iframe anahtarını açarak ya da tarayıcı eklentisi kurarak düğüm barındırabilmesi çok hoş. Bu yöntemde bant genişliği sınırının CLI sürümüne göre çok daha düşük olup olmadığını da merak ediyorum
Sunucuya dağıtılabilen bağımsız bir Go sürümü de var[0]
“standalone Snowflake proxy’sinin başlıca avantajlarından biri, sunuculara kurulabilmesi ve kısıtlayıcı NAT ile güvenlik duvarlarının arkasındaki kullanıcılara daha yüksek bant genişliği ve daha kararlı bir seçenek sunmasıdır” deniyor
[0] https://community.torproject.org/relay/setup/snowflake/stand...
Kurdum ve sayının arttığını görmek hoşuma gidiyor. Sayı büyüyor = dopamin
İskandinavya’da doğmuş olmak şanstı; şu anda internet sansürü fiilen 0
Kripto paradan para kazanıp bunu daire kredisi için teminat olarak kullanmak isteyen biri, yurt dışındaki yasal çevrimiçi casino kazancını aktarmak isteyen biri ya da Norveç makamlarının hoşlanmayıp DNS engeli koyduğu web sitelerine erişmek isteyen biri için de aynı şey geçerli. Teknik kişiler bunu kolayca aşabilir; ama hükümetin ve siyasetçilerin yetkilerini kötüye kullanıp bireysel özgürlükleri kısıtlaması çoktan başladı ve büyüyor
“Çoğu insanı” etkilemeye başladığında geri çevirmek genelde çok daha zor olur. Norveç hükümeti şimdiden geniş çaplı elektronik gözetlemeye izin veren bir yasa geçirdi ve kamu kayıtlarına halkın erişimini de sınırlamaya çalışıyor. AB’nin büyük kısmında olduğu gibi sol tarzı “sosyal demokrasi”, yani bürokratik diktatörlüğe doğru çok kaygan bir yokuş. İnsanlar gözlerini açmalı ve hükümetin mevcut aşırı müdahalesine şimdi karşı çıkmalı
Bulunabilen tüm Tor IP’lerini engelliyorlar. Çünkü bu sunuculardan gelen Burp Suite spam’inin %99’uyla uğraşacak ne zamanları ne de sabırları var. Çok ucuz ve etkili bir çözüm
https://check.torproject.org/torbulkexitlist