Tor Snowflake: alat anti-sensor untuk membantu koneksi ke Tor di wilayah yang diblokir
(snowflake.torproject.org)- Snowflake adalah alat anti-sensor yang membantu pengguna di wilayah tempat Tor diblokir agar bisa terhubung ke jaringan Tor, dan dapat digunakan di aplikasi berbasis Tor seperti Tor Browser, Orbot, dan Ricochet-Refresh
- Pengguna dapat memilih Snowflake di pengaturan aplikasi untuk merutekan koneksi melalui proxy relawan, tanpa perlu memasang add-on browser secara langsung
- Snowflake memanfaatkan WebRTC agar trafik Tor terlihat seperti panggilan video atau suara, sehingga lebih sulit dideteksi oleh penyensor
- Relawan dapat menyalakan add-on untuk Firefox, Chrome, dan Edge guna menyediakan bandwidth, dan halaman tersebut menampilkan bahwa 127.599 Snowflake sedang beroperasi
- Add-on ini bukan alat untuk pengguna yang ingin melewati sensor secara langsung, melainkan alat penyedia proxy yang dipasang oleh orang yang ingin membantu akses Tor orang lain
Menggunakan Snowflake di aplikasi Tor
- Snowflake adalah teknologi anti-sensor yang memungkinkan akses ke Tor bahkan di jaringan tempat Tor diblokir
- Teknologi ini sudah tertanam di aplikasi berbasis Tor, dan saat koneksi diblokir pengguna bisa memilih Snowflake di pengaturan aplikasi untuk melakukan bypass
- Tor Browser: mendukung Desktop dan Android, dibuat oleh Tor Project
- Orbot: mendukung Android dan iOS, dibuat oleh Guardian Project
- Ricochet-Refresh: mendukung Desktop, dibuat oleh Blueprint for Free Speech
- Pengguna yang ingin melewati sensor cukup mengunduh aplikasi berbasis Tor seperti Tor Browser atau Orbot lalu mengaktifkan Snowflake
- Add-on browser bukan alat untuk akses bypass langsung, melainkan proxy untuk relawan yang meneruskan koneksi pengguna lain
Proxy relawan dan cara bypass bekerja
- Relawan dapat menyediakan proxy Snowflake dengan memasang dan mengaktifkan add-on browser
- Jika ikonnya berubah menjadi hijau, berarti pengguna yang diblokir sedang terhubung ke add-on tersebut
- Pasang untuk Firefox
- Pasang untuk Chrome
- Pasang untuk Edge
- Snowflake memungkinkan akses ke jaringan Tor melalui proxy relawan di negara yang tidak mengalami sensor
- Seperti VPN, Snowflake membantu melewati sensor internet, tetapi ciri khasnya adalah menyamarkan trafik agar terlihat seperti panggilan video atau suara
- Teknologi dasarnya adalah WebRTC, yang umum digunakan pada perangkat lunak konferensi video, dan membuat jejak penggunaan Tor tampak seperti panggilan audio atau video
- Snowflake adalah teknologi bypass yang relatif baru dalam keluarga Pluggable Transports dan terus ditingkatkan
- Pluggable Transports membuat trafik bridge Tor terlihat seperti koneksi biasa sehingga tersamar seolah bukan akses ke Tor
- Snowflake dibuat agar tampak seperti panggilan video, meek-azure seperti koneksi Microsoft, dan WebTunnel seperti koneksi HTTPS standar
- Penyamaran seperti ini menaikkan biaya pemblokiran karena penyensor harus ikut memblokir bagian besar dari internet jika ingin memblokir alat bypass tersebut
- Struktur teknisnya dapat dilihat di technical overview, dan untuk menggunakan Snowflake di aplikasi Anda dapat menghubungi anti-censorship team
1 komentar
Pendapat di Hacker News
Snowflake menggunakan domain fronting untuk rendezvous[1]. Di dunia digital, ini seperti mata-mata mengadakan pertemuan rahasia di rumah teman yang tidak tahu apa-apa, dan pada akhirnya selalu berdampak buruk bagi teman itu
Teknik ini banyak dipakai pelaku jahat, dan sebagian penyedia cloud bahkan memblokirnya secara default[2]. Ketika Signal mencoba menerapkannya secara luas, AWS mengirim peringatan keras karena khawatir negara seperti Iran atau Tiongkok akan memblokir seluruh AWS[3]
Domain fronting bukan kunci serbaguna. Signal dan Tor memang mengalami masalah ketika penyedia cloud memblokir domain fronting—lebih tepatnya, ketika mereka tidak lagi mendukung fitur yang sejak awal tidak dimaksudkan untuk bekerja seperti itu—tetapi sulit melihatnya sebagai niat untuk mengganggu sesuatu. “Membuat load balancer menyajikan sertifikat yang cocok dengan domain yang dikonfigurasi” itu sendiri bukanlah fitur yang bermasalah
Domain fronting sangat sederhana, cukup dengan pemanggilan openssl dan server nginx, dan cara mematahkannya juga mudah: cukup benar-benar memverifikasi sertifikat. Sertifikat seperti ini biasanya self-signed atau berada dalam rantai otoritas sertifikat sembarang yang tidak akan dipercaya sistem sungguhan
Ini lebih mirip memasang papan bertuliskan “Gedung Putih, kediaman Presiden Amerika Serikat, dilarang masuk” di depan gudang acak di Brasil, daripada “mata-mata yang mengadakan pertemuan rahasia di rumah teman yang tidak tahu apa-apa”
Perangkat lunak yang tertipu oleh domain fronting berarti tidak memperhatikan sertifikat dan validitasnya, atau memiliki bug sehingga perlu ditambal. Sebagian di antaranya mungkin perangkat lunak keamanan, tetapi jika pelaku jahat bisa membuat perangkat lunak keamanan tertipu dan percaya hanya dengan beberapa string yang dapat dibaca, maka domain fronting termasuk kekhawatiran yang relatif kecil
Encrypted Client Hello adalah pekerjaan yang sedang berjalan untuk mengenkripsi bahkan kontak awal klien ke server HTTPS
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
Mengapa ECH oke sementara domain fronting tidak? Masalahnya, pada domain fronting, permintaan sebenarnya baru diketahui terlalu terlambat. Seolah terlihat seperti permintaan normal ke this-thing.example sehingga semuanya sudah disiapkan untuk menangani permintaan itu, lalu tiba-tiba menjadi “maaf, saya berubah pikiran, sebenarnya permintaan saya untuk hidden-service.example”
Dengan ECH, penyerang yang mengintip koneksi tidak tahu, tetapi kita sejak awal tahu bahwa permintaan ditujukan ke hidden-service.example, jadi kita tidak membuang waktu menyiapkan pekerjaan yang salah
Mungkin ada batas bagi tirani yang bisa mereka kerahkan? Pada akhirnya, kerusakan ikutan bisa menjadi terlalu besar sehingga mereka menyerah mencoba menyensor. Atau masyarakatnya akan menjadi begitu represif sampai orang-orang tidak bisa menerimanya
Ini adalah relay guard biasa, yaitu relay yang memungkinkan pengguna Tor tersambung ke Tor ketika hop pertama dalam sirkuit Tor diblokir, dan menggunakan domain fronting serta WebRTC
Berdasarkan terjemahan bahasa Jerman yang disediakan secara default, kalimatnya cukup membingungkan. Karena targetnya juga harus mendukung WebRTC, Anda tidak bisa mengakses situs web HTTP(S) sembarang hanya dengan proxy di dalam browser; tetap diperlukan server lain yang menerima koneksi WebRTC dan meneruskan trafik. Intinya, yang tidak disebutkan dalam tulisan, adalah memungkinkan koneksi tidak langsung ke server lain ini
Bahkan dikatakan bahwa untuk mengunjungi situs web yang disensor tidak diperlukan perangkat lunak
Tampaknya ini bertujuan menjelaskan cara kerjanya kepada pengguna yang bingung apakah Snowflake harus diinstal seperti aplikasi proxy atau VPN
Jika dikutip langsung, cukup jelas: “Unlike VPNs, you do not need to install a separate application to connect to a Snowflake proxy and bypass censorship. It is usually a circumvention feature embedded within existing apps.”
Jika Tor ilegal di negara Anda, upaya untuk menggunakannya saja tampak cukup berisiko. Karena siapa pun bisa menjalankan proxy Snowflake, mencatat alamat IP yang terhubung sangatlah mudah. Maka setiap kali terhubung, itu menjadi perjudian yang mengurangi peluang untuk tetap aman
Setelah menelusuri Technical Overview[0] pun, saya tidak melihat ada hal yang mengurangi risiko yang disebutkan di atas
Tujuan Snowflake tampaknya bukan mencegah deteksi penggunaan Tor, melainkan melewati pemblokiran Tor. Untuk itu, ia memanfaatkan domain fronting dan WebRTC
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
Namun Tor Project secara konsisten menekankan bahwa semua pluggable transport ditujukan untuk pengelakan sensor, bukan steganografi. Ini sulit diblokir, tetapi tidak sampai mencegah operator jaringan mengetahui bahwa pengguna sedang terhubung ke Tor. Pada akhirnya, pengguna harus menilai sendiri apakah ia bisa menerima risiko itu
Saya juga belum yakin apakah saya memahami dengan benar kalimat “Aktifkan Snowflake di bawah dan biarkan tab browser terbuka, maka pengguna dapat terhubung melalui proxy baru!”
Jika saya memasang iframe di situs web saya, apakah trafik pengguna Tor akan ditunnel melalui IP pengunjung? Bagaimana persetujuan ditangani di relay.love? Apakah IP pengunjung situs web saya akan terlihat sebagai node keluar Tor?
Contoh tersebut meminta persetujuan pengguna sebelum mulai
Namun mekanisme ini tidak memungkinkan pembuatan socket jarak jauh sembarang melalui JavaScript. Ia hanya bisa berkomunikasi dengan server yang memakai varian WebRTC/WebSockets tertentu, atau layanan plaintext yang mengabaikan overhead protokol tambahan sebagai sampah lalu mem-parsing sisanya. Beberapa server IRC dan WebSockets adalah contoh yang bagus
Seperti terlihat dalam ikhtisar teknis, orang menggunakan teknologi P2P untuk terhubung ke browser pengguna, lalu browser berkomunikasi melalui WebSockets dengan server WebSocket yang berperan sebagai titik masuk Tor biasa
Ini mengingatkan saya pada “menyimpan file di YouTube”[0] dulu, dan saya penasaran berapa banyak bandwidth yang bisa didapat jika konsep yang sama diterapkan pada solusi konferensi suara yang banyak dipakai seperti Zoom
Akan lebih baik lagi jika data bisa dikirim dengan cara seperti steganografi video selama panggilan sungguhan agar lebih alami membaur
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
Pemerintah Inggris mengatakan ini hanya fungsi regulator, tetapi OSB terbaca seolah-olah cakupannya meluas hingga ke luar perbatasan hanya karena bisa digunakan di Inggris
Saya tidak tahu seberapa baru ini, tetapi fakta bahwa pengguna bisa meng-host node hanya dengan toggle iframe atau memasang ekstensi browser itu sangat keren. Saya juga penasaran apakah pendekatan seperti ini memiliki batas bandwidth yang jauh lebih rendah dibanding versi CLI
Ada juga versi Go mandiri yang bisa dideploy di server[0]
Katanya, “salah satu keunggulan utama proxy Snowflake standalone adalah dapat dipasang di server, serta menyediakan opsi dengan bandwidth lebih tinggi dan lebih stabil bagi pengguna yang berada di balik NAT dan firewall yang membatasi”
[0] https://community.torproject.org/relay/setup/snowflake/stand...
Saya sudah memasangnya dan senang melihat angkanya naik. Angka naik = dopamin
Saya beruntung lahir di Skandinavia, dan saat ini sensor internet praktis nol
Begitu juga orang yang menghasilkan uang dari kripto dan ingin memakainya sebagai agunan kredit apartemen, orang yang ingin mentransfer pendapatan dari kasino online legal di luar negeri, atau orang yang ingin mengakses situs web yang dibenci otoritas Norwegia lalu diblokir DNS. Teknisi bisa dengan mudah mengakalinya, tetapi penyalahgunaan wewenang oleh pemerintah dan politisi serta pembatasan kebebasan individu sudah dimulai dan terus membesar
Ketika mulai berdampak pada “kebanyakan orang”, biasanya jauh lebih sulit untuk dibalikkan. Pemerintah Norwegia sudah mengesahkan undang-undang yang mengizinkan pengawasan elektronik berskala besar, dan juga berupaya membatasi akses publik ke catatan pemerintah. Seperti sebagian besar UE, ini adalah lereng yang sangat licin menuju “demokrasi sosial” ala kiri, yaitu kediktatoran birokratis. Orang-orang harus membuka mata dan melawan campur tangan pemerintah yang berlebihan sekarang juga
Memblokir semua IP Tor yang bisa ditemukan. Alasannya, tidak punya waktu maupun kesabaran untuk menangani 99% spam Burp Suite yang datang dari server-server ini. Ini solusi yang sangat murah dan efektif
https://check.torproject.org/torbulkexitlist