por meskio e shelikhoo | 3 de dezembro de 2025
Dos apagões da Internet no Irão à evolução das tácticas de censura da Rússia, 2025 testou as ferramentas anti-censura do Tor como nunca antes. Estes são os momentos em que o trabalho da equipe anticensura do Tor é mais importante do que nunca, para cumprir a nossa missão de preservar a conectividade entre os usuários nas regiões afetadas e o resto do mundo.
Nesta postagem do blog, queremos falar sobre o que aprendemos, como nos adaptamos e o que outros usuários da Internet podem fazer para manter os usuários do Tor conectados.
Irã
Em Junho, durante a guerra entre o Irão e Israel, a censura no Irão intensificou-se até ao ponto em que a Internet ficou desligada durante alguns dias. Presumivelmente para impedir a comunicação relacionada com a espionagem e, ao mesmo tempo, consolidar o poder político.
Monitorando o cenário da censura
Durante este período, monitorizámos constantemente a situação utilizando o nosso sistema de observação regional. Este sistema de observação é uma rede de locais de monitorização dentro do Irão que fornece informações mais recentes e precisas sobre a censura do que as disponíveis nos dados públicos.
Um exemplo claro são os dados frontais de domínio. A frente de domínio é uma técnica que faz com que o tráfego do Tor se pareça com outros sites populares e mais difíceis de bloquear (como os principais serviços em nuvem). Para determinar quais configurações de front-end de domínio apresentam melhor desempenho na maioria dos locais, implantamos uma ferramenta de teste automatizada que detecta e relata a acessibilidade do corretor Snowflake e do serviço Moat para cada configuração de front-end de domínio em cada um de nossos pontos de vantagem. Essas informações são então agregadas pelo coletor de log e posteriormente usadas para monitorar as configurações de fronte de domínio atualmente em uso e para selecionar as configurações a serem usadas no futuro.
Fortalecendo o floco de neve
Snowflake é a ferramenta de ofuscação de tráfego de rede mais usada no Irã. Durante o ano passado, temos trabalhado para melhorá-lo para garantir que permaneça forte e acessível aos usuários.
Atualizamos a extensão da web para o Manifest Versão 3 (o padrão de extensão de navegador mais recente), para ser compatível com navegadores modernos. Melhoramos a lógica de verificação de NAT que nos ajuda a descobrir que tipo de configuração de rede cada usuário possui. Dessa forma, os proxies são atribuídos aos clientes com mais precisão, dependendo das capacidades de sua rede. E aprimoramos as métricas relatadas pelo proxy autônomo, fornecendo melhores ferramentas para os operadores de proxy auxiliarem no que está acontecendo com seus proxies.
Nos bastidores, criamos um servidor de teste para o Snowflake, portanto, temos uma infraestrutura robusta para testar novos recursos, garantindo que sejam adequados para implantação real. Isto nos ajudará a trazer grandes mudanças no próximo ano para melhorar a eficiência do protocolo onde as redes são gravemente interrompidas e para criar melhores mecanismos para evitar que os censores bloqueiem o Snowflake.
Implantando o Conjure
Agências de censura como as do Irã muitas vezes tentam bloquear pontes obtendo informações sobre pontes em massa e, em seguida, inserindo o endereço de rede dessas pontes em seus gateways de censura para bloqueá-las. É por isso que desenvolvemos o Conjure.
O Conjure é um transporte conectável projetado para ficar à frente do bloqueio baseado em listagem de proxy, aproveitando o espaço de endereço não utilizado nas redes ISP cooperantes, limitando assim os danos causados pelo bloqueio de endereços de rede individuais. Pense nisso como o ato de gerar endereços de e-mail temporários para evitar e-mails de spam, certificando-se de que o endereço seja temporário e fácil de regenerar, qualquer coisa bloqueada nesse endereço não afetará sua capacidade de obter novos.
Estamos trabalhando na distribuição do Conjure em locais com forte censura. Para dificultar a tarefa dos censores, melhoramos a implementação do Conjure no Tor, estendendo os protocolos usados tanto para inicializar a conexão quanto para transportar os dados. Adicionamos vários métodos de registro (DNS e AMP-cache), tornando o bootstrap da conexão conjure mais resistente à censura e a conexão parecerá que o usuário está se conectando a um serviço amplamente utilizado. Também integramos transportes adicionais do upstream (DTLS e prefixo) que fazem com que o tráfego do Tor pareça protocolos comuns – ou seja, tráfego regular da Internet.
Rússia
Outra região que passou por muitas mudanças este ano é a Rússia. Com conflitos e atritos contínuos, a censura na Internet intensificou-se, incluindo o aumento da censura baseada em listas de permissões e a censura baseada em blocos de endereços.
No ano passado, apresentamos o WebTunnel como um novo transporte conectável. Vimos este ano como o WebTunnel se tornou uma ferramenta fundamental para usuários na Rússia, graças à sua capacidade de se misturar ao tráfego regular da web. À medida que a gravidade da censura na Rússia aumentou, o WebTunnel também recebeu várias correções, como imitação de SNI e suporte seguro a certificados não-WebPKI com fixação de cadeia de certificados para garantir que possa suportar mais tipos de censura, incluindo lista de permissões SNI e bloqueio rápido de pontes distribuídas.
Muitas dessas melhorias vêm de voluntários ou são moldadas pelo feedback dos usuários. Nossa comunidade de usuários e apoiadores torna todo esse trabalho possível e nos ajuda a permanecer à frente no Tor. Graças à nossa equipe da comunidade Tor, temos insights em primeira mão sobre o que funciona e o que não funciona. Isso nos dá acesso à melhor informação da região. Além disso, por meio do trabalho da equipe comunitária com as pessoas no local, recebemos suporte para testar e identificar a melhor tecnologia para cada cenário de censura.
Experimentando distribuição de ponte
Quando começamos a distribuir pontes WebTunnel em dezembro, elas eram uma ferramenta muito útil para conectar-se ao Tor. Eles funcionaram bem por meses, e os usuários do navegador Tor os configuraram automaticamente pelo Connect Assist se estivessem localizados na Rússia. No entanto, em junho, os censores russos começaram a listar a maioria das nossas pontes WebTunnel, o que nos levou a mudar de estratégia.
Na história recente, o nosso distribuidor Telegram provou ser uma ferramenta útil na Rússia, já que o censor tem mais dificuldade em extrair todas as pontes dele. É por isso que adicionamos suporte para WebTunnel em nosso distribuidor Telegram. Estamos sempre tentando encontrar nossos usuários onde eles estão e, embora o Telegram possa não ser o lugar mais seguro para suas comunicações online, muitos usuários na Rússia já o utilizam. E não é útil apenas para usuários russos, mas também para os iranianos que atualmente usam pontes webtunnel distribuídas pelo Telegram.
Todas essas mudanças rápidas na distribuição de pontes são possíveis graças ao rdsys, o novo sistema de distribuição de pontes do Tor que lançamos no ano passado. Este ano continuamos melhorando o rdsys adicionando um servidor de teste, para que possamos testá-lo em ambientes semelhantes aos usados na produção. Para nossos usuários censurados, isso significa que, quando novos e atualizados recursos anticensura chegarem, já conseguiremos corrigir muitos problemas de estabilidade.
Para onde vamos a partir daqui?
Apoiar nossos usuários para continuarem lutando contra a censura é o objetivo do nosso trabalho. Tornando possível conectar-se à rede Tor em redes censuradas – sejam elas quais forem. Quer seja a sua universidade, o seu provedor de serviços de Internet ou o seu governo tentando impedi-lo de obter as informações a que tem direito. No próximo ano começaremos a lançar o Conjure, continuaremos melhorando o WebTunnel e prepararemos o Snowflake para os próximos grandes eventos de censura.
Você também pode nos ajudar a combater a censura hoje, compartilhando sua largura de banda e executando seu próprio Snowflake. A maneira mais fácil é instalar um plugin snowflake em seu navegador para ajudar outras pessoas a acessar a rede Tor. E se você tiver um site, considere executar uma ponte webtunnel.
Fonte: theverge
