Czy Tor jest naprawdę anonimowy i bezpieczny?
Niektórzy uważają, że Tor jest całkowicie anonimowym, prywatnym i bezpiecznym sposobem na uzyskanie dostępu do Internetu bez możliwości monitorowania twojego przeglądania i śledzenia go - ale czy tak jest? To nie jest takie proste.
Tor nie jest idealnym rozwiązaniem anonimowości i prywatności. Ma kilka ważnych ograniczeń i zagrożeń, które powinieneś wiedzieć, jeśli zamierzasz z niego korzystać.
Węzły wyjściowe mogą być wciągane
Przeczytaj naszą dyskusję o tym, jak działa Tor, aby dowiedzieć się, w jaki sposób Tor zapewnia swoją anonimowość. Podsumowując, kiedy używasz Tora, twój ruch internetowy jest kierowany przez sieć Tora i przechodzi przez kilka losowo wybranych przekaźników przed opuszczeniem sieci Tora. Tor jest zaprojektowany w taki sposób, że teoretycznie niemożliwe jest ustalenie, który komputer faktycznie zażądał ruchu. Twój komputer mógł zainicjować połączenie lub może po prostu działać jako przekaźnik, przekazując ten zaszyfrowany ruch do innego węzła Tora.
Jednak większość ruchu Tora musi ostatecznie wyjść z sieci Tora. Załóżmy na przykład, że łączysz się z Google za pośrednictwem Tora - Twój ruch przechodzi przez kilka przekaźników Tora, ale musi ostatecznie wyjść z sieci Tora i połączyć się z serwerami Google. Ostatni węzeł Tora, w którym twój ruch opuszcza sieć Tora i wchodzi do otwartego Internetu, może być monitorowany. Ten węzeł, w którym ruch wychodzi z sieci Tora, jest nazywany "węzłem wyjściowym" lub "przekaźnikiem wyjściowym".
Na poniższym diagramie czerwona strzałka reprezentuje nieszyfrowany ruch między węzłem wyjściowym a "Bobem", komputerem w Internecie.
Jeśli uzyskujesz dostęp do witryny zaszyfrowanej (HTTPS), takiej jak konto Gmail, jest to w porządku - mimo że węzeł wyjściowy widzi, że łączysz się z Gmailem. jeśli uzyskujesz dostęp do niezaszyfrowanej strony internetowej, węzeł wyjściowy może monitorować Twoją aktywność w Internecie, śledzić odwiedzane strony internetowe, wyszukiwane hasła i wysyłane wiadomości.
Ludzie muszą zgodzić się na uruchamianie węzłów wyjściowych, ponieważ uruchamianie węzłów wyjściowych naraża je na większe ryzyko prawne niż uruchamianie węzła przekaźnikowego przekazującego ruch. Jest prawdopodobne, że rządy uruchamiają niektóre węzły wyjściowe i monitorują ruch, który je opuszcza, wykorzystując to, czego uczą się w celu zbadania przestępców lub, w represyjnych krajach, karania działaczy politycznych.
To nie jest teoretyczne ryzyko. W 2007 r. Analityk bezpieczeństwa przechwycił hasła i wiadomości e-mail dla setek kont e-mail, uruchamiając węzeł wyjściowy Tora. Użytkownicy, o których mowa, popełnili błąd polegający na tym, że nie używali szyfrowania w swoich systemach pocztowych, wierząc, że Tor w jakiś sposób ochroni je za pomocą wewnętrznego szyfrowania. Ale tak nie działa Tor.
Lekcja: Korzystając z Tora, pamiętaj, aby używać stron internetowych zaszyfrowanych (HTTPS) w przypadku jakichkolwiek newralgicznych danych. Pamiętaj, że Twój ruch może być monitorowany - nie tylko przez rządy, ale przez złośliwych ludzi szukających prywatnych danych.
JavaScript, wtyczki i inne aplikacje mogą przeciekać Twoje IP
Pakiet przeglądarki Tor, który omówiliśmy, kiedy wyjaśniliśmy, jak korzystać z Tora, jest wstępnie skonfigurowany z bezpiecznymi ustawieniami. JavaScript jest wyłączony, wtyczki nie mogą działać, a przeglądarka wyświetli ostrzeżenie, jeśli spróbujesz pobrać plik i otworzyć go w innej aplikacji.
JavaScript zazwyczaj nie stanowi zagrożenia dla bezpieczeństwa, ale jeśli próbujesz ukryć swój adres IP, nie chcesz używać JavaScript. Silnik JavaScript przeglądarki, wtyczki takie jak Adobe Flash i zewnętrzne aplikacje, takie jak Adobe Reader czy nawet odtwarzacz wideo, mogą potencjalnie "przeciekać" twój prawdziwy adres IP do strony internetowej, która próbuje ją zdobyć.
Pakiet przeglądarki Tor omija wszystkie te problemy z domyślnymi ustawieniami, ale możesz wyłączyć te zabezpieczenia i korzystać z JavaScript lub wtyczek w przeglądarce Tor. Nie rób tego, jeśli poważnie podchodzisz do anonimowości - a jeśli nie traktujesz poważnie anonimowości, nie powinieneś używać Tora w pierwszej kolejności.
To nie jest tylko teoretyczne ryzyko. W 2011 roku grupa badaczy uzyskała adresy IP 10 000 osób, które używały klientów BitTorrent przez Tora. Podobnie jak wiele innych typów aplikacji, klienci BitTorrent są niezabezpieczeni i mogą ujawnić twój prawdziwy adres IP.
Lekcja: Pozostaw bezpieczne ustawienia przeglądarki Tor'a. Nie próbuj używać Tora z inną przeglądarką - trzymaj się pakietu przeglądarki Tor, który został wstępnie skonfigurowany z idealnymi ustawieniami. Nie powinieneś używać innych aplikacji w sieci Tor.
Uruchomienie węzła wyjściowego naraża cię na ryzyko
Jeśli poważnie wierzysz w anonimowość online, możesz być zmotywowany do przekazania swojej przepustowości, uruchamiając przekaźnik sieci Tora. To nie powinien być problem prawny - przekaźnik sieci Tor po prostu przekazuje zaszyfrowany ruch w sieci Tora. Tor osiąga anonimowość dzięki przekaźnikom obsługiwanym przez wolontariuszy.
Jednak powinieneś pomyśleć dwa razy przed uruchomieniem przekaźnika wyjścia, który jest miejscem, w którym ruch Tora wychodzi z anonimowej sieci i łączy się z otwartym Internetem. Jeśli przestępcy używają Tora do nielegalnych rzeczy, a ruch wychodzi z przekaźnika wyjścia, ten ruch będzie możliwy do zidentyfikowania na podstawie adresu IP, a ty możesz zapukać do drzwi i skonfiskować sprzęt komputerowy. Mężczyzna w Austrii został napadnięty i oskarżony o rozpowszechnianie pornografii dziecięcej w celu uruchomienia węzła wyjściowego Tora. Uruchamianie węzła wyjściowego Tora pozwala innym ludziom robić złe rzeczy, które można prześledzić z powrotem do ciebie, tak jak operowanie otwartą siecią Wi-Fi - ale jest o wiele, dużo, znacznie bardziej prawdopodobne, że wpędzisz cię w kłopoty. Konsekwencje mogą jednak nie być karą kryminalną. Możesz po prostu stanąć przed sądem w sprawie pobrania treści chronionych prawami autorskimi lub działania w ramach systemu ostrzegania o prawach autorskich w USA.
Ryzyko związane z uruchomieniem węzłów wyjściowych Tora w rzeczywistości wiąże się z pierwszym punktem. Ponieważ uruchamianie węzła wyjściowego Tora jest tak ryzykowne, niewiele osób to robi. Rządy mogą jednak uciec z uruchomionymi węzłami wyjściowymi - i prawdopodobnie wiele z nich robi.
Lekcja: Nigdy nie uruchamiaj węzła wyjściowego Tora - poważnie.
Projekt Tor ma zalecenia dotyczące uruchamiania węzła wyjściowego, jeśli naprawdę chcesz. Ich zalecenia obejmują uruchamianie węzła wyjściowego na dedykowanym adresie IP w obiekcie komercyjnym i korzystanie z przyjaznego Tora dostawcy usług internetowych. Nie próbuj tego w domu! (Większość ludzi nie powinna nawet próbować tego w pracy).
Tor nie jest magicznym rozwiązaniem, które zapewnia ci anonimowość. Osiąga anonimowość, sprytnie przekazując zaszyfrowany ruch przez sieć, ale ruch musi się gdzieś pojawić - co jest problemem zarówno dla użytkowników Tora, jak i dla operatorów węzłów wyjściowych. Ponadto, oprogramowanie działające na naszych komputerach nie zostało zaprojektowane do ukrywania adresów IP, co powoduje ryzyko przy robieniu czegokolwiek poza przeglądaniem zwykłych stron HTML w przeglądarce Tor.
Image Credit: Michael Whitney w serwisie Flickr, Andy Roberts w serwisie Flickr, The Tor Project, Inc.