Tor este într-adevăr anonim și sigur?
Unii oameni cred că Tor este o modalitate complet anonimă, privată și sigură de a accesa Internetul fără ca nimeni să poată monitoriza navigarea și să-l urmărească înapoi - dar nu-i așa? Nu este așa de simplu.
Tor nu este soluția perfectă de anonimat și confidențialitate. Are câteva limitări și riscuri importante, pe care ar trebui să le știi dacă o vei folosi.
Ieșirile de ieșire pot fi mirosite
Citiți discuția despre modul în care Tor lucrează pentru o privire mai detaliată asupra modului în care Tor își oferă anonimatul. Pe scurt, atunci când utilizați Tor, traficul dvs. de Internet este direcționat prin rețeaua Tor și trece prin mai multe relee selectate aleator înainte de a ieși din rețeaua Tor. Tor este proiectat astfel încât este teoretic imposibil să se știe ce computer a solicitat efectiv traficul. Este posibil ca computerul dvs. să fi inițiat conexiunea sau poate acționa doar ca un releu, transferând traficul criptat către un alt nod Tor.
Cu toate acestea, majoritatea traficului Tor trebuie în cele din urmă să iasă din rețeaua Tor. De exemplu, să presupunem că te conectezi la Google prin Tor - traficul tău este trecut prin mai multe relee Tor, dar în cele din urmă trebuie să iasă din rețeaua Tor și să te conectezi la serverele Google. Ultimul nod Tor, unde traficul dvs. părăsește rețeaua Tor și intră în Internet deschis, poate fi monitorizat. Acest nod, unde traficul iese din rețeaua Tor, este cunoscut ca un "nod de ieșire" sau un "releu de ieșire".
În diagrama de mai jos, săgeata roșie reprezintă traficul necriptat între nodul de ieșire și "Bob", un computer de pe Internet.
Dacă accesați un site web criptat (HTTPS), cum ar fi contul dvs. Gmail, acest lucru este bine - deși nodul de ieșire poate vedea că vă conectați la Gmail. dacă accesați un site web necriptat, nodul de ieșire poate monitoriza activitatea dvs. pe Internet, poate urmări paginile web pe care le vizitați, căutările pe care le efectuați și mesajele pe care le trimiteți.
Oamenii trebuie să consimtă să execute nodurile de ieșire, deoarece nodurile de ieșire care le rulează le pune mai mult în pericol decât să ruleze un nod de releu care trece traficul. Este probabil ca guvernele să ruleze niște noduri de ieșire și să monitorizeze traficul care le lasă, folosind ceea ce învață să investigheze infractorii sau, în țările represive, să pedepsească activiștii politici.
Acesta nu este doar un risc teoretic. În 2007, un cercetător de securitate a interceptat parolele și mesajele de e-mail pentru o sută de conturi de e-mail prin rularea unui nod de ieșire Tor. Utilizatorii în cauză au făcut greșeala de a nu utiliza criptarea în sistemul lor de e-mail, crezând că Tor îi va proteja cumva prin criptarea internă. Dar nu funcționează Tor.
Lecţie: Atunci când utilizați Tor, asigurați-vă că utilizați site-uri criptate (HTTPS) pentru orice element sensibil. Rețineți că traficul dvs. poate fi monitorizat - nu numai de către guverne, ci de către persoane rău intenționate care caută date private.
JavaScript, plug-in-uri și alte aplicații pot să vă scurgă IP-ul
Pachetul browser Tor, pe care l-am acoperit când ne-am explicat cum să folosim Tor, vine preconfigurat cu setări sigure. JavaScript este dezactivat, pluginurile nu pot fi difuzate și browserul vă va avertiza dacă încercați să descărcați un fișier și să-l deschideți pe o altă aplicație.
JavaScript nu este, în mod normal, un risc de securitate, dar dacă încercați să vă ascundeți adresa IP, nu doriți să utilizați JavaScript. Motorul JavaScript al browserului dvs., plug-in-urile precum Adobe Flash și aplicațiile externe precum Adobe Reader sau chiar un player video ar putea să "scurgă" cu adevărat adresa dvs. IP într-un site care încearcă să-l achiziționeze.
Grupul de browser-uri Tor evită toate aceste probleme cu setările prestabilite, dar ați putea să dezactivați aceste protecții și să utilizați JavaScript sau plug-in-uri în browser-ul Tor. Nu faceți acest lucru dacă sunteți serios în legătură cu anonimatul - și dacă nu sunteți serios în legătură cu anonimatul, nu ar trebui să utilizați Tor în primul rând.
Acesta nu este doar un risc teoretic. În 2011, un grup de cercetători au achiziționat adresele IP de 10.000 de persoane care utilizează clienți BitTorrent prin Tor. Ca și multe alte tipuri de aplicații, clienții BitTorrent sunt nesiguri și capabili să vă expună adresa IP reală.
Lecţie: Opriți setările securizate ale browserului Tor. Nu încercați să folosiți Tor cu un alt browser - stick cu pachetul browser Tor, care a fost preconfigurat cu setările ideale. Nu trebuie să utilizați alte aplicații cu rețeaua Tor.
Rularea unui nod de ieșire vă pune în pericol
Dacă sunteți un mare credincios în anonimatul online, ați putea fi motivat să vă donați lățimea de bandă prin rularea unui releu Tor. Aceasta nu ar trebui să fie o problemă juridică - un releu Tor trece doar traficul criptat în interiorul rețelei Tor. Tor atinge anonimatul prin intermediul releelor conduse de voluntari.
Cu toate acestea, trebuie să vă gândiți de două ori înainte de a rula un releu de ieșire, care este un loc în care traficul Tor iese din rețeaua anonimă și se conectează la Internetul deschis. Dacă infractorii folosesc Tor pentru lucruri ilegale și traficul iese din releul dvs. de ieșire, traficul va fi urmărit la adresa dvs. IP și s-ar putea să vă bateți pe ușă și echipamentul calculatorului confiscat. Un om din Austria a fost percheziționat și însărcinat cu distribuirea de pornografie infantilă pentru rularea unui nod de ieșire Tor. Rularea unui nod de ieșire Tor permite altor persoane să facă lucruri rele care pot fi urmărite înapoi la dvs., la fel ca și operarea unei rețele Wi-Fi deschise - dar este mult mai probabil să intrați în necazuri. Cu toate acestea, consecințele nu pot fi o sancțiune penală. S-ar putea să vă confruntați cu un proces pentru a descărca conținut sau acțiune protejată prin drepturi de autor în cadrul Sistemului de avertizare privind drepturile de autor din SUA.
Riscurile implicate în executarea nodurilor de ieșire Tor se leagă de fapt în primul punct. Deoarece rularea unui nod de ieșire Tor este atât de riscantă, puțini oameni o fac. Cu toate acestea, guvernele ar putea să scape cu nodurile de ieșire care rulează - și este posibil ca mulți să facă acest lucru.
Lecţie: Nu executați niciodată un nod de ieșire Tor - în serios.
Proiectul Tor are recomandări pentru rularea unui nod de ieșire dacă doriți cu adevărat. Recomandările lor includ executarea unui nod de ieșire pe o adresă IP dedicată într-o facilitate comercială și utilizarea unui ISP prietenos Tor. Nu încercați acest lucru acasă! (Majoritatea oamenilor nu ar trebui să încerce chiar asta la locul de muncă.)
Tor nu este o soluție magică care vă acordă anonimatul. Realizează anonimatul prin trecerea inteligentă a traficului criptat printr-o rețea, dar traficul trebuie să apară undeva - ceea ce reprezintă o problemă atât pentru utilizatorii lui Tor, cât și pentru operatorii de noduri de ieșire. În plus, software-ul care rulează pe computerele noastre nu a fost conceput pentru a ascunde adresele noastre IP, ceea ce duce la riscuri atunci când faci ceva dincolo de vizualizarea paginilor HTML simple în browser-ul Tor.
Image Credit: Michael Whitney pe Flickr, Andy Roberts pe Flickr, The Tor Project, Inc.