Είναι ο Tor πραγματικά ανώνυμος και ασφαλής;
Μερικοί άνθρωποι πιστεύουν ότι ο Tor είναι ένας εντελώς ανώνυμος, ιδιωτικός και ασφαλής τρόπος πρόσβασης στο Διαδίκτυο, χωρίς ο καθένας να μπορεί να παρακολουθεί την περιήγησή σας και να το εντοπίζει πίσω σε σας - όμως; Δεν είναι τόσο απλό.
Ο Tor δεν είναι η τέλεια λύση ανωνυμίας και ιδιωτικότητας. Έχει αρκετούς σημαντικούς περιορισμούς και κινδύνους, τους οποίους θα πρέπει να γνωρίζετε εάν πρόκειται να το χρησιμοποιήσετε.
Οι κόμβοι εξόδου μπορούν να εξαγνιστούν
Διαβάστε τη συζήτησή μας για το πώς ο Tor εργάζεται για μια λεπτομερέστερη ματιά στο πώς ο Tor παρέχει την ανωνυμία του. Συνοπτικά, όταν χρησιμοποιείτε Tor, η διαδικτυακή σας κίνηση μεταφέρεται μέσω του δικτύου του Tor και περνάει από διάφορα τυχαία επιλεγμένα ρελέ πριν βγεί από το δίκτυο Tor. Ο Tor έχει σχεδιαστεί έτσι ώστε να είναι θεωρητικά αδύνατο να γνωρίζει ποιος υπολογιστής ζήτησε πραγματικά την κυκλοφορία. Ο υπολογιστής σας μπορεί να έχει ξεκινήσει τη σύνδεση ή μπορεί να λειτουργεί μόνο ως ρελέ, μεταδίδοντας αυτή την κρυπτογραφημένη κίνηση σε έναν άλλο κόμβο Tor.
Ωστόσο, το μεγαλύτερο μέρος της επισκεψιμότητας Tor πρέπει τελικά να βγει από το δίκτυο Tor. Για παράδειγμα, ας πούμε ότι συνδέεστε με το Google μέσω του Tor - η επισκεψιμότητά σας μεταδίδεται μέσω διαφόρων σημάτων Tor, αλλά πρέπει τελικά να βγει από το δίκτυο Tor και να συνδεθεί με τους διακομιστές της Google. Ο τελευταίος κόμβος Tor, όπου η κυκλοφορία σας εγκαταλείπει το δίκτυο Tor και εισέρχεται στο ανοικτό Διαδίκτυο, μπορεί να παρακολουθείται. Αυτός ο κόμβος όπου η κυκλοφορία εξέρχεται από το δίκτυο Tor είναι γνωστός ως "κόμβος εξόδου" ή "ρελέ εξόδου".
Στο παρακάτω διάγραμμα, το κόκκινο βέλος αντιπροσωπεύει την μη κρυπτογραφημένη κίνηση μεταξύ του κόμβου εξόδου και του "Bob", ενός υπολογιστή στο διαδίκτυο.
Αν έχετε πρόσβαση σε έναν κρυπτογραφημένο ιστότοπο (HTTPS), όπως ο λογαριασμός σας στο Gmail, αυτό είναι εντάξει - αν και ο κόμβος εξόδου μπορεί να δει ότι συνδέεστε στο Gmail. αν έχετε πρόσβαση σε έναν μη κρυπτογραφημένο ιστότοπο, ο κόμβος εξόδου μπορεί να παρακολουθεί ενδεχομένως τη δραστηριότητά σας στο Internet, να παρακολουθεί τις ιστοσελίδες που επισκέπτεστε, τις αναζητήσεις που πραγματοποιείτε και τα μηνύματα που στέλνετε.
Οι χρήστες πρέπει να συγκατατίθενται για την εκτέλεση κόμβων εξόδου, καθώς οι κόμβοι εξόδου που τρέχουν τους θέτουν σε μεγαλύτερο νομικό κίνδυνο από το να τρέχουν μόνο έναν κόμβο αναμετάδοσης που περνάει την κυκλοφορία. Είναι πιθανό οι κυβερνήσεις να τρέχουν μερικούς κόμβους εξόδου και να παρακολουθούν την κυκλοφορία που τους αφήνει, χρησιμοποιώντας αυτό που μαθαίνουν να διερευνούν εγκληματίες ή, σε κατασταλτικές χώρες, να τιμωρούν πολιτικούς ακτιβιστές.
Δεν πρόκειται μόνο για θεωρητικό κίνδυνο. Το 2007, ένας ερευνητής ασφάλειας παρακολούθησε κωδικούς πρόσβασης και μηνύματα ηλεκτρονικού ταχυδρομείου για εκατό λογαριασμούς ηλεκτρονικού ταχυδρομείου, εκτελώντας έναν κόμβο εξόδου Tor. Οι εν λόγω χρήστες έκαναν το λάθος να μην χρησιμοποιούν κρυπτογράφηση στο σύστημα ηλεκτρονικού ταχυδρομείου τους, πιστεύοντας ότι ο Tor θα τα προστατεύσει με κάποιο τρόπο με την εσωτερική κρυπτογράφηση. Αλλά δεν λειτουργεί το Tor.
Μάθημα: Όταν χρησιμοποιείτε Tor, βεβαιωθείτε ότι χρησιμοποιείτε κρυπτογραφημένους ιστότοπους (HTTPS) για οτιδήποτε ευαίσθητο. Έχετε υπόψη σας ότι η επισκεψιμότητά σας θα μπορούσε να παρακολουθείται - όχι μόνο από τις κυβερνήσεις, αλλά από τους κακόβουλους ανθρώπους που αναζητούν ιδιωτικά δεδομένα.
JavaScript, Plug-ins και άλλες εφαρμογές μπορούν να διαρρήξουν την IP σας
Η δέσμη προγράμματος περιήγησης Tor, την οποία καλύψαμε όταν εξηγήσαμε πώς να χρησιμοποιήσουμε το Tor, έρχεται προκαθορισμένη με ασφαλείς ρυθμίσεις. Η JavaScript είναι απενεργοποιημένη, τα plug-ins δεν μπορούν να εκτελεστούν και το πρόγραμμα περιήγησης θα σας προειδοποιήσει εάν επιχειρήσετε να κάνετε λήψη ενός αρχείου και να το ανοίξετε σε άλλη εφαρμογή.
Το JavaScript δεν αποτελεί συνήθως κίνδυνο για την ασφάλεια, αλλά αν προσπαθείτε να αποκρύψετε την IP σας, δεν θέλετε να χρησιμοποιήσετε το JavaScript. Η μηχανή JavaScript του προγράμματος περιήγησης, plug-ins όπως το Adobe Flash και εξωτερικές εφαρμογές, όπως το Adobe Reader ή ακόμα και ένα πρόγραμμα αναπαραγωγής βίντεο, θα μπορούσαν ενδεχομένως να "διαρρεύσουν" την πραγματική σας διεύθυνση IP σε έναν ιστότοπο που προσπαθεί να την αποκτήσει.
Η δέσμη προγράμματος περιήγησης Tor αποφεύγει όλα αυτά τα προβλήματα με τις προεπιλεγμένες ρυθμίσεις, αλλά θα μπορούσατε να απενεργοποιήσετε αυτές τις δυνατότητες προστασίας και να χρησιμοποιήσετε JavaScript ή plug-ins στο πρόγραμμα περιήγησης Tor. Μην το κάνετε αυτό αν είστε σοβαροί για την ανωνυμία - και αν δεν είστε σοβαροί για την ανωνυμία, δεν πρέπει να χρησιμοποιείτε τον Tor στην πρώτη θέση.
Δεν είναι μόνο ένας θεωρητικός κίνδυνος. Το 2011, μια ομάδα ερευνητών απέκτησε τις διευθύνσεις IP των 10.000 ατόμων που χρησιμοποιούν πελάτες BitTorrent μέσω του Tor. Όπως πολλοί άλλοι τύποι εφαρμογών, οι πελάτες BitTorrent είναι ανασφαλείς και μπορούν να εκθέσουν την πραγματική διεύθυνση IP σας.
Μάθημα: Αφήστε τις ασφαλείς ρυθμίσεις του προγράμματος περιήγησης Tor στη θέση του. Μην προσπαθήσετε να χρησιμοποιήσετε το Tor με άλλο πρόγραμμα περιήγησης - κολλήστε με τη δέσμη προγράμματος περιήγησης Tor, η οποία έχει προδιαμορφωθεί με τις ιδανικές ρυθμίσεις. Δεν πρέπει να χρησιμοποιείτε άλλες εφαρμογές με το δίκτυο Tor.
Η λειτουργία ενός κόμβου εξόδου σας θέτει σε κίνδυνο
Εάν είστε μεγάλος πιστός στην ηλεκτρονική ανωνυμία, μπορεί να έχετε κίνητρο να δωρίσετε το εύρος ζώνης σας τρέχοντας ένα ρελέ Tor. Αυτό δεν θα πρέπει να είναι ένα νομικό πρόβλημα - ένα Tor relay μόλις περνά κρυπτογραφημένη κίνηση εμπρός και πίσω μέσα στο δίκτυο Tor. Ο Tor επιτυγχάνει την ανωνυμία μέσω των ρελέ που διαχειρίζονται οι εθελοντές.
Ωστόσο, πρέπει να σκεφτείτε δύο φορές πριν εκτελέσετε ένα ρελέ εξόδου, το οποίο είναι ένα μέρος όπου η κυκλοφορία Tor ξεκινά από το ανώνυμο δίκτυο και συνδέεται με το ανοικτό Διαδίκτυο. Αν οι εγκληματίες χρησιμοποιούν το Tor για παράνομες πράξεις και η κυκλοφορία βγαίνει από το ρελέ εξόδου σας, αυτή η επισκεψιμότητα θα είναι ανιχνεύσιμη στη διεύθυνση IP σας και μπορεί να χτυπήσετε την πόρτα σας και να κατασχέσετε τον υπολογιστή σας. Ένας άνδρας στην Αυστρία επιδρομίστηκε και κατηγορήθηκε για τη διανομή παιδικής πορνογραφίας για τη λειτουργία ενός κόμβου εξόδου Tor. Η εκτέλεση ενός κόμβου εξόδου Tor επιτρέπει σε άλλους ανθρώπους να κάνουν κακά πράγματα που μπορούν να εντοπιστούν πίσω σε εσάς, ακριβώς όπως η λειτουργία ενός ανοιχτού δικτύου Wi-Fi - αλλά είναι πολύ, πολύ, πολύ πιο πιθανό να σας φέρει πραγματικά πρόβλημα. Ωστόσο, οι συνέπειες μπορεί να μην αποτελούν ποινική κύρωση. Μπορεί να αντιμετωπίσετε απλώς μια αγωγή για τη λήψη περιεχομένου ή ενέργειας που προστατεύεται από πνευματικά δικαιώματα στο πλαίσιο του συστήματος ειδοποιήσεων πνευματικών δικαιωμάτων στις ΗΠΑ.
Οι κίνδυνοι που συνδέονται με την εκτέλεση των κόμβων εξόδου Tor τρέχουν πραγματικά πίσω στο πρώτο σημείο. Επειδή η λειτουργία ενός κόμβου εξόδου Tor είναι τόσο επικίνδυνη, λίγοι άνθρωποι το κάνουν. Οι κυβερνήσεις θα μπορούσαν να ξεφύγουν με τους κόμβους εξόδου, ωστόσο - και είναι πιθανό να το κάνουν πολλοί.
Μάθημα: Ποτέ μην τρέχετε έναν κόμβο εξόδου Tor - σοβαρά.
Το έργο Tor έχει συστάσεις για την εκτέλεση κόμβου εξόδου αν θέλετε πραγματικά. Οι συστάσεις τους περιλαμβάνουν την εκτέλεση ενός κόμβου εξόδου σε μια αποκλειστική διεύθυνση IP σε μια εμπορική εγκατάσταση και τη χρήση ενός φιλικού προς το Tor ISP. Μην δοκιμάσετε αυτό στο σπίτι! (Οι περισσότεροι άνθρωποι δεν πρέπει να το δοκιμάσουν αυτό στην εργασία.)
Ο Tor δεν είναι μια μαγική λύση που σας δίνει ανωνυμία. Επιτυγχάνει ανωνυμία με έξυπνη μετάδοση κρυπτογραφημένης επισκεψιμότητας μέσω δικτύου, αλλά η κυκλοφορία πρέπει να εμφανιστεί κάπου - κάτι που αποτελεί πρόβλημα τόσο για τους χρήστες του Tor όσο και για τους τερματικούς κόμβους εξόδου. Επιπλέον, το λογισμικό που εκτελείται στους υπολογιστές μας δεν έχει σχεδιαστεί για να αποκρύπτει τις διευθύνσεις IP, κάτι που δημιουργεί κινδύνους όταν κάνετε κάτι πέρα από την προβολή απλών σελίδων HTML στον browser Tor.
Image Credit: Michael Whitney στο Flickr, Andy Roberts στο Flickr, The Tor Project, Inc.
