- Chris Hoffman
@chrisbhoffman
- Atualizado em 12 de julho de 2017, 12:30pm EDT
Algumas pessoas acreditam que o Tor é uma forma completamente anônima, privada e segura de acessar a Internet sem que ninguém possa monitorar sua navegação e rastreá-la até você – mas será que é? Não é assim tão simples.
Tor não é a solução perfeita para o anonimato e privacidade. Ele tem várias limitações e riscos importantes, que você deve estar ciente se você vai usá-lo.
Nós de saída podem ser farejados
Leia nossa discussão sobre como o Tor funciona para uma visão mais detalhada de como o Tor fornece seu anonimato. Em resumo, quando você usa o Tor, seu tráfego de Internet é roteado através da rede do Tor e passa por vários relés selecionados aleatoriamente antes de sair da rede Tor. Tor é projetado para que seja teoricamente impossível saber qual computador realmente requisitou o tráfego. Seu computador pode ter iniciado a conexão ou pode estar apenas agindo como um relay, retransmitir aquele tráfego criptografado para outro nó Tor.
No entanto, a maioria do tráfego Tor deve eventualmente emergir da rede Tor. Por exemplo, digamos que você está se conectando ao Google através do Tor – seu tráfego é passado por vários relés Tor, mas ele deve eventualmente emergir da rede Tor e se conectar aos servidores do Google. O último nó Tor, onde seu tráfego deixa a rede Tor e entra na Internet aberta, pode ser monitorado. Este nó onde o tráfego sai da rede Tor é conhecido como um “nó de saída” ou “exit relay”
No diagrama abaixo, a seta vermelha representa o tráfego não criptografado entre o nó de saída e “Bob”, um computador na Internet.
Se você está acessando um site criptografado (HTTPS) como sua conta Gmail, isto é ok – embora o nó de saída possa ver que você está se conectando ao Gmail. Se você estiver acessando um site não criptografado, o nó de saída pode potencialmente monitorar sua atividade na Internet, mantendo o controle das páginas que você visita, pesquisas que você executa e mensagens que você envia.
As pessoas devem consentir em executar nós de saída, pois executar nós de saída os coloca em mais risco legal do que apenas executar um nó de relé que passa tráfego. É provável que os governos executem alguns nós de saída e monitorem o tráfego que os deixa, usando o que aprendem para investigar criminosos ou, em países repressivos, punir ativistas políticos.
Não se trata apenas de um risco teórico. Em 2007, um pesquisador de segurança interceptou senhas e mensagens de e-mail para uma centena de contas de e-mail executando um nó de saída Tor. Os usuários em questão cometeram o erro de não usar criptografia em seu sistema de e-mail, acreditando que o Tor de alguma forma os protegeria com sua criptografia interna. Mas não é assim que o Tor funciona.
Lesson: Ao usar o Tor, certifique-se de usar sites criptografados (HTTPS) para qualquer coisa sensível. Tenha em mente que seu tráfego pode ser monitorado – não apenas por governos, mas por pessoas maliciosas procurando por dados privados.
JavaScript, Plug-ins, and Other Applications Can Leak Your IP
O pacote de navegadores Tor, que nós cobrimos quando explicamos como usar o Tor, vem pré-configurado com configurações seguras. JavaScript está desativado, os plug-ins não podem rodar, e o navegador irá avisá-lo se você tentar baixar um arquivo e abri-lo em outro aplicativo.
JavaScript normalmente não é um risco de segurança, mas se você estiver tentando esconder seu IP, você não quer usar JavaScript. O mecanismo JavaScript do seu navegador, plug-ins como Adobe Flash e aplicativos externos como Adobe Reader ou mesmo um reprodutor de vídeo podem potencialmente “vazar” seu endereço IP real para um site que tente adquiri-lo.
O pacote do navegador Tor evita todos esses problemas com suas configurações padrão, mas você pode potencialmente desabilitar essas proteções e usar JavaScript ou plug-ins no navegador Tor. Não faça isso se você está falando sério sobre anonimato – e se você não está falando sério sobre anonimato, você não deveria estar usando o Tor em primeiro lugar.
Isso não é apenas um risco teórico, também. Em 2011, um grupo de pesquisadores adquiriu os endereços IP de 10.000 pessoas que estavam usando clientes BitTorrent através do Tor. Como muitos outros tipos de aplicações, os clientes BitTorrent são inseguros e capazes de expor seu endereço IP real.
Lesson: Deixe as configurações seguras do navegador Tor no lugar. Não tente usar o Tor com outro navegador – fique com o pacote de navegadores Tor, que foi pré-configurado com as configurações ideais. Você não deve usar outras aplicações com a rede Tor.
Running an Exit Node Puts You At Risk
Se você é um grande crente no anonimato online, você pode estar motivado a doar sua largura de banda executando um relay Tor. Isto não deve ser um problema legal – um relay Tor apenas passa tráfego criptografado para frente e para trás dentro da rede Tor. Tor alcança o anonimato através de relés executados por voluntários.
No entanto, você deve pensar duas vezes antes de executar um relay de saída, que é um lugar onde o tráfego Tor sai da rede anônima e se conecta com a Internet aberta. Se os criminosos usam o Tor para coisas ilegais e o tráfego sai do seu relé de saída, esse tráfego será rastreável ao seu endereço IP e você poderá ser atingido por uma batida na sua porta e seu equipamento de computador confiscado. Um homem na Áustria foi invadido e acusado de distribuir pornografia infantil por executar um nó de saída do Tor. Executar um nó de saída Tor permite que outras pessoas façam coisas ruins que podem ser rastreadas até você, assim como operar uma rede Wi-Fi aberta – mas é muito, muito, muito mais provável que isso realmente o coloque em apuros. As consequências podem, no entanto, não ser uma penalidade criminal. Você pode simplesmente enfrentar um processo por download de conteúdo protegido por direitos autorais ou ação sob o Copyright Alert System nos EUA.
Os riscos envolvidos em executar os nós de saída do Tor, na verdade, ligam-se de volta ao primeiro ponto. Como rodar um nó de saída Tor é tão arriscado, poucas pessoas o fazem. Os governos poderiam escapar com a execução de nós de saída – e é provável que muitos o façam.
Lesson: Never run a Tor exit node – serious.
The Tor project has recommendations for running an exit node if you really want to. Suas recomendações incluem rodar um nó de saída em um endereço IP dedicado em uma instalação comercial e usar um ISP Tor-friendly. Não tente isso em casa! (A maioria das pessoas nem deveria tentar isto no trabalho.)
Tor não é uma solução mágica que lhe garante o anonimato. Ela alcança o anonimato passando inteligentemente tráfego criptografado por uma rede, mas esse tráfego tem que surgir em algum lugar – o que é um problema tanto para os usuários do Tor quanto para os operadores de nó de saída. Além disso, o software que roda em nossos computadores não foi projetado para esconder nossos endereços IP, o que resulta em riscos ao fazer algo além de visualizar páginas HTML simples no navegador Tor.
Crédito de Imagem: Michael Whitney no Flickr, Andy Roberts no Flickr, The Tor Project, Inc.
Chris Hoffman é editor-chefe do How-To Geek. Ele escreveu sobre tecnologia por mais de uma década e foi colunista da PCWorld por dois anos. Chris escreveu para o The New York Times, foi entrevistado como um especialista em tecnologia em estações de TV como a NBC 6 de Miami, e teve seu trabalho coberto por veículos de notícias como a BBC. Desde 2011, Chris já escreveu mais de 2.000 artigos que já foram lidos quase um bilhão de vezes – e isso é só aqui no How-To Geek.Read Full Bio ”