- Chris Hoffman
@chrisbhoffman
- Updated July 12, 2017, 12:30pm EDT
Câteva persoane cred că Tor este o modalitate complet anonimă, privată și sigură de a accesa internetul fără ca cineva să vă poată monitoriza navigarea și să ajungă până la dumneavoastră – dar este așa? Nu este chiar atât de simplu.
Tor nu este soluția perfectă pentru anonimat și confidențialitate. Are mai multe limitări și riscuri importante, pe care ar trebui să le cunoașteți dacă aveți de gând să îl utilizați.
Nodurile de ieșire pot fi adulmecate
Citiți discuția noastră despre cum funcționează Tor pentru o privire mai detaliată asupra modului în care Tor își asigură anonimatul. Pe scurt, atunci când utilizați Tor, traficul dvs. de internet este direcționat prin rețeaua Tor și trece prin mai multe relee selectate aleatoriu înainte de a ieși din rețeaua Tor. Tor este conceput astfel încât, teoretic, este imposibil să se știe ce computer a solicitat de fapt traficul. Este posibil ca computerul dumneavoastră să fi inițiat conexiunea sau să acționeze doar ca un releu, retransmițând acel trafic criptat către un alt nod Tor.
Cu toate acestea, majoritatea traficului Tor trebuie să iasă în cele din urmă din rețeaua Tor. De exemplu, să spunem că vă conectați la Google prin Tor – traficul dvs. trece prin mai multe relee Tor, dar în cele din urmă trebuie să iasă din rețeaua Tor și să se conecteze la serverele Google. Ultimul nod Tor, prin care traficul dvs. părăsește rețeaua Tor și intră pe internetul deschis, poate fi monitorizat. Acest nod în care traficul iese din rețeaua Tor este cunoscut sub numele de „nod de ieșire” sau „releu de ieșire.”
În diagrama de mai jos, săgeata roșie reprezintă traficul necriptat dintre nodul de ieșire și „Bob”, un computer de pe internet.
Dacă accesați un site web criptat (HTTPS), cum ar fi contul dvs. de Gmail, acest lucru este în regulă – deși nodul de ieșire poate vedea că vă conectați la Gmail. dacă accesați un site web necriptat, nodul de ieșire vă poate monitoriza potențial activitatea pe internet, urmărind paginile web pe care le vizitați, căutările pe care le efectuați și mesajele pe care le trimiteți.
Oamenii trebuie să-și dea consimțământul pentru a rula noduri de ieșire, deoarece rularea nodurilor de ieșire îi expune la un risc legal mai mare decât simpla rulare a unui nod releu care transmite traficul. Este probabil ca guvernele să administreze unele noduri de ieșire și să monitorizeze traficul care le părăsește, folosind ceea ce află pentru a investiga infractorii sau, în țările represive, pentru a pedepsi activiștii politici.
Acesta nu este doar un risc teoretic. În 2007, un cercetător în domeniul securității a interceptat parolele și mesajele de e-mail pentru o sută de conturi de e-mail prin rularea unui nod de ieșire Tor. Utilizatorii în cauză au făcut greșeala de a nu utiliza criptarea pe sistemul lor de e-mail, crezând că Tor îi va proteja cumva cu criptarea sa internă. Dar nu așa funcționează Tor.
Lecție: Când utilizați Tor, asigurați-vă că folosiți site-uri web criptate (HTTPS) pentru orice lucru sensibil. Țineți cont de faptul că traficul dvs. ar putea fi monitorizat – nu doar de guverne, ci și de persoane rău intenționate care caută date private.
JavaScript, plug-in-uri și alte aplicații vă pot scurge IP-ul
Pachetul de browsere Tor, despre care am vorbit atunci când am explicat cum să folosim Tor, vine preconfigurat cu setări sigure. JavaScript este dezactivat, plug-in-urile nu pot rula, iar browserul vă va avertiza dacă încercați să descărcați un fișier și să îl deschideți pe o altă aplicație.
JavaScript nu reprezintă în mod normal un risc de securitate, dar dacă încercați să vă ascundeți IP-ul, nu doriți să folosiți JavaScript. Motorul JavaScript al browserului dvs., plug-in-urile precum Adobe Flash și aplicațiile externe precum Adobe Reader sau chiar un player video, toate ar putea „scurge” adresa dvs. IP reală către un site web care încearcă să o obțină.
Pachetul browserului Tor evită toate aceste probleme cu setările sale implicite, dar ați putea eventual dezactiva aceste protecții și să utilizați JavaScript sau plug-in-uri în browserul Tor. Nu faceți acest lucru dacă sunteți serios cu privire la anonimat – iar dacă nu sunteți serios cu privire la anonimat, nu ar trebui să folosiți Tor în primul rând.
Nici acesta nu este doar un risc teoretic. În 2011, un grup de cercetători a obținut adresele IP a 10.000 de persoane care foloseau clienți BitTorrent prin Tor. La fel ca multe alte tipuri de aplicații, clienții BitTorrent sunt nesiguri și capabili să vă expună adresa IP reală.
Lecție: Lăsați setările de securitate ale browserului Tor la locul lor. Nu încercați să utilizați Tor cu un alt browser – rămâneți cu pachetul de browsere Tor, care a fost preconfigurat cu setările ideale. Nu ar trebui să folosiți alte aplicații cu rețeaua Tor.
Executarea unui nod de ieșire vă pune în pericol
Dacă sunteți un mare susținător al anonimatului online, ați putea fi motivat să vă donați lățimea de bandă prin rularea unui releu Tor. Acest lucru nu ar trebui să fie o problemă legală – un releu Tor nu face decât să transmită traficul criptat înainte și înapoi în interiorul rețelei Tor. Tor realizează anonimatul prin intermediul releelor administrate de voluntari.
Cu toate acestea, ar trebui să vă gândiți de două ori înainte de a administra un releu de ieșire, care este un loc în care traficul Tor iese din rețeaua anonimă și se conectează la internetul deschis. Dacă infractorii folosesc Tor pentru lucruri ilegale și traficul iese din releul dvs. de ieșire, traficul respectiv va putea fi urmărit până la adresa dvs. IP și s-ar putea să vi se bată la ușă și să vi se confiște echipamentul informatic. Un bărbat din Austria a fost percheziționat și acuzat de distribuire de pornografie infantilă pentru că deținea un nod de ieșire Tor. Operarea unui nod de ieșire Tor permite altor persoane să facă lucruri rele care pot fi urmărite până la dumneavoastră, la fel ca și operarea unei rețele Wi-Fi deschise – dar este mult, mult, mult mai probabil să vă creeze probleme. Cu toate acestea, consecințele pot să nu fie o sancțiune penală. S-ar putea să vă confruntați doar cu un proces pentru descărcarea de conținut protejat prin drepturi de autor sau cu o acțiune în cadrul Sistemului de alertă privind drepturile de autor din SUA.
Riscurile implicate de rularea nodurilor de ieșire Tor se leagă de fapt de primul punct. Deoarece rularea unui nod de ieșire Tor este atât de riscantă, puțini oameni o fac. Cu toate acestea, guvernele ar putea scăpa cu bine dacă ar rula noduri de ieșire – și este posibil ca mulți să o facă.
Lecția: Nu rulați niciodată un nod de ieșire Tor – serios.
Proiectul Tor are recomandări pentru a rula un nod de ieșire dacă doriți cu adevărat să o faceți. Recomandările lor includ rularea unui nod de ieșire pe o adresă IP dedicată într-o instalație comercială și utilizarea unui ISP prietenos cu Tor. Nu încercați acest lucru acasă! (Cei mai mulți oameni nu ar trebui să încerce acest lucru nici măcar la locul de muncă.)
Tor nu este o soluție magică care vă garantează anonimatul. Realizează anonimatul prin trecerea inteligentă a traficului criptat printr-o rețea, dar acest trafic trebuie să iasă de undeva – ceea ce reprezintă o problemă atât pentru utilizatorii Tor, cât și pentru operatorii nodurilor de ieșire. În plus, software-ul care rulează pe computerele noastre nu a fost conceput pentru a ne ascunde adresele IP, ceea ce duce la riscuri atunci când facem orice altceva în afară de vizualizarea unor pagini HTML simple în browserul Tor.
Credite imagine: Michael Whitney pe Flickr, Andy Roberts pe Flickr, The Tor Project, Inc.
Chris Hoffman este redactor-șef al How-To Geek. Scrie despre tehnologie de peste un deceniu și a fost editorialist la PCWorld timp de doi ani. Chris a scris pentru The New York Times, a fost intervievat în calitate de expert în tehnologie la posturi de televiziune precum NBC 6 din Miami, iar activitatea sa a fost acoperită de agenții de știri precum BBC. Din 2011, Chris a scris peste 2.000 de articole care au fost citite de aproape un miliard de ori – și asta doar aici, la How-To Geek.Read Full Bio ”