Unii oameni cred că Tor este o modalitate complet anonimă, privată și sigură de a accesa Internetul fără ca nimeni să poată monitoriza navigarea și să-l urmărească înapoi - dar nu-i așa? Nu este așa de simplu.
Tor nu este soluția perfectă de anonimat și confidențialitate. Are câteva limitări și riscuri importante, pe care ar trebui să le cunoști dacă o vei folosi.
Citiți discuția despre modul în care Tor lucrează pentru o privire mai detaliată asupra modului în care Tor își oferă anonimatul. Pe scurt, atunci când utilizați Tor, traficul dvs. de Internet este direcționat prin rețeaua Tor și trece prin mai multe relee selectate aleatoriu înainte de a ieși din rețeaua Tor. Tor este proiectat astfel încât este teoretic imposibil să se știe ce computer a solicitat efectiv traficul. Este posibil ca computerul dvs. să fi inițiat conexiunea sau poate acționa doar ca un releu, transferând traficul criptat către un alt nod Tor.
Cu toate acestea, majoritatea traficului Tor trebuie în cele din urmă să iasă din rețeaua Tor. De exemplu, să presupunem că te conectezi la Google prin Tor - traficul tău este trecut prin mai multe relee Tor, dar în cele din urmă trebuie să iasă din rețeaua Tor și să te conectezi la serverele Google. Ultimul nod Tor, unde traficul dvs. părăsește rețeaua Tor și intră în Internet deschis, poate fi monitorizat. Acest nod în care traficul iese din rețeaua Tor este cunoscut ca un "nod de ieșire" sau un "releu de ieșire".
În diagrama de mai jos, săgeata roșie reprezintă traficul necriptat între nodul de ieșire și "Bob", un computer de pe Internet.
Dacă accesați un site web criptat (HTTPS), cum ar fi contul dvs. Gmail, acest lucru este bine - deși nodul de ieșire poate vedea că vă conectați la Gmail. dacă accesați un site web necriptat, nodul de ieșire poate monitoriza potențial activitatea dvs. pe Internet, urmărind paginile web pe care le vizitați, căutările pe care le efectuați și mesajele pe care le trimiteți.
Oamenii trebuie să consimtă să execute nodurile de ieșire, deoarece nodurile de ieșire care le rulează le pune mai mult în pericol decât să ruleze un nod de releu care trece traficul. Este posibil ca guvernele să ruleze niște noduri de ieșire și să monitorizeze traficul care le lasă, folosind ceea ce învață să investigheze infractorii sau, în țările represive, să pedepsească activiștii politici.
Acesta nu este doar un risc teoretic. În 2007, un cercetător de securitate a interceptat parole și mesaje de e-mail pentru o sută de conturi de e-mail, prin rularea unui nod de ieșire Tor. Utilizatorii în cauză au făcut greșeala de a nu utiliza criptarea în sistemul lor de e-mail, crezând că Tor îi va proteja cumva prin criptarea internă. Dar nu funcționează Tor.
Lecţie: Atunci când utilizați Tor, asigurați-vă că utilizați site-uri web criptate (HTTPS) pentru orice sensibil. Rețineți că traficul dvs. ar putea fi monitorizat - nu doar de către guverne, ci de către persoanele rău intenționate care caută date private.
Pachetul de browsere Tor, pe care l-am acoperit atunci când ne-am explicat cum să folosim Tor, vine preconfigurat cu setări sigure. JavaScript este dezactivat, plug-inurile nu pot fi difuzate, iar browserul vă va avertiza dacă încercați să descărcați un fișier și să-l deschideți într-o altă aplicație.
JavaScript nu este în mod normal un risc de securitate, dar dacă încercați să vă ascundeți adresa IP, nu doriți să utilizați JavaScript. Motorul JavaScript al browserului dvs., plug-in-urile precum Adobe Flash și aplicațiile externe precum Adobe Reader sau chiar un player video ar putea să "scurgă" cu adevărat adresa dvs. IP într-un site care încearcă să-l achiziționeze.
Grupul de browser-uri Tor evită toate aceste probleme cu setările implicite, dar ați putea dezactiva aceste protecții și utilizați JavaScript sau plug-in-uri în browser-ul Tor. Nu faceți acest lucru dacă sunteți serios în legătură cu anonimatul - și dacă nu sunteți serios în legătură cu anonimatul, nu ar trebui să utilizați Tor în primul rând.
Acesta nu este doar un risc teoretic. În 2011, un grup de cercetători a achiziționat adresele IP de 10.000 de persoane care utilizează clienți BitTorrent prin Tor. Ca și multe alte tipuri de aplicații, clienții BitTorrent sunt nesiguri și capabili să vă expună adresa IP reală.
Lecţie: Părăsiți setările securizate ale browserului Tor. Nu încercați să folosiți Tor cu alt browser - stick cu pachetul browser Tor, care a fost preconfigurat cu setările ideale. Nu trebuie să utilizați alte aplicații cu rețeaua Tor.
Dacă sunteți un mare credincios în anonimatul online, este posibil să fiți motivați să vă donați lățimea de bandă rulând un releu Tor. Aceasta nu ar trebui să fie o problemă juridică - un releu Tor trece doar traficul criptat în interiorul rețelei Tor. Tor obține anonimatul prin intermediul releelor gestionate de voluntari.
Cu toate acestea, trebuie să vă gândiți de două ori înainte de a rula un releu de ieșire, care este un loc în care traficul Tor iese din rețeaua anonimă și se conectează la Internet deschis. Dacă infractorii utilizează Tor pentru lucruri ilegale și traficul iese din releul dvs. de ieșire, traficul va fi urmărit la adresa dvs. IP și s-ar putea să vă bateți pe ușă și echipamentul calculatorului confiscat. Un om din Austria a fost percheziționat și împuternicit să distribuie pornografie infantilă pentru a rula un nod de ieșire Tor. Rularea unui nod de ieșire Tor permite altor persoane să facă lucruri rele care pot fi urmărite înapoi la dvs., la fel ca și operarea unei rețele Wi-Fi deschise - dar este mult mai probabil să vă aducă probleme. Cu toate acestea, consecințele nu ar putea fi o sancțiune penală. S-ar putea să vă confruntați cu un proces pentru a descărca conținut sau acțiune protejată prin drepturi de autor în cadrul Sistemului de avertizare privind drepturile de autor din SUA.
Riscurile implicate în executarea nodurilor de ieșire Tor se leagă de fapt în primul punct. Deoarece rularea unui nod de ieșire Tor este atât de riscantă, puțini oameni o fac.Guvernele ar putea însă să scape cu nodurile de ieșire care rulează, totuși - și probabil că multe dintre acestea fac.
Lecţie: Nu executați niciodată un nod de ieșire Tor - în serios.
Proiectul Tor are recomandări pentru rularea unui nod de ieșire dacă vreți cu adevărat. Recomandările lor includ executarea unui nod de ieșire pe o adresă IP dedicată într-o facilitate comercială și utilizarea unui ISP prietenos Tor. Nu încercați asta acasă! (Majoritatea oamenilor nu ar trebui să încerce chiar asta la locul de muncă.)
Tor nu este o soluție magică care vă acordă anonimatul. Realizează anonimatul prin trecerea inteligentă a traficului criptat printr-o rețea, însă traficul trebuie să apară undeva - ceea ce reprezintă o problemă atât pentru utilizatorii Tor, cât și pentru operatorii de noduri de ieșire. În plus, software-ul care rulează pe computerele noastre nu a fost conceput pentru a ascunde adresele noastre IP, ceea ce duce la riscuri atunci când faci ceva dincolo de vizualizarea paginilor HTML simple în browser-ul Tor.
Image Credit: Michael Whitney pe Flickr, Andy Roberts pe Flickr, The Tor Project, Inc.
