Einige Leute glauben, dass Tor eine völlig anonyme, private und sichere Möglichkeit ist, auf das Internet zuzugreifen, ohne dass jemand Ihr Surfen überwachen und auf Sie zurückführen kann - aber ist es das? So einfach ist das nicht.
Tor ist nicht die perfekte Lösung für Anonymität und Datenschutz. Es weist einige wichtige Einschränkungen und Risiken auf, die Sie beachten sollten, wenn Sie es verwenden möchten.
Ausgangsknoten können beschnuppert werden
Lesen unsere Diskussion darüber, wie Tor funktioniert Für einen detaillierteren Blick darauf, wie Tor seine Anonymität gewährleistet. Zusammenfassend lässt sich sagen, dass bei Verwendung von Tor Ihr Internetverkehr über das Tor-Netzwerk geleitet wird und mehrere zufällig ausgewählte Relais durchläuft, bevor Sie das Tor-Netzwerk verlassen. Tor ist so konzipiert, dass es theoretisch unmöglich ist zu wissen, welcher Computer den Datenverkehr tatsächlich angefordert hat. Ihr Computer hat möglicherweise die Verbindung hergestellt oder fungiert lediglich als Relay, das den verschlüsselten Datenverkehr an einen anderen Tor-Knoten weiterleitet.
Der meiste Tor-Verkehr muss jedoch irgendwann aus dem Tor-Netzwerk austreten. Angenommen, Sie stellen über Tor eine Verbindung zu Google her. Ihr Datenverkehr wird über mehrere Tor-Relays geleitet, muss jedoch eventuell aus dem Tor-Netzwerk stammen und eine Verbindung zu den Servern von Google herstellen. Der letzte Tor-Knoten, an dem Ihr Datenverkehr das Tor-Netzwerk verlässt und in das offene Internet gelangt, kann überwacht werden. Dieser Knoten, an dem der Verkehr das Tor-Netzwerk verlässt, wird als "Exit-Knoten" oder "Exit-Relay" bezeichnet.
In der folgenden Abbildung repräsentiert der rote Pfeil den unverschlüsselten Verkehr zwischen dem Exit-Knoten und "Bob", einem Computer im Internet.
Wenn Sie auf eine verschlüsselte (HTTPS) Website wie Ihr Google Mail-Konto zugreifen, ist dies in Ordnung. Der Exit-Knoten kann jedoch erkennen, dass Sie eine Verbindung zu Google Mail herstellen. Wenn Sie auf eine unverschlüsselte Website zugreifen, kann der Exit-Knoten möglicherweise Ihre Internetaktivität überwachen und die von Ihnen besuchten Webseiten, die von Ihnen durchgeführten Suchvorgänge und die von Ihnen gesendeten Nachrichten verfolgen.
Die Benutzer müssen dem Ausführen von Exit-Knoten zustimmen, da das Ausführen von Exit-Knoten ein höheres rechtliches Risiko darstellt als das Ausführen eines Relay-Knotens, der den Datenverkehr weiterleitet. Es ist wahrscheinlich, dass Regierungen einige Ausgangsknotenpunkte betreiben und den Verkehr überwachen, der sie verlässt, indem sie das Gelernte verwenden, um Kriminelle zu untersuchen oder in repressiven Ländern politische Aktivisten zu bestrafen.
Dies ist nicht nur ein theoretisches Risiko. Im Jahr 2007 a Sicherheitsforscher haben Passwörter und E-Mail-Nachrichten abgefangen für hundert E-Mail-Konten durch Ausführen eines Tor-Exit-Knotens. Die fraglichen Benutzer haben den Fehler gemacht, keine Verschlüsselung in ihrem E-Mail-System zu verwenden, da sie glaubten, dass Tor sie mit seiner internen Verschlüsselung irgendwie schützen würde. Aber so funktioniert Tor nicht.
Lektion : Wenn Sie Tor verwenden, stellen Sie sicher, dass Sie verschlüsselte (HTTPS) Websites für sensible Inhalte verwenden. Denken Sie daran, dass Ihr Datenverkehr überwacht werden kann - nicht nur von Regierungen, sondern auch von böswilligen Personen, die nach privaten Daten suchen.
JavaScript, Plug-Ins und andere Anwendungen können Ihre IP-Adresse verlieren
Das Tor-Browser-Bundle, das wir wann behandelt haben Wir haben erklärt, wie man Tor benutzt , wird mit sicheren Einstellungen vorkonfiguriert geliefert. JavaScript ist deaktiviert, Plug-Ins können nicht ausgeführt werden und der Browser warnt Sie, wenn Sie versuchen, eine Datei herunterzuladen und in einer anderen Anwendung zu öffnen.
JavaScript ist normalerweise kein Sicherheitsrisiko Wenn Sie jedoch versuchen, Ihre IP-Adresse zu verbergen, möchten Sie kein JavaScript verwenden. Die JavaScript-Engine Ihres Browsers, Plug-Ins wie Adobe Flash und externe Anwendungen wie Adobe Reader oder sogar ein Videoplayer können möglicherweise Ihre echte IP-Adresse an eine Website weitergeben, die versucht, sie abzurufen.
Das Tor-Browser-Bundle vermeidet all diese Probleme mit seinen Standardeinstellungen. Sie können diese Schutzfunktionen jedoch möglicherweise deaktivieren und JavaScript oder Plug-Ins im Tor-Browser verwenden. Tun Sie dies nicht, wenn Sie die Anonymität ernst nehmen - und wenn Sie die Anonymität nicht ernst meinen, sollten Sie Tor überhaupt nicht verwenden.
Dies ist auch nicht nur ein theoretisches Risiko. Im Jahr 2011 a Forschergruppe erwarb die IP-Adressen von 10.000 Personen, die BitTorrent-Clients über Tor verwendeten. Wie viele andere Arten von Anwendungen sind BitTorrent-Clients unsicher und können Ihre echte IP-Adresse offenlegen.
Lektion : Lassen Sie die sicheren Einstellungen des Tor-Browsers beibehalten. Versuchen Sie nicht, Tor mit einem anderen Browser zu verwenden - bleiben Sie beim Tor-Browser-Bundle, das mit den idealen Einstellungen vorkonfiguriert wurde. Sie sollten keine anderen Anwendungen mit dem Tor-Netzwerk verwenden.
Das Ausführen eines Exit-Knotens gefährdet Sie
Wenn Sie stark an Online-Anonymität glauben, können Sie motiviert sein, Ihre Bandbreite durch den Betrieb eines Tor-Relays zu spenden. Dies sollte kein rechtliches Problem sein - ein Tor-Relay leitet verschlüsselten Datenverkehr nur innerhalb des Tor-Netzwerks hin und her. Tor erreicht Anonymität durch Staffeln, die von Freiwilligen betrieben werden.
Sie sollten jedoch zweimal überlegen, bevor Sie ein Exit-Relay ausführen. Hier kommt der Tor-Verkehr aus dem anonymen Netzwerk und stellt eine Verbindung zum offenen Internet her. Wenn Kriminelle Tor für illegale Zwecke verwenden und der Datenverkehr aus Ihrem Ausgangsrelais kommt, kann dieser Datenverkehr auf Ihre IP-Adresse zurückgeführt werden, und Sie klopfen möglicherweise an Ihre Tür und Ihre Computerausrüstung wird beschlagnahmt. Ein Mann in Österreich war überfallen und beschuldigt, Kinderpornografie verbreitet zu haben zum Ausführen eines Tor-Exit-Knotens. Durch das Ausführen eines Tor-Exit-Knotens können andere Personen schlechte Dinge tun, die genau wie Sie auf Sie zurückgeführt werden können Betrieb eines offenen Wi-Fi-Netzwerks - aber es ist viel, viel, viel wahrscheinlicher, dass Sie tatsächlich in Schwierigkeiten geraten. Die Folgen können jedoch keine strafrechtliche Sanktion sein. Möglicherweise müssen Sie nur eine Klage wegen des Herunterladens von urheberrechtlich geschütztem Inhalt oder einer Aktion im Rahmen der Copyright Alert System in den USA .
Die mit dem Ausführen von Tor-Ausgangsknoten verbundenen Risiken hängen tatsächlich mit dem ersten Punkt zusammen. Weil das Ausführen eines Tor-Exit-Knotens so riskant ist, tun es nur wenige Leute. Regierungen könnten jedoch mit laufenden Ausgangsknoten davonkommen - und das tun wahrscheinlich viele.
Lektion : Führen Sie niemals einen Tor-Ausgangsknoten aus - ernsthaft.
Das Tor-Projekt hat Empfehlungen zum Ausführen eines Exit-Knotens wenn du wirklich willst. Zu ihren Empfehlungen gehört das Ausführen eines Exit-Knotens unter einer dedizierten IP-Adresse in einer kommerziellen Einrichtung und die Verwendung eines torfreundlichen ISP. Versuchen Sie das nicht zu Hause! (Die meisten Leute sollten dies nicht einmal bei der Arbeit versuchen.)
Tor ist keine magische Lösung, die Ihnen Anonymität gewährt. Es erreicht Anonymität, indem verschlüsselter Verkehr geschickt durch ein Netzwerk geleitet wird. Dieser Verkehr muss jedoch irgendwo entstehen - was sowohl für die Benutzer von Tor als auch für die Betreiber von Exit-Knoten ein Problem darstellt. Darüber hinaus war die Software, die auf unseren Computern ausgeführt wird, nicht dafür ausgelegt, unsere IP-Adressen zu verbergen. Dies birgt Risiken, wenn Sie nur einfache HTML-Seiten im Tor-Browser anzeigen.
Bildnachweis: Michael Whitney auf Flickr , Andy Roberts auf Flickr , Das Tor-Projekt, Inc.
