האם טור באמת אנונימי ומאובטח?

יש אנשים שמאמינים שטור היא דרך אנונימית, פרטית ומאובטחת לחלוטין לגשת לאינטרנט מבלי שאיש יוכל לפקח על הגלישה שלך ולאתר אותה בחזרה אליך - אבל האם זה? זה לא ממש כל כך פשוט.

טור אינו פיתרון האנונימיות והפרטיות המושלם. יש לו כמה מגבלות וסיכונים חשובים, שכדאי להיות מודעים אליהם אם אתה מתכוון להשתמש בו.

ניתן לרחרח צמתי יציאה

לקרוא הדיון שלנו על איך טור עובד לקבלת מבט מפורט יותר על האופן שבו טור מספק את האנונימיות שלו. לסיכום, כאשר אתה משתמש ב- Tor, תעבורת האינטרנט שלך מנותבת דרך הרשת של Tor ועוברת דרך כמה ממסרים שנבחרו באופן אקראי לפני היציאה מרשת Tor. Tor תוכנן כך שאי אפשר תיאורטית לדעת איזה מחשב אכן ביקש את התנועה. המחשב שלך יזם את החיבור או שהוא פשוט פועל כממסר, ומעביר את התנועה המוצפנת לצומת Tor אחר.

עם זאת, רוב תנועת Tor חייבת לצאת בסופו של דבר מרשת Tor. לדוגמא, נניח שאתה מתחבר לגוגל דרך Tor - התעבורה שלך עוברת דרך כמה ממסרי Tor, אך בסופו של דבר היא חייבת לצאת מרשת Tor ולהתחבר לשרתי גוגל. ניתן לעקוב אחר הצומת Tor האחרון, שבו התנועה שלך עוזבת את רשת Tor ונכנס לאינטרנט הפתוח. צומת זה בו התנועה יוצאת מרשת Tor מכונה "צומת יציאה" או "ממסר יציאה".

בתרשים שלהלן, החץ האדום מייצג את התנועה הלא מוצפנת בין צומת היציאה לבין "בוב", מחשב באינטרנט.

אם אתה ניגש לאתר מוצפן (HTTPS) כגון חשבון Gmail שלך, זה בסדר - אם כי צומת היציאה יכול לראות שאתה מתחבר ל- Gmail. אם אתה ניגש לאתר לא מוצפן, צומת היציאה יכול לפקח על פעילות האינטרנט שלך, לעקוב אחר דפי האינטרנט שאתה מבקר בהם, חיפושים שאתה מבצע והודעות שאתה שולח.

אנשים חייבים להסכים להפעלת צמתי יציאה, מכיוון שהפעלת צמתי יציאה מציבה אותם בסיכון משפטי יותר מאשר בהפעלת צומת ממסר העוברת תנועה. סביר להניח שממשלות מנהלות כמה צמתי יציאה ועוקבות אחר התנועה שעוזבת אותן, תוך שימוש במה שהם לומדים לחקירת פושעים או, במדינות דכאניות, להעניש פעילים פוליטיים.

זה לא רק סיכון תיאורטי. בשנת 2007, א חוקר אבטחה יירט סיסמאות והודעות דוא"ל עבור מאה חשבונות דוא"ל על ידי הפעלת צומת יציאה של Tor. המשתמשים המדוברים עשו את הטעות שלא השתמשו בהצפנה במערכת הדוא"ל שלהם, מתוך אמונה שטור יגן עליהם איכשהו באמצעות ההצפנה הפנימית שלה. אבל ככה לא עובד טור.

שיעור : בעת שימוש ב- Tor, הקפד להשתמש באתרי אינטרנט מוצפנים (HTTPS) לכל דבר רגיש. זכור כי ניתן לעקוב אחר התנועה שלך - לא רק על ידי ממשלות, אלא גם על ידי אנשים זדוניים המחפשים נתונים פרטיים.

JavaScript, תוספים ויישומים אחרים יכולים לדלוף את ה- IP שלך

חבילת הדפדפן Tor, אותה כיסינו מתי הסברנו כיצד להשתמש ב- Tor , מוגדר מראש עם הגדרות מאובטחות. JavaScript מושבת, יישומי פלאגין אינם יכולים לפעול, והדפדפן יזהיר אותך אם תנסה להוריד קובץ ולפתוח אותו ביישום אחר.

JavaScript אינו בדרך כלל סיכון אבטחה , אך אם אתה מנסה להסתיר את ה- IP שלך, אינך רוצה להשתמש ב- JavaScript. מנוע ה- JavaScript של הדפדפן שלך, תוספים כמו Adobe Flash ויישומים חיצוניים כמו Adobe Reader או אפילו נגן וידיאו עשויים כולם "להדליף" את כתובת ה- IP האמיתית שלך לאתר שמנסה לרכוש אותה.

חבילת הדפדפן Tor נמנעת מכל הבעיות הללו בהגדרות ברירת המחדל שלה, אך ייתכן שתשבית את ההגנות הללו ותשתמש ב- JavaScript או בתוספים בדפדפן Tor. אל תעשה זאת אם אתה רציני באנונימיות - ואם אינך רציני באנונימיות, אתה לא צריך להשתמש בטור מלכתחילה.

גם זה לא רק סיכון תיאורטי. בשנת 2011, א קבוצת חוקרים רכשה את כתובות ה- IP של 10,000 אנשים שהשתמשו בלקוחות BitTorrent דרך Tor. כמו סוגים רבים אחרים של יישומים, לקוחות BitTorrent אינם בטוחים ומסוגלים לחשוף את כתובת ה- IP האמיתית שלך.

שיעור : השאר את ההגדרות המאובטחות של דפדפן Tor. אל תנסו להשתמש ב- Tor עם דפדפן אחר - היצמדו לחבילת הדפדפנים Tor, שהוגדרה מראש עם ההגדרות האידיאליות. אתה לא צריך להשתמש ביישומים אחרים עם רשת Tor.

הפעלת צומת יציאה מעמידה אותך בסיכון

אם אתה מאמין גדול באנונימיות מקוונת, ייתכן שיהיה לך מוטיבציה לתרום את רוחב הפס שלך על ידי הפעלת ממסר Tor. זו לא אמורה להיות בעיה חוקית - ממסר Tor פשוט מעביר תנועה מוצפנת הלוך ושוב בתוך רשת Tor. טור משיג אנונימיות באמצעות ממסרים המנוהלים על ידי מתנדבים.

עם זאת, כדאי לחשוב פעמיים לפני הפעלת ממסר יציאה, שהוא מקום בו תנועת Tor יוצאת מהרשת האנונימית ומתחברת לאינטרנט הפתוח. אם עבריינים משתמשים ב- Tor לדברים לא חוקיים והתנועה יוצאת ממסר היציאה שלך, ניתן יהיה לאתר את התנועה לכתובת ה- IP שלך ותיתכן דפיקה בדלתך וציוד המחשב שלך יוחרם. אדם באוסטריה היה פשטו והואשמו בהפצת פורנוגרפיה של ילדים להפעלת צומת יציאה של Tor. הפעלת צומת יציאה של Tor מאפשרת לאנשים אחרים לעשות דברים רעים שניתן לאתר אליכם בדיוק כמו הפעלת רשת Wi-Fi פתוחה - אבל זה הרבה, הרבה, הרבה יותר סביר שבאמת יכניס אותך לצרות. התוצאות עשויות להיות לא עונש פלילי. אתה פשוט עלול להתמודד עם תביעה על הורדת תוכן המוגן בזכויות יוצרים או פעולה במסגרת ה- מערכת התראות זכויות יוצרים בארה"ב .

הסיכונים הכרוכים בהפעלת צמתים של יציאת Tor למעשה נקשרים לנקודה הראשונה. מכיוון שהפעלת צומת יציאה של Tor היא כה מסוכנת, מעטים האנשים שעושים זאת. ממשלות יכולות לברוח עם צמתים ביציאה, אולם סביר להניח שרבים עושים זאת.

שיעור : לעולם אל תפעיל צומת יציאה של Tor - ברצינות.

לפרויקט Tor יש המלצות להפעלת צומת יציאה אם אתה באמת רוצה. ההמלצות שלהם כוללות הפעלת צומת יציאה בכתובת IP ייעודית במתקן מסחרי ושימוש ב- ISP המותאם לטור. אל תנסו את זה בבית! (רוב האנשים לא צריכים אפילו לנסות זאת בעבודה).

---

טור אינו פיתרון קסם שמעניק לך אנונימיות. היא משיגה אנונימיות על ידי העברה חכמה של תעבורה מוצפנת דרך רשת, אך אותה תנועה צריכה להופיע איפשהו - וזו בעיה הן עבור המשתמשים של טור והן עבור מפעילי צמת היציאה. בנוסף, התוכנה שפועלת במחשבים שלנו לא נועדה להסתיר את כתובות ה- IP שלנו, מה שגורם לסיכונים כשאתה עושה משהו מעבר לצפייה בדפי HTML רגילים בדפדפן Tor.

אשראי תמונה: מייקל וויטני בפליקר , אנדי רוברטס בפליקר , פרויקט טור, בע"מ