Vissa människor tror att Tor är ett helt anonymt, privat och säkert sätt att komma åt Internet utan att någon kan övervaka din surfning och spåra tillbaka till dig - men är det? Det är inte så enkelt.
Tor är inte den perfekta lösningen för anonymitet och integritet. Den har flera viktiga begränsningar och risker, som du bör vara medveten om om du ska använda den.
Utgångsnoder kan snusas
Läsa vår diskussion om hur Tor fungerar för en mer detaljerad titt på hur Tor ger sin anonymitet. Sammanfattningsvis dirigeras din internettrafik genom Tor: s nätverk när du använder Tor och går igenom flera slumpmässigt valda reläer innan du lämnar Tor-nätverket. Tor är utformad så att det teoretiskt är omöjligt att veta vilken dator som faktiskt begärde trafiken. Din dator kan ha initierat anslutningen eller den kan bara fungera som ett relä och vidarebefordra den krypterade trafiken till en annan Tor-nod.
Men de flesta Tor-trafik måste så småningom komma från Tor-nätverket. Låt oss till exempel säga att du ansluter till Google via Tor - din trafik skickas genom flera Tor-reläer, men den måste så småningom komma ut från Tor-nätverket och ansluta till Googles servrar. Den sista Tor-noden, där din trafik lämnar Tor-nätverket och går in på det öppna Internet, kan övervakas. Denna nod där trafik går ut ur Tor-nätverket är känd som en "exit node" eller "exit relay."
I nedanstående diagram representerar den röda pilen den okrypterade trafiken mellan utgångsnoden och "Bob", en dator på Internet.
Om du öppnar en krypterad (HTTPS) webbplats som ditt Gmail-konto är det okej - även om utgångsnoden kan se att du ansluter till Gmail. om du besöker en okrypterad webbplats kan utgångsnoden potentiellt övervaka din Internetaktivitet, hålla reda på de webbsidor du besöker, sökningar du utför och meddelanden du skickar.
Människor måste samtycka till att köra utgångsnoder, eftersom körning av utgångsnoder innebär en större juridisk risk än att bara köra en relänod som passerar trafik. Det är troligt att regeringar driver några utgångsnoder och övervakar trafiken som lämnar dem, med hjälp av vad de lär sig för att utreda brottslingar eller, i repressiva länder, straffa politiska aktivister.
Detta är inte bara en teoretisk risk. År 2007, a säkerhetsforskare avlyssnade lösenord och e-postmeddelanden för hundra e-postkonton genom att köra en Tor-utgångsnod. Användarna i fråga gjorde misstaget att de inte använde kryptering i sitt e-postsystem och trodde att Tor på något sätt skulle skydda dem med sin interna kryptering. Men så fungerar inte Tor.
Lektion : Var noga med att använda krypterade (HTTPS) webbplatser för allt känsligt när du använder Tor. Tänk på att din trafik kan övervakas - inte bara av regeringar utan av skadliga människor som letar efter privat data.
JavaScript, plugin-program och andra applikationer kan läcka din IP
Tor-webbläsarbunten, som vi täckte när vi förklarade hur man använder Tor , kommer förkonfigurerad med säkra inställningar. JavaScript är inaktiverat, plugin-program kan inte köras och webbläsaren varnar dig om du försöker ladda ner en fil och öppna den i ett annat program.
JavaScript är normalt inte en säkerhetsrisk , men om du försöker dölja din IP vill du inte använda JavaScript. Din webbläsares JavaScript-motor, plug-ins som Adobe Flash och externa applikationer som Adobe Reader eller till och med en videospelare kan alla "läcka" din riktiga IP-adress till en webbplats som försöker skaffa den.
Tor-webbläsarbuntet undviker alla dessa problem med sina standardinställningar, men du kan eventuellt inaktivera dessa skydd och använda JavaScript eller plugin-program i Tor-webbläsaren. Gör inte detta om du menar allvar med anonymitet - och om du inte är seriös om anonymitet, bör du inte använda Tor i första hand.
Det här är inte bara en teoretisk risk heller. Under 2011 kom en grupp forskare förvärvade IP-adresserna av 10 000 personer som använde BitTorrent-klienter via Tor. Liksom många andra typer av applikationer är BitTorrent-klienter osäkra och kan avslöja din riktiga IP-adress.
Lektion : Lämna Tor-webbläsarens säkra inställningar på plats. Försök inte använda Tor med en annan webbläsare - håll fast med Tor-webbläsarbunten, som har förkonfigurerats med de perfekta inställningarna. Du bör inte använda andra applikationer med Tor-nätverket.
Att köra en utgångsnod sätter dig i fara
Om du tror mycket på anonymitet på nätet kan du vara motiverad att donera din bandbredd genom att köra ett Tor-relä. Detta borde inte vara ett juridiskt problem - ett Tor-relä passerar bara krypterad trafik fram och tillbaka inuti Tor-nätverket. Tor uppnår anonymitet genom reläer som drivs av volontärer.
Du bör dock tänka två gånger innan du kör ett utgångsrelä, vilket är en plats där Tor-trafik kommer ut från det anonyma nätverket och ansluter till det öppna Internet. Om brottslingar använder Tor för olagliga saker och trafiken kommer ut ur ditt utgångsrelä kan den trafiken spåras till din IP-adress och du kan få en knackning på din dörr och din datorutrustning konfiskerad. En man i Österrike var plundrade och anklagades för att distribuera barnpornografi för att köra en Tor-utgångsnod. Att köra en Tor-utgångsnod gör att andra kan göra dåliga saker som kan spåras tillbaka till dig, precis som driver ett öppet Wi-Fi-nätverk - men det är mycket, mycket, mycket mer sannolikt att du faktiskt får problem. Konsekvenserna kanske inte är straffrättsliga. Du kanske bara står inför en rättegång för nedladdning av upphovsrättsskyddat innehåll eller åtgärder under Copyright Alert System i USA .
Riskerna med att köra Tor-utgångsnoder knyter faktiskt tillbaka till den första punkten. Eftersom det är så riskabelt att köra en Tor-utgångsnod gör det få människor. Regeringar kan dock komma undan med att köra utgångsnoder - och det är troligtvis många som gör det.
Lektion : Kör aldrig en Tor-utgångsnod - på allvar.
Tor-projektet har rekommendationer för att köra en utgångsnod om du verkligen vill. Deras rekommendationer inkluderar att köra en utgångsnod på en dedikerad IP-adress i en kommersiell anläggning och använda en Tor-vänlig ISP. Försök inte detta hemma! (De flesta borde inte ens prova detta på jobbet.)
Tor är inte en magisk lösning som ger dig anonymitet. Det uppnår anonymitet genom smart skickad krypterad trafik genom ett nätverk, men den trafiken måste dyka upp någonstans - vilket är ett problem för både Tor-användare och utgångsnodoperatörer. Dessutom var programvaran som körs på våra datorer inte utformad för att dölja våra IP-adresser, vilket leder till risker när du gör något utöver att visa vanliga HTML-sidor i Tor-webbläsaren.
Bildkredit: Michael Whitney på Flickr , Andy Roberts på Flickr , Tor-projektet, Inc.
