Деякі люди вважають, що Tor - це абсолютно анонімний, приватний та безпечний спосіб отримати доступ до Інтернету, не маючи змоги стежити за вашим переглядом і відстежувати його до вас - але це так? Це не все так просто.
Tor не є ідеальним рішенням для анонімності та конфіденційності. У нього є кілька важливих обмежень та ризиків, про які ви повинні знати, якщо збираєтеся ним користуватися.
Вихідні вузли можна нюхати
Прочитайте наше обговорення того, як працює Tor для більш детального вивчення того, як Tor забезпечує свою анонімність. Таким чином, коли ви використовуєте Tor, ваш Інтернет-трафік проходить через мережу Tor і проходить кілька випадково вибраних реле перед виходом із мережі Tor. Tor спроектований таким чином, що теоретично неможливо знати, який комп’ютер насправді запитував трафік. Можливо, ваш комп’ютер ініціював з’єднання або він просто виконує роль ретранслятора, передаючи зашифрований трафік іншому вузлу Tor.
Однак більшість трафіку Tor з часом має вийти з мережі Tor. Наприклад, скажімо, ви підключаєтеся до Google через Tor - ваш трафік передається через кілька реле Tor, але з часом він повинен вийти з мережі Tor і підключитися до серверів Google. Останній вузол Tor, де ваш трафік залишає мережу Tor і потрапляє у відкритий Інтернет, можна контролювати. Цей вузол, де трафік виходить із мережі Tor, відомий як "вузол виходу" або "реле виходу".
На діаграмі нижче червона стрілка відображає незашифрований трафік між вузлом виходу та "Боб", комп'ютером в Інтернеті.
Якщо ви отримуєте доступ до зашифрованого веб-сайту (HTTPS), такого як ваш обліковий запис Gmail, це нормально - хоча вузол виходу бачить, що ви підключаєтеся до Gmail. якщо ви отримуєте доступ до незашифрованого веб-сайту, вихідний вузол може потенційно контролювати вашу діяльність в Інтернеті, відстежуючи веб-сторінки, які ви відвідуєте, пошукові запити, які ви виконуєте, та повідомлення, які ви надсилаєте.
Люди повинні дати згоду на запуск вузлів виходу, оскільки запуск вузлів виходу становить більший юридичний ризик, ніж просто запуск вузла ретрансляції, який пропускає трафік. Цілком ймовірно, що уряди проводять деякі вузли виходу та контролюють рух транспорту, який залишає їх, використовуючи те, що вони дізнаються, для розслідування злочинців або, в репресивних країнах, покарання політичних активістів.
Це не просто теоретичний ризик. У 2007 році a дослідник безпеки перехопив паролі та повідомлення електронної пошти для сотні облікових записів електронної пошти, запустивши вузол виходу Tor. Запитані користувачі допустили помилку, не використовуючи шифрування у своїй системі електронної пошти, вважаючи, що Tor якось захистить їх своїм внутрішнім шифруванням. Але Tor не так працює.
Урок : Використовуючи Tor, обов’язково використовуйте зашифровані веб-сайти (HTTPS) для будь-чого чутливого. Майте на увазі, що за вашим трафіком можуть стежити не лише уряди, а й зловмисні люди, які шукають приватні дані.
JavaScript, плагіни та інші програми можуть просочити ваш IP
Комплект браузера Tor, який ми розглядали коли ми пояснили, як користуватися Tor , поставляється з попередньо налаштованими безпечними налаштуваннями. JavaScript вимкнено, плагіни не можуть працювати, і браузер попередить вас, якщо ви спробуєте завантажити файл і відкрити його в іншій програмі.
Як правило, JavaScript не є ризиком для безпеки , але якщо ви намагаєтеся приховати свою IP-адресу, ви не хочете використовувати JavaScript. Механізм JavaScript вашого браузера, плагіни, такі як Adobe Flash, та зовнішні програми, такі як Adobe Reader або навіть відеопрогравач, можуть потенційно "просочити" вашу реальну IP-адресу на веб-сайт, який намагається її отримати.
Комплект браузера Tor дозволяє уникнути всіх цих проблем із налаштуваннями за замовчуванням, але ви потенційно можете вимкнути ці засоби захисту та використовувати JavaScript або плагіни в браузері Tor. Не робіть цього, якщо ви серйозно ставитеся до анонімності - а якщо ви несерйозно ставитеся до анонімності, вам не слід використовувати Tor в першу чергу.
Це теж не лише теоретичний ризик. У 2011 р група дослідників придбала IP-адреси з 10 000 людей, які використовували клієнтів BitTorrent через Tor. Як і багато інших типів програм, клієнти BitTorrent небезпечні та здатні відкрити вашу справжню IP-адресу.
Урок : Залиште безпечні налаштування браузера Tor на місці. Не намагайтеся використовувати Tor з іншим браузером - дотримуйтесь набору браузера Tor, який було попередньо налаштовано з ідеальними налаштуваннями. Не слід використовувати інші програми з мережею Tor.
Запуск вузла виходу ризикує
Якщо ви дуже любите анонімність в Інтернеті, вас може спонукати пожертвувати свою пропускну здатність, запустивши реле Tor. Це не повинно бути юридичною проблемою - реле Tor просто передає зашифрований трафік туди-сюди всередині мережі Tor. Tor досягає анонімності завдяки естафетам, які проводяться волонтерами.
Однак вам слід добре подумати, перш ніж запускати реле виходу, це місце, де трафік Tor виходить з анонімної мережі і підключається до відкритого Інтернету. Якщо зловмисники використовують Tor для незаконних речей, а трафік виходить з вашого реле виходу, цей трафік буде простежено до вашої IP-адреси, і ви можете постукати у двері, а комп'ютерне обладнання конфіскувати. Людина в Австрії була здійснив наліт і звинуватив у розповсюдженні дитячої порнографії для запуску вузла виходу Tor. Запуск вузла виходу Tor дозволяє іншим людям робити погані речі, які можна простежити до вас, як і керування відкритою мережею Wi-Fi - але це набагато, набагато, набагато більше шансів насправді потрапити у біду. Однак наслідками може бути не кримінальне покарання. Ви можете просто подати до суду за скачування вмісту, захищеного авторським правом, або дії відповідно до Система попередження про авторські права в США .
Ризики, пов'язані із запуском вузлів виходу Tor, насправді відносяться до першої точки. Оскільки запуск вузла виходу Tor є настільки ризикованим, мало хто це робить. Однак уряди можуть уникнути запуску вихідних вузлів - і це, мабуть, багато хто робить.
Урок : Ніколи не запускайте вузол виходу Tor - серйозно.
Проект Tor має рекомендації щодо запуску вузла виходу якщо дуже хочеш. Їх рекомендації включають запуск вузла виходу на виділену IP-адресу в комерційному об'єкті та використання провайдера, зручного для Tor. Не пробуйте це вдома! (Більшість людей не повинні навіть пробувати це на роботі.)
Tor - це не чарівне рішення, яке надає вам анонімність. Він досягає анонімності, розумно передаючи зашифрований трафік через мережу, але цей трафік повинен десь виникати - що є проблемою як для користувачів Tor, так і для операторів вихідних вузлів. Крім того, програмне забезпечення, яке працює на наших комп’ютерах, не було розроблене для приховування наших IP-адрес, що спричиняє ризики, якщо робити щось, окрім перегляду простих HTML-сторінок у браузері Tor.
Кредит зображення: Майкл Уітні на Flickr , Енді Робертс на Flickr , Проект Tor, Inc.
