Является ли Tor действительно анонимным и безопасным?
Некоторые люди считают, что Tor - это абсолютно анонимный, частный и безопасный способ доступа к Интернету, при котором никто не может контролировать ваш просмотр и отслеживать его вам, но так ли это? Это не так просто.
Tor не идеальное решение для анонимности и конфиденциальности. Он имеет несколько важных ограничений и рисков, о которых вам следует знать, если вы собираетесь его использовать.
Узлы выхода могут быть обнаружены
Прочитайте нашу дискуссию о том, как работает Tor, для более подробного ознакомления с тем, как Tor обеспечивает свою анонимность. Таким образом, когда вы используете Tor, ваш интернет-трафик направляется через сеть Tor и проходит через несколько случайно выбранных ретрансляторов перед выходом из сети Tor. Tor спроектирован так, что теоретически невозможно узнать, какой компьютер фактически запрашивал трафик. Возможно, ваш компьютер установил соединение или может просто выполнять роль ретранслятора, передавая этот зашифрованный трафик другому узлу Tor.
Однако большая часть трафика Tor в конечном итоге должна выходить из сети Tor. Например, предположим, что вы подключаетесь к Google через Tor - ваш трафик проходит через несколько ретрансляторов Tor, но в конечном итоге он должен выходить из сети Tor и подключаться к серверам Google. Последний узел Tor, где ваш трафик покидает сеть Tor и входит в открытый Интернет, можно отслеживать. Этот узел, где трафик выходит из сети Tor, известен как «узел выхода» или «выходное реле».
На приведенной ниже диаграмме красная стрелка представляет незашифрованный трафик между выходным узлом и «Бобом», компьютером в Интернете..
Если вы обращаетесь к зашифрованному (HTTPS) веб-сайту, такому как ваша учетная запись Gmail, это нормально, хотя выходной узел может видеть, что вы подключаетесь к Gmail. если вы заходите на незашифрованный веб-сайт, выходной узел может потенциально отслеживать вашу активность в Интернете, отслеживать посещаемые вами веб-страницы, выполняемые вами поиски и отправляемые вами сообщения..
Люди должны дать согласие на запуск выходных узлов, так как запуск выходных узлов подвергает их большему юридическому риску, чем просто запуск узла ретрансляции, который передает трафик. Вероятно, что правительства управляют некоторыми узлами выхода и отслеживают трафик, который их покидает, используя то, что они изучают, для расследования преступлений или, в репрессивных странах, наказания политических активистов..
Это не просто теоретический риск. В 2007 году исследователь безопасности перехватил пароли и сообщения электронной почты для сотен учетных записей электронной почты, запустив узел выхода Tor. Указанные пользователи допустили ошибку, не используя шифрование в своей системе электронной почты, полагая, что Tor каким-то образом защитит их с помощью внутреннего шифрования. Но это не то, как работает Tor.
Урок: При использовании Tor обязательно используйте зашифрованные (HTTPS) веб-сайты для чего-то важного. Имейте в виду, что ваш трафик может контролироваться не только правительствами, но и злоумышленниками, которые ищут личные данные.
JavaScript, плагины и другие приложения могут утечь ваш IP
Пакет браузера Tor, который мы рассмотрели, когда объясняли, как использовать Tor, поставляется с предварительно настроенными безопасными настройками. JavaScript отключен, плагины не могут работать, и браузер предупредит вас, если вы попытаетесь загрузить файл и открыть его в другом приложении.
JavaScript обычно не является угрозой безопасности, но если вы пытаетесь скрыть свой IP, вы не хотите использовать JavaScript. JavaScript-движок вашего браузера, плагины, такие как Adobe Flash, и внешние приложения, такие как Adobe Reader или даже видеоплеер, потенциально могут «утечь» ваш реальный IP-адрес на веб-сайт, который пытается его получить..
Пакет браузера Tor позволяет избежать всех этих проблем с настройками по умолчанию, но вы можете отключить эти средства защиты и использовать JavaScript или плагины в браузере Tor. Не делайте этого, если вы серьезно относитесь к анонимности - и если вы не серьезно относитесь к анонимности, вам не следует использовать Tor в первую очередь.
Это не просто теоретический риск. В 2011 году группа исследователей приобрела IP-адреса 10 000 человек, которые использовали клиенты BitTorrent через Tor. Как и многие другие типы приложений, клиенты BitTorrent небезопасны и способны раскрыть ваш реальный IP-адрес.
Урок: Оставьте настройки безопасности браузера Tor на месте. Не пытайтесь использовать Tor с другим браузером - придерживайтесь пакета браузера Tor, который был предварительно настроен с идеальными настройками. Вы не должны использовать другие приложения с сетью Tor.
Запуск выходного узла подвергает вас риску
Если вы большой сторонник анонимности в сети, у вас может быть желание пожертвовать свою пропускную способность, запустив ретранслятор Tor. Это не должно быть юридической проблемой - ретранслятор Tor просто передает зашифрованный трафик туда и обратно внутри сети Tor. Tor добивается анонимности с помощью реле, управляемых добровольцами.
Тем не менее, вам следует дважды подумать, прежде чем запускать выходной ретранслятор, который является местом, где трафик Tor выходит из анонимной сети и подключается к открытому Интернету. Если преступники используют Tor для незаконных действий и трафик поступает из вашего выходного реле, этот трафик будет отслеживаться по вашему IP-адресу, и вы можете постучаться в вашу дверь и конфисковать ваше компьютерное оборудование. Человек в Австрии был разгромлен и обвинен в распространении детской порнографии для запуска выхода узла Tor. Запуск выходного узла Tor позволяет другим людям совершать плохие поступки, которые можно отследить до вас, например, работать с открытой сетью Wi-Fi, но с гораздо большей вероятностью вы действительно столкнетесь с проблемами. Однако последствия не могут быть уголовным наказанием. Вы можете столкнуться с иском за загрузку защищенного авторским правом контента или действия в рамках системы оповещения об авторских правах в США..
Риски, связанные с работой выходных узлов Tor, фактически связаны с первой точкой. Поскольку запуск выходного узла Tor настолько рискован, мало кто это делает. Тем не менее, правительства могут избежать неприятностей с использованием выходных узлов - и, вероятно, многие.
Урок: Никогда не запускайте выходной узел Tor - серьезно.
В проекте Tor есть рекомендации по запуску выходного узла, если вы действительно этого хотите. Их рекомендации включают запуск выходного узла на выделенном IP-адресе в коммерческом учреждении и использование интернет-провайдера, дружественного к Tor. Не пытайтесь сделать это дома! (Большинство людей не должны даже пытаться это на работе.)
Tor не волшебное решение, которое дает вам анонимность. Он достигает анонимности благодаря умной передаче зашифрованного трафика через сеть, но этот трафик должен появляться где-то, что является проблемой как для пользователей Tor, так и для операторов выходных узлов. Кроме того, программное обеспечение, которое работает на наших компьютерах, не предназначено для сокрытия наших IP-адресов, что приводит к риску при выполнении чего-либо кроме просмотра простых HTML-страниц в браузере Tor..
Изображение предоставлено: Майкл Уитни на Flickr, Энди Робертс на Flickr, The Tor Project, Inc.