האם טור באמת אנונימי ומאובטח?
יש אנשים הסבורים Tor היא דרך אנונימית, פרטית, מאובטחת לחלוטין לגשת לאינטרנט מבלי שאף אחד יוכל לפקח על הגלישה שלך ולעקוב אחורה אליך - אבל זה? זה לא כל כך פשוט.
טור אינו פתרון אנונימי ופרטיות מושלם. יש כמה מגבלות וסיכונים חשובים, אשר אתה צריך להיות מודע אם אתה הולך להשתמש בו.
יציאה צמתים ניתן לרחרח
קרא את הדיון שלנו על איך Tor עובד כדי לראות יותר מפורט כיצד Tor מספקת האנונימיות שלה. לסיכום, כאשר אתה משתמש ב- Tor, תעבורת האינטרנט שלך מנותבת דרך הרשת של Tor ועוברת מספר ממסרים שנבחרו באופן אקראי לפני היציאה מרשת Tor. Tor תוכנן כך שאי אפשר תיאורטית לדעת איזה מחשב בעצם ביקש את התנועה. ייתכן שהמחשב יזם את החיבור או שהוא פועל כממסר, ומסר את התנועה המוצפנת לצומת Tor אחר.
עם זאת, רוב התנועה טור חייב בסופו של דבר לצאת לרשת טור. לדוגמה, נניח שאתה מתחבר ל- Google דרך Tor - התנועה שלך מועברת דרך מספר משדרי Tor, אך בסופו של דבר היא תצא מרשת Tor ותתחבר לשרתים של Google. הצומת Tor האחרון, שבו התנועה שלך עוזב את הרשת Tor נכנס האינטרנט הפתוח, ניתן לפקח. צומת זה שבו התנועה יוצאת לרשת Tor ידוע כ"צומת יציאה "או" יציאה ממסר ".
בתרשים שלהלן, החץ האדום מייצג את התנועה הלא מוצפנת בין צומת היציאה לבין "בוב", מחשב באינטרנט.
אם אתה ניגש לאתר אינטרנט מוצפן (HTTPS), כגון חשבון Gmail שלך, זה בסדר - אם כי צומת היציאה יכול לראות שאתה מתחבר ל- Gmail. אם אתה ניגש לאתר לא מוצפן, צומת היציאה יכול לעקוב אחר פעילות האינטרנט שלך, לעקוב אחר דפי האינטרנט שבהם אתה מבקר, חיפושים שאתה מבצע והודעות שאתה שולח.
אנשים חייבים להסכים להפעיל צמתים יציאה, כמו הפעלת יציאות היציאה מעמיד אותם על יותר סיכון משפטי מאשר רק מפעיל צומת ממסר שעובר התנועה. סביר להניח שממשלות מפעילות כמה צמתים ליציאה ומפקחות על התנועה העוזבת אותן, תוך שימוש במה שהן לומדות לחקור פושעים, או במדינות מדכאות, להעניש פעילים פוליטיים.
זה לא רק סיכון תיאורטי. בשנת 2007, חוקר אבטחה ליירט סיסמאות והודעות דוא"ל עבור מאה חשבונות דוא"ל על ידי הפעלת צומת היציאה Tor. המשתמשים המדוברים עשו את הטעות של לא באמצעות הצפנה על מערכת הדוא"ל שלהם, האמונה כי Tor יהיה איכשהו להגן עליהם עם הצפנה פנימית שלה. אבל זה לא איך טור עובד.
שיעור: בעת שימוש ב- Tor, הקפד להשתמש באתרים מוצפנים (HTTPS) לכל דבר רגיש. יש לזכור כי התנועה שלך יכול להיות פיקוח - לא רק על ידי ממשלות, אלא על ידי אנשים זדוניים מחפשים נתונים פרטיים.
JavaScript, יישומי פלאגין ויישומים אחרים יכולים לדלוף את ה- IP שלך
החבילה של דפדפן Tor, שעליה הסתרנו כאשר הסברנו כיצד להשתמש ב- Tor, מגיעה מראש להגדרות מאובטחות. JavaScript מושבת, יישומי פלאגין אינם יכולים לפעול, והדפדפן יזהיר אותך אם תנסה להוריד קובץ ולפתוח אותו ביישום אחר.
JavaScript הוא בדרך כלל סיכון אבטחה, אבל אם אתה מנסה להסתיר את ה- IP שלך, אתה לא רוצה להשתמש ב- JavaScript. מנוע JavaScript של הדפדפן שלך, יישומי פלאגין כמו Adobe Flash ויישומים חיצוניים כגון Adobe Reader או אפילו נגן וידאו יכולים כולם "לדלוף" את כתובת ה- IP האמיתית שלך לאתר שמנסה לרכוש אותו.
חבילת הדפדפן של Tor נמנעת מכל הבעיות הללו עם הגדרות ברירת המחדל שלה, אך תוכל לבטל את ההגנות האלו ולהשתמש ב- JavaScript או ביישומי פלאגין בדפדפן Tor. אל תעשה את זה אם אתה רציני לגבי אלמוניות - ואם אתה לא רציני לגבי האנונימיות, אתה לא צריך להיות משתמש Tor מלכתחילה.
זה לא רק סיכון תיאורטי, או. בשנת 2011, קבוצת חוקרים רכשה את כתובות ה- IP של 10,000 אנשים שהיו באמצעות לקוחות BitTorrent דרך Tor. כמו סוגים רבים אחרים של יישומים, לקוחות BitTorrent הם חסרי ביטחון ומסוגלים לחשוף את כתובת ה- IP האמיתית שלך.
שיעור: השאר את ההגדרות המאובטחות של הדפדפן של Tor במקום. אל תנסה להשתמש ב- Tor עם דפדפן אחר - מקל עם צרור הדפדפן Tor, אשר כבר מוגדר מראש עם ההגדרות האידיאליות. אתה לא צריך להשתמש ביישומים אחרים עם רשת Tor.
הפעלת צומת יציאה מעביר אותך בסיכון
אם אתה מאמין גדול באינטרנט אנונימיות, אתה עשוי להיות מוטיבציה לתרום את רוחב הפס שלך על ידי הפעלת ממסר Tor. זו לא צריכה להיות בעיה משפטית - ממסר טור רק עובר תנועה מוצפן הלוך ושוב בתוך רשת Tor. טור משיג אנונימיות באמצעות ממסרים המנוהלים על ידי מתנדבים.
עם זאת, אתה צריך לחשוב פעמיים לפני הפעלת ממסר היציאה, וזה המקום שבו התנועה Tor יוצא מתוך הרשת האנונימית מתחבר לאינטרנט הפתוח. אם פושעים להשתמש טור עבור דברים בלתי חוקיים ואת התנועה יוצא ממסר היציאה שלך, כי התנועה יהיה ניתן לעקוב אחר כתובת ה- IP שלך ואתה עלול לקבל נקישה על הדלת שלך ציוד המחשב שלך החרימו. גבר באוסטריה פשט על הפצת פורנוגרפיית ילדים להפעלת צומת יציאה. הפעלת הצומת יציאה Tor מאפשר לאנשים אחרים לעשות דברים רעים שניתן לעקוב אחריך, בדיוק כמו הפעלה של רשת Wi-Fi פתוחה - אבל זה הרבה, הרבה, הרבה יותר סביר באמת לגרום לך לצרות. אך התוצאות אינן עשויות להיות עונש פלילי. אתה יכול רק בפני תביעה על הורדת תוכן המוגן בזכויות יוצרים או פעולה תחת מערכת התראה זכויות יוצרים בארה"ב.
הסיכונים הכרוכים בהפעלת צמתי יציאה של טור אכן קשורים חזרה לנקודה הראשונה. כי הפעלת צומת היציאה Tor הוא כל כך מסוכן, כמה אנשים עושים את זה. עם זאת, ממשלות יכולות לברוח עם צמתים יציבים הפועלים, ורבים מהם עושים זאת.
שיעור: לעולם אל תפעיל צומת יציאה טור - ברצינות.
פרויקט Tor יש המלצות להפעלת צומת יציאה אם אתה באמת רוצה. ההמלצות שלהם כוללות הפעלת צומת יציאה על כתובת IP ייעודית במתקן מסחרי באמצעות ספק שירותי אינטרנט ידידותי למשתמש. אל תנסה את זה בבית! (רוב האנשים לא צריכים אפילו לנסות את זה בעבודה.)
טור הוא לא פתרון קסם שמקנה לך אלמוניות. היא משיגה אנונימיות על ידי תנועה מוצפנת חולפת דרך רשת, אך התנועה צריכה להופיע איפשהו - דבר המהווה בעיה הן עבור המשתמשים של Tor והן של מפעילי הצומת. בנוסף, התוכנה שפועלת על המחשבים שלנו לא נועדה להסתיר את כתובות ה- IP שלנו, מה שמביא סיכונים כאשר עושים משהו מעבר לצפייה בדפי HTML פשוטים בדפדפן Tor.
קרדיט תמונה: מייקל ויטני על פליקר, אנדי רוברטס על פליקר, פרויקט טור, Inc.