By Leave a Comment on Tor a anonymní prohlížení – jak bezpečné to je?

Článek zveřejněný na blogovacím serveru Medium, který je otevřený všem uživatelům, se tento týden postaral o děsivé titulky.

Příspěvek, který autor vystupující pouze pod jménem nusenu napsal jako nezávislý výzkum, nese titulek:

Jak škodlivé Tor relaye zneužívají uživatele v roce 2020 (část I)

23 % výstupní kapacity sítě Tor útočí na uživatele Toru

Volně řečeno, tento strapline naznačuje, že pokud navštívíte webovou stránku pomocí Toru, obvykle v naději, že zůstanete v anonymitě a vyhnete se nežádoucímu sledování, cenzuře nebo dokonce jen obyčejnému sledování webu pro marketingové účely….

…pak jedna ze čtyř návštěv (možná více!) bude předmětem cíleného dohledu kyberzločinců.

To zní víc než jen znepokojivě – zní to, jako by vás používání Toru mohlo učinit ještě méně bezpečnými, než už jste, a proto by návrat k běžnému prohlížeči pro všechno mohl být důležitým krokem.

Podívejme se tedy rychle na to, jak Tor funguje, jak ho mohou podvodníci (a země s přísnými pravidly cenzury a sledování) zneužít a jak děsivý je výše uvedený titulek.

Síť Tor (Tor je zkratka pro cibulový směrovač, z důvodů, které budou zřejmé za chvíli, pokud si představíte cibuli, která se při loupání rozpadá), kterou původně navrhlo americké námořnictvo, má za cíl:

  1. Při procházení sítě zamaskovat vaši skutečnou polohu, aby servery nepoznaly, kde se nacházíte.
  2. Ztížit komukoli „spojování bodů“ tím, že bude sledovat vaše požadavky na prohlížení webu zpět k vašemu počítači.

V tomto okamžiku si možná říkáte: „Ale to je přesně to, co dělá VPN, a to nejen pro moje prohlížení, ale pro všechno, co dělám online.“

Ale není tomu tak.

Virtuální privátní síť (VPN) šifruje veškerý váš síťový provoz a předává ho v zakódované podobě na server VPN provozovaný poskytovatelem VPN, kde je rozkódován a „vstříknut“ do internetu, jako by pocházel z tohoto serveru VPN.

Všechny síťové odpovědi jsou tedy vaším jménem přijímány poskytovatelem VPN a v zašifrované podobě doručeny zpět k vám.

Šifrované spojení mezi vašimi počítači se nazývá tunel VPN a teoreticky je pro ostatní lidi na internetu neviditelné nebo alespoň nesledovatelné.

Jak tedy vidíte, VPN se zabývá prvním výše uvedeným problémem: zamaskováním vaší skutečné polohy v síti.

Ve VPN se však neřeší druhý problém, a sice ztížení toho, aby někdo „spojil body“.

Jistě, VPN ztěžuje většině lidí spojování bodů, ale nebrání v tom každému, a to z jednoduchého důvodu: poskytovatel VPN vždy ví, odkud vaše požadavky přicházejí, kam směřují a jaká data nakonec odesíláte a přijímáte.

Poskytovatel VPN se tak v podstatě stává vaším novým poskytovatelem internetových služeb, který má stejný přehled o vašem online životě jako běžný poskytovatel.

Proč nepoužívat dvě VPN?

V tomto okamžiku si pravděpodobně říkáte: „Proč nepoužívat dvě VPN za sebou? Žargonově řečeno, proč nevytvořit tunel uvnitř tunelu?“

Zašifrovali byste svůj síťový provoz, aby ho VPN2 dešifrovala, pak ho znovu zašifrovali, aby ho VPN1 dešifrovala, a poslali ho dál do VPN1.

Takže VPN1 by věděla, odkud váš provoz přišel, a VPN2 by věděla, kam směřuje, ale pokud by se oba poskytovatelé nedohodli, každý by věděl jen polovinu informací.

Teoreticky byste oba výše uvedené cíle splnili jakýmsi přístupem „rozděl a panuj“, protože každý, kdo by vás chtěl vystopovat, by musel nejprve získat dešifrované záznamy o provozu od VPN2 a poté získat údaje o uživatelském jménu od VPN1, než by mohl začít „spojovat body“.

Proč se zastavit u dvou?

Jak si jistě dokážete představit, ani při použití dvou VPN nejste úplně doma a v suchu.

Především tím, že pokaždé používáte stejné dvě VPN, existuje zřejmý vzorec vašich připojení, a tedy i konzistentní stopa, kterou by vyšetřovatel (nebo podvodník) mohl sledovat a pokusit se vás vystopovat.

Přestože váš provoz probíhá po komplikované trase, přesto pokaždé vede stejnou cestou, takže by se zločinci (nebo policistovi) mohlo vyplatit věnovat čas a úsilí tomu, aby se propracoval zpětně přes obě vrstvy VPN, i kdyby to znamenalo dvojnásobné množství hackerských útoků nebo dvojnásobné množství zatykačů.

Druhé, vždy existuje možnost, že oba poskytovatelé VPN, které si vyberete, mohou být nakonec vlastněni nebo provozováni stejnou společností.

Jinými slovy, technické, fyzické a právní oddělení mezi oběma VPN nemusí být tak významné, jak by se dalo očekávat – do té míry, že by se vůbec nemusely domlouvat, aby vás vystopovaly.

Proč tedy nepoužívat tři VPN, přičemž uprostřed by byla jedna, která neví, kdo jste ani kam nakonec míříte?

A proč ty VPN pravidelně nesekat a neměnit, aby se do rovnice přidalo ještě víc mix-and-mystery?

No, velmi zjednodušeně řečeno, takhle v podstatě funguje Tor.

Skupina počítačů, které nabízejí dobrovolníci z celého světa, funguje jako anonymizační relé a poskytuje v podstatě náhodnou, vícetunelovou „mix-and-mystery“ VPN pro lidi, kteří surfují přes síť Tor.

Po většinu minulého roku se celkový počet relé, která má síť Tor k dispozici, pohyboval mezi přibližně 6000 a 7000, přičemž každý nastavený okruh sítě Tor používá tři relé, většinou náhodně, a vytváří tak jakousi třítunelovou VPN.

Váš počítač si vybírá, která relé bude používat, nikoliv síť samotná, takže při přeskakování vašeho provozu přes síť Tor a zpět skutečně dochází ke spoustě neustále se měnících mix-and-mystery.

Váš počítač získá veřejné šifrovací klíče pro každé z relé v okruhu, který nastavuje, a pak zakóduje data, která posíláte, pomocí tří vrstev šifrování podobných cibuli, takže na každém skoku v okruhu může aktuální relé před předáním dat dalšímu oddělit pouze nejvnější vrstvu šifrování.

Relace 1 ví, kdo jste, ale neví, kam jdete nebo co chcete říct.

Relace 3 ví, kam jdete, ale neví, kdo jste.

Relace 2 drží ostatní dvě relace od sebe, aniž by věděla, kdo jste nebo kam jdete, takže je pro relace 1 a 3 mnohem těžší se domluvit, i kdyby k tomu měly sklony.

Není to tak úplně náhodné

V grafu výše si všimněte, že zelená čára uprostřed označuje speciální relé Tor známá jako strážci, nebo plně vstupní strážci, což je podmnožina pracovních relé považovaných za vhodná pro první skok v tříreléovém okruhu.

(Z technických důvodů Tor ve skutečnosti používá stejného vstupního strážce pro všechna spojení po dobu asi dvou měsíců, což poněkud snižuje náhodnost v okruzích Tor, ale tento detail zde budeme ignorovat.)

Oranžová čára dole označuje výstupy neboli plně exitové uzly, což jsou relé, která jsou považována za dostatečně spolehlivá na to, aby byla vybrána pro poslední skok v okruhu.

Všimněte si, že zde je v každém okamžiku aktivních jen asi 1000 výstupních uzlů z celkových 6000 až 7000 dostupných relé.

Jistě chápete, kam to směřuje.

Výstupní uzly Toru sice díky anonymizačním účinkům vstupního hlídače a prostředního relé (které se často mění) nemohou zjistit, kde se nacházíte, ale vidí váš konečný, dešifrovaný provoz a jeho konečný cíl, protože právě výstupní uzel odstraňuje z Toru poslední vrstvu šifrování mix-and-mystery.

(Při prohlížení běžných webových stránek přes Tor nemá síť jinou možnost než vysílat vaše nezpracovaná, původní, dešifrovaná data pro poslední skok po internetu, jinak by navštívená stránka nemohla dávat žádný smysl.)

Jinými slovy, pokud používáte Tor k prohlížení nešifrovaných (nešifrovaných) webových stránek, pak výstupní uzel Toru, který zpracovává váš provoz, může nejen špehovat a upravovat vaše odchozí webové požadavky, ale také si zahrávat s odpověďmi, které přijdou zpět.

A vzhledem k tomu, že v průměru je k dispozici pouze 1000 výstupních uzlů, nepotřebuje podvodník, který chce získat kontrolu nad značným procentem výstupů, zřizovat tisíce nebo desetitisíce serverů – stačí mu několik stovek.

A právě tento druh zásahů nusenu tvrdí, že v síti Tor zjistil v rozsahu, který se někdy může týkat až čtvrtiny dostupných výstupních uzlů.

Přesněji řečeno, Nusenu tvrdí, že někdy během roku 2020 byly stovky relayů Tor v seznamu „exit node“ založeny kriminálně smýšlejícími dobrovolníky s postranními úmysly:

Úplný rozsah jejich operací není znám, ale jedna motivace se zdá být prostá a jednoduchá: zisk. Provádějí útoky typu „osoba uprostřed“ (person-in-the-middle) na uživatele sítě Tor tím, že manipulují s provozem, který proudí přes jejich výstupní relé. Zdá se, že jim jde především o webové stránky související s kryptoměnami – konkrétně o několik služeb míchání bitcoinů. V provozu HTTP nahrazují bitcoinové adresy, aby přesměrovali transakce do svých peněženek místo na bitcoinovou adresu zadanou uživatelem. Útoky na přepisování bitcoinových adres nejsou novinkou, ale rozsah jejich operací ano. Není možné zjistit, zda se zapojují i do jiných typů útoků.

Zjednodušeně řečeno, Nusenu tvrdí, že tito podvodníci čekají, až se budou moci přiživit na uživatelích kryptoměn, kteří si myslí, že Tor sám o sobě stačí k zabezpečení jejich anonymity i dat, a kteří proto surfují přes Tor, ale nedbají na to, aby na začátek nových URL, které zadávají, dávali https://.
.

HTTP považováno za škodlivé

V dobrém i zlém, ve většině případů můžete https:// při zadávání URL do prohlížeče ignorovat a stejně skončíte na webu HTTPS, šifrovaném a chráněném visacím zámkem.

Často se stává, že server na druhé straně zareaguje na požadavek HTTP odpovědí: „Od této chvíle už prosím nepoužívejte starý HTTP,“ a váš prohlížeč si to zapamatuje a automaticky změní všechna budoucí připojení k danému webu tak, aby používaly HTTPS.

Tyto odpovědi „už nikdy nepoužívejte HTTP“ implementují takzvaný HSTS, zkratku pro HTTP Strict Transport Security, a mají vás ochránit před špehováním a manipulací s provozem, i když se nad tím nikdy nepozastavíte.

Je tu ale problém slepice a vejce, a sice že pokud podvodníci zachytí vaše úplně první spojení bez HTTPS na webovou stránku, na kterou byste skutečně měli přistupovat pouze přes HTTPS, než se zpráva „už nikdy více HTTPS“ dostane k vám, mohou být schopni:

  • Nechat vás komunikovat přes HTTP do svého nastraženého výstupního uzlu, zatímco dál do cílového místa budete komunikovat přes HTTPS. Díky tomu si konečný web bude myslet, že komunikujete bezpečně, ale vy si neuvědomíte, že cílový web chce, abyste mluvili HTTPS.
  • Přepsat všechny odpovědi od konečného cíle tak, aby nahradily všechny odkazy HTTPS odkazy HTTP. Tím zabráníte prohlížeči, aby později v průběhu transakce přešel na protokol HTTPS, a zůstanete tak u starého protokolu HTTP.

Co dělat?

Tady je několik tipů:

  • Nezapomeňte na začátku adresy URL napsat https://! Prohlížeče z historických důvodů stále standardně používají protokol HTTP, dokud se nedozvědí něco lepšího, takže čím dříve navštívíte web výslovným zadáním https:// na začátku adresy URL, tím dříve se ochráníte tím, že dáte najevo své záměry.
  • Pokud provozujete web, vždy použijte HSTS, abyste návštěvníkům příště řekli, že nemají používat protokol HTTP.
  • Pokud provozujete web, kde je soukromí a bezpečnost neoddiskutovatelná, zvažte žádost o přidání svého webu na seznam HSTS Preload. Jedná se o seznam webových stránek, u kterých všechny hlavní prohlížeče vždy použijí protokol HTTPS, ať už je na adrese URL uvedeno cokoli.
  • Pokud to váš prohlížeč podporuje nebo má zásuvný modul, který to vynucuje, zvažte úplné vypnutí podpory protokolu HTTP. Například prohlížeč Firefox má nyní funkci pro nestandardní konfiguraci nazvanou dom.security.https_only_mode. Některé starší weby nemusí se zapnutým nastavením fungovat správně, ale pokud to se zabezpečením myslíte vážně, zkuste to!

JAK ZAPNOUT REŽIM POUZE PRO HTTPS VE FIREFOXU 79

Zapnutí režimu pouze pro HTTP ve Firefoxu.
1. Jak zapnout režim HTTP? Přejděte na stránku about:config. 2. Vyhledejte položku https_only_mode. 3. Zapněte tuto možnost.
Pokus o návštěvu stránky HTTP, kde je HTTPS nedostupné nebo blokované.

(Bohužel možnost „pouze HTTPS“ ve Firefoxu zatím není k dispozici v prohlížeči Tor, který stále používá verzi Extended Support Release, kde se tato funkce ještě neobjevila)

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.