By Leave a Comment on Tor og anonym browsing – hvor sikkert er det egentlig?

En artikel, der blev offentliggjort på det åbne blogging-site Medium tidligere på ugen, har givet anledning til nogle skræmmende overskrifter.

Historien er skrevet som en uafhængig forskningsartikel af en forfatter, der kun går under navnet nusenu, og den har overskriften:

How Malicious Tor Relays are Exploiting Users in 2020 (Part I)

23% af Tor-netværkets udgangskapacitet har angrebet Tor-brugere

Løst sagt indebærer denne overskrift, at hvis du besøger et websted ved hjælp af Tor, typisk i håb om at forblive anonym og holde dig væk fra uønsket overvågning, censur eller endda bare almindelig webtracking til markedsføringsformål …

… så er et ud af fire af disse besøg (måske flere!) vil blive udsat for cyberkriminelles målrettede kontrol.

Det lyder mere end bare bekymrende – det får det til at lyde som om, at brugen af Tor kan gøre dig endnu mindre sikker, end du allerede er, og at det derfor kan være et vigtigt skridt at gå tilbage til en almindelig browser til alting.

Så lad os hurtigt se på, hvordan Tor fungerer, hvordan skurke (og lande med strenge regler om censur og overvågning) kan misbruge det, og hvor skræmmende den ovennævnte overskrift egentlig er.

Tor-netværket (Tor er en forkortelse for løgrouteren, af årsager, der vil være indlysende om lidt, hvis du forestiller dig et løg, der falder fra hinanden, mens du skræller det), som oprindeligt blev designet af den amerikanske flåde, har følgende formål:

  1. At skjule din sande placering på netværket, mens du surfer, så servere ikke ved, hvor du er.
  2. At gøre det svært for nogen at “forbinde prikkerne” ved at spore dine forespørgsler om webbrowsing tilbage til din computer.

På dette tidspunkt tænker du måske: “Men det er præcis det, en VPN gør, og ikke kun for min browsing, men for alt, hvad jeg foretager mig online.”

Men det er det ikke.

En VPN (virtual private network) krypterer al din netværkstrafik og videresender den i krypteret form til en VPN-server, der drives af din VPN-udbyder, hvor den bliver dekrypteret og “injiceret” på internettet, som om den stammede fra denne VPN-server.

Alle netværkssvar modtages derfor af din VPN-udbyder på dine vegne og leveres tilbage til dig i krypteret form.

Den krypterede forbindelse mellem dine computere kaldes en VPN-tunnel og er i teorien usynlig for, eller i det mindste ikke snagelig for, andre personer på nettet.

Så som du kan se, tager en VPN sig af det første problem, der er nævnt ovenfor, nemlig at skjule din sande placering på netværket.

Men en VPN tager sig ikke af det andet problem, nemlig at gøre det svært for nogen at “samle punkterne”.

Sikkert, en VPN gør det svært for de fleste mennesker at sammenføje prikkerne, men den forhindrer ikke alle i at gøre det, af den simple grund, at VPN-udbyderen altid ved, hvor dine forespørgsler kommer fra, hvor de skal hen, og hvilke data du i sidste ende sender og modtager.

Din VPN-udbyder bliver derfor i bund og grund din nye internetudbyder, med samme grad af indsigt i dit online liv, som en almindelig internetudbyder har.

Hvorfor ikke bruge to VPN’er?

På dette tidspunkt tænker du sikkert: “Hvorfor ikke bruge to VPN’er i rækkefølge? I jargonudtryk, hvorfor ikke bygge en tunnel inde i en tunnel?

Du ville kryptere din netværkstrafik, så VPN2 kunne dekryptere den, og derefter kryptere den igen, så VPN1 kunne dekryptere den og sende den videre til VPN1.

Så VPN1 ville vide, hvor din trafik kom fra, og VPN2 ville vide, hvor den var på vej hen, men medmindre de to udbydere samarbejder, ville de hver især kun vide halvdelen af historien.

I teorien ville du have opfyldt begge ovenstående mål ved en slags del og hersk-tilgang, fordi enhver, der ønskede at spore dig tilbage, først skulle få dekrypterede trafiklogs fra VPN2 og derefter få oplysninger om brugernavn fra VPN1, før de kunne begynde at “forbinde prikkerne”.

Hvorfor stoppe ved to?

Som du kan forestille dig, er du ikke helt hjemme og tør, selv hvis du bruger to VPN’er.

For det første er der ved at bruge de samme to VPN’er hver gang et tydeligt mønster i dine forbindelser og dermed en konsistens i det spor, som en efterforsker (eller en svindler) kan følge for at forsøge at spore dig tilbage.

Selv om din trafik følger en kompliceret rute, tager den ikke desto mindre den samme rute hver gang, så det kan være tid og kræfter værd for en kriminel (eller en betjent) at arbejde sig baglæns gennem begge lag af VPN, selv om det betyder dobbelt så meget hacking eller dobbelt så mange arrestordrer.

For det andet er der altid en mulighed for, at de to VPN-udbydere, du vælger, i sidste ende kan være ejet eller drevet af den samme virksomhed.

Med andre ord er den tekniske, fysiske og juridiske adskillelse mellem de to VPN-udbydere måske ikke så stor, som du måske forventer – i en sådan grad, at de måske slet ikke behøver at samarbejde for at spore dig.

Så hvorfor ikke bruge tre VPN-udbydere, med en i midten, der hverken ved, hvem du er, eller hvor du i sidste ende skal hen?

Og hvorfor ikke hugge og skifte disse VPN’er ud med jævne mellemrum for at tilføje endnu mere “mix-and-mystery” til ligningen?

Men, meget forenklet, er det stort set sådan Tor fungerer.

En pulje af computere, der tilbydes af frivillige over hele verden, fungerer som anonymiserende relæer for at levere, hvad der i bund og grund er en tilfældig, multi-tunnel “mix-and-mystery” VPN for folk, der surfer via Tor-netværket.

I det meste af det seneste år har det samlede antal relæer, der er til rådighed for Tor-netværket, svinget mellem ca. 6.000 og 7.000, og hvert Tor-kredsløb, der er oprettet, bruger tre relæer, stort set tilfældigt, til at danne en slags VPN med tre tunneler.

Din computer vælger, hvilke relæer der skal bruges, ikke selve netværket, så der er faktisk en masse konstant skiftende “mix-and-mystery” involveret i at sende din trafik gennem Tor-netværket og tilbage igen.

Din computer henter de offentlige krypteringsnøgler for hvert af relæerne i det kredsløb, som den opretter, og forvrænger derefter de data, du sender, ved hjælp af tre løglignende krypteringslag, så det aktuelle relæ ved hvert hop i kredsløbet kun kan fjerne det yderste krypteringslag, inden det overdrager dataene til det næste.

Relæ 1 ved, hvem du er, men ikke hvor du er på vej hen, eller hvad du vil sige.

Relæ 3 ved, hvor du er på vej hen, men ikke hvem du er.

Relæ 2 holder de to andre relæer adskilt uden at vide hverken hvem du er eller hvor du er på vej hen, hvilket gør det meget sværere for relæ 1 og 3 at samarbejde, selv hvis de er indstillet på at gøre det.

Det er ikke helt så tilfældigt

I diagrammet ovenfor vil du bemærke, at den grønne linje i midten angiver særlige Tor-relæer kendt som vagter, eller entry guards i sin helhed, som er den delmængde af fungerende relæer, der anses for at være egnet til det første hop i et kredsløb med tre relæer.

(Af tekniske årsager bruger Tor faktisk den samme entry guard til alle dine forbindelser i ca. to måneder ad gangen, hvilket reducerer tilfældigheden i dine Tor-kredsløb en smule, men vi skal ignorere denne detalje her.)

Den orange linje nederst angiver på samme måde exits, eller exit nodes i fuld længde, som er relæer, der anses for at være pålidelige nok til at blive valgt som sidste hop i et kredsløb.

Bemærk, at her er kun omkring 1000 exit nodes aktive til enhver tid, ud af de 6000 til 7000 relæer, der er tilgængelige i alt.

Du kan sikkert se, hvor det her fører hen.

Og selv om Tor’s exit-noder ikke kan fortælle, hvor du befinder dig, takket være de anonymiserende virkninger af entry guard og middle relay (som skifter ofte), kan de se din endelige, dekrypterede trafik og dens endelige destination, fordi det er exit-noderne, der fjerner Tor’s sidste lag af mix-and-mystery-kryptering.

(Når du surfer på almindelige websteder via Tor, har netværket intet andet valg end at udsende dine rå, originale, dekrypterede data til det sidste hop på internettet, ellers ville det websted, du besøgte, ikke kunne finde nogen mening med dem.)

Med andre ord, hvis du bruger Tor til at surfe til en ikke-HTTPS-webside (ukrypteret), kan den Tor-udgangsknude, der håndterer din trafik, ikke kun snage i og ændre dine udgående webanmodninger, men også rode med de svar, der kommer tilbage.

Og med kun 1000 exit-noder til rådighed i gennemsnit behøver en skurk, der ønsker at få kontrol over en betydelig procentdel af exits, ikke at oprette tusindvis eller titusindvis af servere – et par hundrede er nok.

Og denne form for indgriben er det, som nusenu hævder at have opdaget i Tor-netværket i et omfang, der nogle gange kan involvere op til en fjerdedel af de tilgængelige exit-noder.

Mere specifikt hævder Nusenu, at hundredvis af Tor-relæer på “exit node”-listen i løbet af 2020 i perioder blev oprettet af kriminelt indstillede frivillige med bagvedliggende motiver:

Den fulde rækkevidde af deres operationer er ukendt, men en motivation synes at være klar og enkel: profit. De udfører person-in-the-middle-angreb på Tor-brugere ved at manipulere trafikken, mens den strømmer gennem deres exit-relæer. Det ser ud til, at de primært er ude efter kryptovaluta-relaterede websteder – nemlig flere bitcoin-mixertjenester. De erstattede bitcoin-adresser i HTTP-trafikken for at omdirigere transaktioner til deres tegnebøger i stedet for den bitcoin-adresse, som brugeren har angivet. Bitcoin-adresseomskrivningsangreb er ikke nye, men omfanget af deres operationer er det. Det er ikke muligt at afgøre, om de foretager andre typer angreb.

Simpelt sagt hævder Nusenu, at disse svindlere venter på at udnytte kryptovalutabrugere, der tror, at Tor i sig selv er nok til at sikre både deres anonymitet og deres data, og som derfor surfer via Tor, men som ikke sørger for at sætte https:// i starten af nye URL’er, som de indtaster.
.

HTTP betragtes som skadeligt

På godt og ondt kan du i mange tilfælde ignorere https://, når du indtaster URL’er i din browser, og du vil stadig ende på et HTTPS-websted, krypteret og beskyttet af en hængelås.

Ofte vil serveren i den anden ende reagere på en HTTP-forespørgsel med et svar, der siger: “Fra nu af skal du ikke længere bruge almindelig gammel HTTP”, og din browser vil huske dette og automatisk opgradere alle fremtidige forbindelser til dette websted, så de bruger HTTPS.

Disse “brug aldrig HTTP igen”-svar implementerer det, der er kendt som HSTS, en forkortelse for HTTP Strict Transport Security, og det er meningen, at de skal holde dig sikker mod snage og trafikmanipulation, selv om du aldrig stopper op og tænker over det.

Men der er et problem med hønen og ægget, nemlig at hvis svindlerne opsnapper din allerførste ikke-HTTPS-forbindelse til et websted, som du egentlig kun burde få adgang til via HTTPS, før “ikke mere HTTPS”-meddelelsen når frem, kan de måske:

  • holde dig i gang med at tale HTTP til deres fældet udgangsknude, mens de taler HTTPS videre til den endelige destination. Dette får det endelige websted til at tro, at du kommunikerer sikkert, men forhindrer dig i at indse, at destinationswebstedet ønsker, at du skal tale HTTPS.
  • Omskriv eventuelle svar fra det endelige bestemmelsessted, så HTTPS-links erstattes med HTTP. Dette forhindrer din browser i at opgradere til HTTPS senere i transaktionen, så du bliver hængende med almindelig gammel HTTP.

Hvad skal du gøre?

Her er nogle tips:

  • Glem ikke at skrive https:// i starten af URL’en! Af historiske årsager bruger browsere stadig HTTP som standard, indtil de ved bedre, så jo hurtigere du besøger et websted ved udtrykkeligt at skrive https:// i starten af URL’en, jo hurtigere beskytter du dig selv ved at gøre dine hensigter tydelige.
  • Hvis du driver et websted, skal du altid bruge HSTS til at fortælle dine besøgende, at de ikke skal bruge HTTP næste gang.
  • Hvis du driver et websted, hvor privatlivets fred og sikkerhed ikke er til forhandling, kan du overveje at ansøge om at få dit websted tilføjet til HSTS Preload-listen. Dette er en liste over websteder, hvor alle større browsere altid vil bruge HTTPS, uanset hvad URL’en siger.
  • Hvis din browser understøtter det eller har et plugin til at håndhæve det, kan du overveje at slå HTTP-understøttelsen helt fra. Firefox har f.eks. nu en ikke-standardkonfigurationsfunktion kaldet dom.security.https_only_mode. Nogle ældre websteder fungerer muligvis ikke korrekt med denne indstilling slået til, men hvis du mener det alvorligt med sikkerheden, skal du prøve det!

SÅDAN AKTIVERER DU HTTPS-ONLY MODE I FIREFOX 79

Aktivering af HTTP-only mode i Firefox.
1. Gå til about:config. 2. 2. Søg efter https_only_mode. 3. Slå indstillingen til.
Ved forsøg på at besøge en HTTP-side, hvor HTTPS ikke er tilgængelig eller blokeret.

(Desværre er Firefox’ “HTTPS-only”-indstilling endnu ikke tilgængelig i Tor-browseren, som stadig bruger en Extended Support Release-version, hvor denne funktion endnu ikke er dukket op.)

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.