By Leave a Comment on Tor ja anonyymi selailu – kuinka turvallista se on?

Aiemmin tällä viikolla avoimella blogisivusto Mediumilla julkaistu artikkeli on saanut aikaan pelottavia otsikoita.

Juttu on kirjoitettu itsenäisenä tutkimusartikkelina, jonka kirjoittaja käyttää vain nimeä nusenu, ja se on otsikoitu:

How Malicious Tor Relays are Exploiting Users in 2020 (Part I)

23 % Tor-verkon poistumiskapasiteetista on hyökännyt Tor-käyttäjien kimppuun

Vapaasti sanottuna tuo otsikko viittaa siihen, että jos vierailet verkkosivulla Torin avulla, tyypillisesti siinä toivossa, että voisit pysytellä nimettömänä ja pysyt poissa ei-toivotusta valvonnasta, sensuurista tai jopa ihan tavallisesta vanhan web-verkon seurannasta markkinointitarkoituksia varten…

…silloin yksi neljästä käynnistä (ehkä enemmänkin)!) joutuu kyberrikollisten tarkoituksellisen tarkkailun kohteeksi.

Tämä kuulostaa enemmän kuin vain huolestuttavalta – se saa sen kuulostamaan siltä, että Torin käyttäminen saattaisi tehdä sinusta vieläkin turvattomamman kuin mitä olet jo nyt, ja siksi paluu tavalliseen selaimeen voisi olla tärkeä askel.

Katsotaan siis nopeasti, miten Tor toimii, miten roistot (ja maat, joissa on tiukat sensuuri- ja valvontasäännöt) saattavat käyttää sitä väärin ja miten pelottava edellä mainittu otsikko todella on.

Tor-verkon (Tor on lyhenne sipulireitittimestä, syistä, jotka käyvät pian selviksi, jos kuvittelet sipulin hajoavan, kun kuorit sitä), jonka alun perin suunnitteli Yhdysvaltain laivasto, tarkoituksena on:

  1. Naamioida todellinen sijaintisi verkossa selatessasi, jotta palvelimet eivät tiedä, missä olet.
  2. Vaikeuttaa kenenkään ”yhdistää pisteitä” jäljittämällä selauspyyntösi takaisin tietokoneeseesi.

Tässä vaiheessa saatat miettiä: ”Mutta VPN tekee juuri näin, eikä vain selaamiselleni, vaan kaikelle, mitä teen verkossa.”

Mutta se ei ole.

VPN (virtuaalinen yksityisverkko) salaa kaiken verkkoliikenteesi ja välittää sen salatussa muodossa VPN-palvelimelle, jota VPN-palveluntarjoajasi ylläpitää, jossa se puretaan ja ”syötetään” internetiin ikään kuin se olisi peräisin kyseiseltä VPN-palvelimelta.

Verkon vastaukset vastaanottaa siis VPN-palveluntarjoajasi puolestasi ja toimittaa ne salatussa muodossa takaisin sinulle.

Tietokoneidesi välistä salattua yhteyttä kutsutaan VPN-tunneliksi, ja se on teoriassa näkymätön tai ainakin nuuskimaton muille ihmisille verkossa.

Kuten huomaat, VPN:llä ratkaistaan ensimmäinen edellä mainittu ongelma: todellisen sijaintisi salaaminen verkossa.

Mutta VPN:llä ei ratkaista toista ongelmaa, nimittäin sitä, että kenenkään on vaikea ”yhdistää pisteitä”.

Totta kai VPN vaikeuttaa useimpien ihmisten ”pisteiden yhdistämistä”, mutta se ei estä kaikkia tekemästä sitä siitä yksinkertaisesta syystä, että VPN-palveluntarjoaja tietää aina, mistä pyyntösi tulevat, minne ne menevät ja mitä tietoja lopulta lähetät ja vastaanotat.

VPN-palveluntarjoajastasi tulee siis käytännössä uusi Internet-palveluntarjoajasi, jolla on samanlainen näkyvyys verkkoelämääsi kuin tavallisella Internet-palveluntarjoajallakin.

Miksi et käyttäisi kahta VPN:ää?

Tässä vaiheessa luultavasti ajattelet: ”Miksi et käyttäisi kahta VPN:ää peräkkäin?”.

Salaat verkkoliikenteesi VPN2:n purettavaksi, salaat sen uudelleen VPN1:n purettavaksi ja lähetät sen edelleen VPN1:lle.

Siten VPN1 tietäisi, mistä liikennöintisi tuli, ja VPN2 tietäisi, minne se oli menossa, mutta elleivät nämä kaksi palveluntarjoajaa tekisi yhteistyötä, kumpikin tietäisi vain puolet asiasta.

Teoriassa olisit täyttänyt molemmat edellä mainitut tavoitteet eräänlaisella ”jaa ja hallitse” -lähestymistavalla, koska kuka tahansa, joka haluaisi jäljittää sinut takaisin, joutuisi ensin saamaan puretut liikennelokit VPN2:lta ja sitten käyttäjätunnustiedot VPN1:ltä, ennen kuin hän voisi alkaa ”yhdistää pisteitä”.

Miksi pysähtyä kahteen?

Kuten voit kuvitella, vaikka käyttäisitkin kahta VPN:ää, et ole täysin turvassa.

Ensiksikin, kun käytät aina samoja kahta VPN:ää, yhteyksilläsi on ilmeinen kaava ja siten johdonmukaiset jäljet, joita tutkijat (tai roistot) voisivat seurata yrittäessään jäljittää sinut takaisin.

Kaikkea monimutkaista reittiä kulkeva liikennöintisi kulkee kuitenkin joka kerta samaa reittiä, joten rikolliselle (tai poliisille) saattaa olla ajan ja vaivan arvoista työskennellä taaksepäin molempien VPN-kerrosten kautta, vaikka se tarkoittaisi kaksinkertaista hakkerointia tai kaksi kertaa enemmän etsintäkuulutuksia.

Toiseksi on aina mahdollista, että valitsemasi kaksi VPN-palveluntarjoajaa saattavat viime kädessä olla saman yrityksen omistuksessa tai hallinnassa.

Toisin sanoen kahden VPN-palveluntarjoajan välinen tekninen, fyysinen ja oikeudellinen ero ei välttämättä ole niin merkittävä kuin oletat – jopa siinä määrin, että niiden ei välttämättä tarvitse edes tehdä yhteistyötä jäljittääkseen sinut takaisin.

Miksi et siis käyttäisi kolmea VPN-palveluntarjoajaa, joista yksi on keskimmäinen, joka ei tiedä, kuka olet tai minne olet lopulta menossa?

Ja miksi et pilkkoisi ja vaihtaisi näitä VPN:iä säännöllisesti, jotta yhtälöön saataisiin vielä lisää sekoituksia ja mysteerejä?

Noh, hyvin pitkälti yksinkertaistettuna Tor toimii suurin piirtein näin.

Vapaaehtoisten eri puolilla maailmaa tarjoamat tietokoneet toimivat anonymisoivina välittäjinä tarjotakseen periaatteessa satunnaistetun, usean eri tunnelin sekoitus- ja mysteeri-VPN-verkon niille ihmisille, jotka selaavat Tor-verkkoa kautta.

Viimeisen vuoden ajan Tor-verkon käytettävissä olevien releiden kokonaismäärä on vaihdellut noin 6000 ja 7000 välillä, ja jokainen Tor-piiri, joka on perustettu, käyttää kolmea relettä, pitkälti sattumanvaraisesti, muodostaen eräänlaisen kolmen tunnelin VPN:n.

Tietokoneesi valitsee, mitä releitä käytät, ei verkko itsessään, joten liikennettäsi pomputetaan Tor-verkon halki ja takaisin ja siihen liittyy tosiaankin paljon koko ajan muuttuvaa sekoittamista ja mysteeriä.

Tietokoneesi hakee perustamansa piirin jokaisen releen julkiset salausavaimet ja sekoittaa sitten lähettämäsi tiedot kolmella sipulinmuotoisella salauskerroksella niin, että piirin jokaisella siirtymäkerralla nykyinen rele voi poistaa vain uloimman salauskerroksen, ennen kuin se luovuttaa tiedot seuraavalle releelle.

Rele 1 tietää, kuka olet, mutta ei sitä, minne olet menossa tai mitä haluat sanoa.

Rele 3 tietää, minne olet menossa, mutta ei sitä, kuka olet.

Rele 2 pitää kaksi muuta relettä erossa toisistaan tietämättä, kuka olet tai minne olet menossa, mikä tekee releiden 1 ja 3 salakuuntelun paljon vaikeammaksi, vaikka ne haluaisivatkin tehdä niin.

Ei se ole ihan niin sattumanvaraista

Yllä olevassa kaaviossa huomaat, että vihreä viiva keskellä tarkoittaa erityisiä Tor-releitä, joita kutsutaan vartijoiksi, tai kokonaan sisääntulovartijoiksi, ja jotka ovat osajoukko toimivia releitä, joita pidetään sopivina kolmireleisen piirin ensimmäiseen hyppyyn.

(Teknisistä syistä Tor itse asiassa käyttää samaa entry guardia kaikille yhteyksillesi noin kahden kuukauden ajan kerrallaan, mikä vähentää jonkin verran satunnaisuutta Tor-piireissäsi, mutta sivuutamme tämän yksityiskohdan tässä.)

Vastaavasti oranssi viiva alareunassa tarkoittaa poistumissolmuja eli exit nodeja, jotka ovat releitä, joita pidetään tarpeeksi luotettavina, jotta ne voidaan valita piirin viimeiseksi siirtymäksi.

Huomaa, että tässä on vain noin 1000 poistumissolmua, jotka ovat aktiivisia kerrallaan, 6000-7000:sta käytettävissä olevasta relestä.

Luultavasti huomaatte, mihin tämä johtaa.

Vaikka Torin poistumissolmut eivät voi kertoa, missä olet, kiitos sisääntulovahdin ja keskimmäisen releen (joka vaihtuu usein) anonymisoivien vaikutusten, ne näkevät lopullisen, puretun liikennöintisi ja sen lopullisen määränpään, koska poistumissolmu poistaa Torin viimeisen kerroksen sekoittuneesta ja salatusta salauksesta.

(Kun selaat tavallisia verkkosivuja Torin kautta, verkolla ei ole muuta vaihtoehtoa kuin lähettää raa’at, alkuperäiset, puretut tietosi viimeistä siirtymää varten internetissä, tai muuten vierailemasi sivusto ei pystyisi tekemään siitä mitään selvää.)

Toisin sanoen, jos käytät Toria selataksesi verkkosivua, joka ei ole HTTPS (salaamaton), liikennettäsi käsittelevä Torin ulostulosolmu voi paitsi nuuskia ja muokata lähteviä verkkopyyntöjäsi, myös sotkea kaikki vastaukset, jotka tulevat takaisin.

Ja kun käytettävissä on keskimäärin vain 1000 poistumissolmua, huijarin, joka haluaa saada hallintaansa huomattavan prosenttiosuuden poistumissolmuista, ei tarvitse perustaa tuhansia tai kymmeniätuhansia palvelimia – muutama sata riittää.

Ja tämänkaltaista väliintuloa nusenu väittää havainneensa Tor-verkossa mittakaavassa, joka saattoi toisinaan koskea jopa neljäsosaa käytettävissä olevista poistumissolmuista.

Erityisemmin Nusenu väittää, että ajoittain vuoden 2020 aikana satoja ”poistumissolmujen” listalla olevia Tor-releetä perustivat rikollismieliset vapaaehtoiset, joilla oli taka-ajatuksia:

Toimiensa täyttä laajuutta ei tiedetä, mutta yksi motiivi näyttää olevan selkeä ja yksinkertainen: voitto. He tekevät person-in-the-middle-hyökkäyksiä Tor-käyttäjiä vastaan manipuloimalla liikennettä, kun se kulkee heidän poistumisreleensä kautta. Vaikuttaa siltä, että he jahtaavat ensisijaisesti kryptovaluuttaan liittyviä verkkosivustoja – nimittäin useita bitcoin-mixer-palveluja. He korvasivat bitcoin-osoitteita HTTP-liikenteessä ohjatakseen transaktiot uudelleen lompakoihinsa käyttäjän antaman bitcoin-osoitteen sijasta. Bitcoin-osoitteiden uudelleenkirjoitushyökkäykset eivät ole uusia, mutta niiden toiminnan laajuus on. Ei ole mahdollista määrittää, tekevätkö he muunlaisia hyökkäyksiä.

Lyhyesti sanottuna Nusenu väittää, että nämä huijarit odottavat saalistaakseen kryptovaluutta-käyttäjiä, jotka luulevat, että Tor yksinään riittää turvaamaan sekä heidän anonymiteettinsä että tietonsa, ja jotka sen vuoksi selaavat Torin kautta, mutta eivät huolehdi siitä, että he laittavat https:// uusien kirjoittamiensa URL-osoitteiden alkuun.
.

HTTP:tä pidetään haitallisena

Paremmin tai huonommin, suurimman osan ajasta voit jättää huomiotta https://:n, kun kirjoitat URL-osoitteita selaimeesi, ja päädyt silti HTTPS-sivustolle, joka on salattu ja lukolla suojattu.

Usein palvelin toisessa päässä reagoi HTTP-pyyntöön vastauksella, jossa sanotaan: ”Tästä lähtien älä enää käytä tavallista vanhaa HTTP:tä”, ja selaimesi muistaa tämän ja päivittää automaattisesti kaikki tulevat yhteydet kyseiselle sivustolle niin, että ne käyttävät HTTPS:ää.

Nämä ”älä enää koskaan käytä HTTP:tä” -vastaukset toteuttavat niin sanotun HSTS:n, joka on lyhenne sanoista HTTP Strict Transport Security (HTTP:n tiukka kuljetusturva), ja niiden on tarkoitus pitää sinut turvassa urkinnalta ja liikenteen manipuloinnilta, vaikka et koskaan pysähtyisikään ajattelemaan sitä.

Mutta siinä on kanan ja munan ongelma, nimittäin se, että jos huijarit sieppaavat heti ensimmäisen ei-HTTPS-yhteytesi verkkosivustolle, jota sinun pitäisi oikeasti käyttää vain HTTPS:n kautta, ennen kuin ”ei enää HTTPS”-viesti menee perille, he voivat ehkä:

  • pitää sinut puhumassa HTTP:tä heidän ansoitettuun poistumissolmupisteeseensä samalla, kun puhut HTTPS:llä lopulliseen määränpäähän saakka. Tämä saa lopullisen sivuston luulemaan, että kommunikoit turvallisesti, mutta estää sinua ymmärtämästä, että kohdesivusto haluaa sinun puhuvan HTTPS:ää.
  • Kirjoita kaikki lopullisen määränpään vastaukset uudelleen siten, että kaikki HTTPS-linkit korvataan HTTP-linkillä. Tämä estää selainta päivittämästä HTTPS:ään tapahtuman myöhemmässä vaiheessa, jolloin pysyt jumissa pelkän vanhan HTTP:n kanssa.

Mitä tehdä?

Tässä muutamia vinkkejä:

  • Älä unohda kirjoittaa https:// URL-osoitteen alkuun! Historiallisista syistä selaimet käyttävät edelleen oletusarvoisesti HTTP:tä, kunnes ne tietävät paremmin, joten mitä pikemmin vierailet sivustolla kirjoittamalla nimenomaisesti https:// URL-osoitteen alkuun, sitä pikemmin suojaudut tekemällä aikeesi ilmeiseksi.
  • Jos ylläpidät verkkosivustoa, käytä aina HSTS:ää kertoaksesi vierailijoitasi, etteivät he seuraavalla kerralla käytä HTTP:tä.
  • Jos ylläpidät verkkosivustoa, jossa yksityisyyden suojaa ja tietoturvaa ei voi neuvotella mitenkään, harkitse, voisitko anoa, voisitko liittää sivustosi HSTS:n esilatauslistalle. Tämä on luettelo verkkosivustoista, joiden kohdalla kaikki tärkeimmät selaimet käyttävät aina HTTPS:ää riippumatta siitä, mitä URL-osoitteessa lukee.
  • Jos selaimesi tukee sitä tai siinä on lisäosa, joka pakottaa sen käyttöön, harkitse HTTP-tuen poistamista kokonaan käytöstä. Esimerkiksi Firefoxissa on nyt oletusasetuksista poikkeava ominaisuus nimeltä dom.security.https_only_mode. Jotkin vanhemmat sivustot eivät ehkä toimi kunnolla tämän asetuksen ollessa päällä, mutta jos suhtaudut vakavasti turvallisuuteen, kokeile sitä!

HOW TO ENABLE HTTPS-ONLY MODE IN FIREFOX 79

Turning on HTTP-only mode in Firefox.
1. Siirry osoitteeseen about:config. 2. Etsi hakusanalla https_only_mode. 3. Kytke vaihtoehto päälle.
Yritetään vierailla HTTP-sivulla, jossa HTTPS ei ole käytettävissä tai se on estetty.

(Valitettavasti Firefoxin ”HTTPS-only”-vaihtoehto ei ole vielä käytettävissä Tor-selaimessa, joka käyttää vielä Extended Support Release -versiota, jossa tätä ominaisuutta ei ole vielä näkynyt)

.

Vastaa

Sähköpostiosoitettasi ei julkaista.