By Leave a Comment on Tor și navigarea anonimă – cât de sigură este?

Un articol publicat la începutul acestei săptămâni pe site-ul de blogging Medium, deschis tuturor clienților, a făcut ca unele titluri să fie înfricoșătoare.

Scris ca un articol de cercetare independent de către un autor care merge doar cu nusenu, articolul este intitulat:

Cum exploatează releele Tor malițioase utilizatorii în 2020 (Partea I)

23% din capacitatea de ieșire a rețelei Tor a atacat utilizatorii Tor

În linii mari, acest titlu implică faptul că, dacă vizitați un site web folosind Tor, de obicei în speranța de a rămâne anonim și de a vă feri de supraveghere nedorită, cenzură sau chiar de o simplă urmărire web în scopuri de marketing…

…atunci una din patru dintre aceste vizite (poate mai multe!) vor fi supuse controlului intenționat al infractorilor cibernetici.

Acesta sună mai mult decât îngrijorător – face să sune ca și cum utilizarea Tor ar putea să vă facă și mai puțin sigur decât sunteți deja și, prin urmare, revenirea la un browser obișnuit pentru orice ar putea fi un pas important.

Așa că haideți să ne uităm rapid la modul în care funcționează Tor, la modul în care infractorii (și țările cu reguli stricte privind cenzura și supravegherea) ar putea să abuzeze de el și la cât de înfricoșător este cu adevărat titlul menționat mai sus.

Rețeaua Tor (Tor este prescurtarea de la routerul ceapă, din motive care vor fi evidente imediat dacă vă imaginați o ceapă care se desface pe măsură ce o decojiți), care a fost proiectată inițial de Marina SUA, are ca scop:

  1. Să vă mascheze adevărata locație în rețea în timp ce navigați, astfel încât serverele să nu știe unde vă aflați.
  2. Să facă dificil pentru oricine să „unească punctele”, urmărind solicitările dvs. de navigare pe internet până la calculatorul dvs.

În acest moment, s-ar putea să vă gândiți: „Dar exact asta face un VPN, și nu doar pentru navigarea mea, ci pentru tot ceea ce fac online.”

Dar nu este așa.

Un VPN (rețea privată virtuală) criptează tot traficul dvs. de rețea și îl retransmite în formă criptată către un server VPN administrat de furnizorul dvs. de VPN, unde este decriptat și „injectat” pe internet ca și cum ar proveni de la acel server VPN.

Toate răspunsurile din rețea sunt, prin urmare, primite de către furnizorul dvs. de VPN în numele dvs. și vă sunt transmise înapoi în formă criptată.

Conexiunea criptată dintre calculatoarele dvs. este denumită tunel VPN și este, în teorie, invizibilă sau, cel puțin, nedetectabilă de către alte persoane online.

Așa că, după cum puteți vedea, un VPN se ocupă de prima problemă enumerată mai sus: deghizarea adevăratei dvs. locații în rețea.

Dar un VPN nu se ocupă de a doua problemă, și anume de a face dificil pentru oricine să „unească punctele”.

Sigur, un VPN îngreunează pentru majoritatea oamenilor să unească punctele, dar nu împiedică pe toată lumea să facă acest lucru, pentru simplul motiv că furnizorul VPN știe întotdeauna de unde vin solicitările dvs., încotro se îndreaptă și ce date trimiteți și primiți în cele din urmă.

Prin urmare, furnizorul dvs. de VPN devine, în esență, noul dvs. ISP, cu același grad de vizibilitate asupra vieții dvs. online pe care îl are un ISP obișnuit.

De ce să nu folosiți două VPN-uri?

În acest moment, probabil că vă gândiți: „De ce să nu folosiți două VPN-uri în succesiune? În termeni din jargon, de ce să nu construiți un tunel în interiorul unui tunel?

Ați cripta traficul de rețea pentru ca VPN2 să îl decripteze, apoi l-ați cripta din nou pentru ca VPN1 să îl decripteze și l-ați trimite la VPN1.

Astfel, VPN1 ar ști de unde a venit traficul dvs. și VPN2 ar ști încotro se îndreaptă, dar, dacă cei doi furnizori nu se înțeleg, fiecare dintre ei ar ști doar jumătate din poveste.

În teorie, ați fi îndeplinit ambele obiective de mai sus printr-un fel de abordare de tipul „divide et impera”, deoarece oricine ar fi vrut să vă urmărească ar fi trebuit mai întâi să obțină jurnalele de trafic decriptate de la VPN2 și apoi să obțină detalii despre numele de utilizator de la VPN1 înainte de a putea începe să „unească punctele”.

De ce să ne oprim la două?

Așa cum vă puteți imagina, chiar și folosind două VPN-uri, nu sunteți în totalitate acasă și uscat.

În primul rând, prin utilizarea acelorași două VPN-uri de fiecare dată, există un model evident al conexiunilor dvs. și, prin urmare, o consecvență în urma pe care un investigator (sau un escroc) ar putea să o urmeze pentru a încerca să vă urmărească.

Pentru tot ceea ce traficul dvs. urmează o rută complicată, acesta urmează totuși aceeași rută de fiecare dată, astfel încât ar putea merita timpul și efortul unui infractor (sau al unui polițist) de a lucra în sens invers prin ambele straturi de VPN, chiar dacă acest lucru înseamnă o cantitate dublă de hacking sau de două ori mai multe mandate.

În al doilea rând, există întotdeauna posibilitatea ca cei doi furnizori de VPN pe care îi alegeți să fie, în cele din urmă, deținuți sau operați de aceeași companie.

Cu alte cuvinte, s-ar putea ca separarea tehnică, fizică și juridică dintre cele două VPN-uri să nu fie atât de semnificativă pe cât v-ați aștepta – până la punctul în care s-ar putea ca acestea să nu aibă nevoie să colaboreze deloc pentru a vă depista.

Atunci, de ce să nu folosiți trei VPN-uri, cu unul la mijloc care nu știe nici cine sunteți, nici unde vă duceți în cele din urmă?

Și de ce să nu tăiem și să schimbăm aceste VPN-uri în mod regulat, pentru a adăuga și mai mult amestec și mister în ecuație?

Ei bine, simplificând foarte mult, cam așa funcționează Tor.

Un grup de computere, oferite de voluntari din întreaga lume, acționează ca relee anonime pentru a oferi ceea ce este în esență un VPN „amestec și mister” randomizat, cu mai multe tuneluri, pentru persoanele care navighează prin intermediul rețelei Tor.

În cea mai mare parte a anului trecut, numărul total de relee disponibile pentru rețeaua Tor a oscilat între aproximativ 6 000 și 7 000, fiecare circuit Tor configurat folosind trei relee, în mare parte la întâmplare, pentru a forma un fel de VPN cu trei tuneluri.

Computerul dvs. alege ce relee să folosească, nu rețeaua în sine, astfel încât există într-adevăr o mulțime de „mix-and-mystery” în continuă schimbare implicat în a vă face săriți traficul prin rețeaua Tor și înapoi.

Computerul dumneavoastră obține cheile publice de criptare pentru fiecare dintre releele din circuitul pe care îl stabilește și apoi bruiază datele pe care le trimiteți folosind trei straturi de criptare de tip ceapă, astfel încât, la fiecare salt din circuit, releul curent poate elimina doar stratul cel mai exterior de criptare înainte de a transmite datele următorului releu.

Releul 1 știe cine ești, dar nu și unde te duci sau ce vrei să spui.

Releul 3 știe unde te duci, dar nu și cine ești.

Releul 2 ține celelalte două relee la distanță fără să știe nici cine ești, nici unde te duci, ceea ce face mult mai greu pentru releele 1 și 3 să colaboreze, chiar dacă sunt hotărâte să o facă.

Nu este chiar atât de aleatoriu

În graficul de mai sus, veți observa că linia verde din mijloc denotă releele speciale Tor cunoscute sub numele de gărzi, sau gărzile de intrare în întregime, care sunt subansamblul de relee funcționale considerate potrivite pentru primul salt într-un circuit cu 3 relee.

(Din motive tehnice, Tor folosește de fapt aceeași gardă de intrare pentru toate conexiunile dvs. timp de aproximativ două luni la un moment dat, ceea ce reduce oarecum aleatorismul în circuitele Tor, dar vom ignora acest detaliu aici.)

În mod similar, linia portocalie din partea de jos denotă ieșirile, sau nodurile de ieșire în întregime, care sunt relee care sunt considerate suficient de fiabile pentru a fi selectate pentru ultimul salt într-un circuit.

Rețineți că aici sunt doar aproximativ 1000 de noduri de ieșire active în orice moment, din cele 6000-7000 de relee disponibile în total.

Probabil că vă puteți da seama încotro se îndreaptă acest lucru.

Deși nodurile de ieșire ale Tor nu pot spune unde vă aflați, datorită efectelor de anonimizare ale pazei de intrare și ale releului de mijloc (care se schimbă frecvent), acestea pot vedea traficul dumneavoastră final, decriptat și destinația sa finală, deoarece nodul de ieșire este cel care îndepărtează ultimul strat de criptare mixtă și misterioasă a Tor.

(Atunci când navigați pe site-uri web obișnuite prin Tor, rețeaua nu are de ales decât să emită datele dvs. brute, originale, decriptate pentru ultimul său salt pe internet, altfel site-ul pe care îl vizitați nu ar putea să le înțeleagă.)

Cu alte cuvinte, dacă folosiți Tor pentru a naviga către o pagină web non-HTTPS (necriptată), atunci nodul de ieșire Tor care se ocupă de traficul dvs. nu numai că poate să vă spioneze și să vă modifice cererile web de ieșire, dar poate, de asemenea, să se joace cu răspunsurile care vin înapoi.

Și cu doar 1000 de noduri de ieșire disponibile în medie, un escroc care dorește să dobândească controlul unui procent considerabil de ieșiri nu are nevoie să înființeze mii sau zeci de mii de servere – câteva sute sunt suficiente.

Și acest tip de intervenție este ceea ce nusenu susține că a detectat în rețeaua Tor la o scară care poate implica uneori până la un sfert din nodurile de ieșire disponibile.

Mai precis, Nusenu susține că, în anumite momente, pe parcursul anului 2020, sute de relee Tor din lista „nodurilor de ieșire” au fost înființate de voluntari cu intenții criminale și cu motive ascunse:

Nu se cunoaște amploarea totală a operațiunilor lor, dar o motivație pare să fie simplă și clară: profitul. Ei efectuează atacuri de tip person-in-the-middle asupra utilizatorilor Tor prin manipularea traficului în timp ce acesta trece prin releele lor de ieșire. Se pare că urmăresc în primul rând site-uri web legate de criptomonede – și anume mai multe servicii de mixare a bitcoin. Ei au înlocuit adresele bitcoin în traficul HTTP pentru a redirecționa tranzacțiile către portofelele lor în locul adresei bitcoin furnizate de utilizator. Atacurile de rescriere a adreselor Bitcoin nu sunt noi, dar amploarea operațiunilor lor este nouă. Nu este posibil să se stabilească dacă se angajează și în alte tipuri de atacuri.

Simplu spus, Nusenu susține că acești escroci așteaptă să profite de utilizatorii de criptomonede care cred că Tor de unul singur este suficient pentru a-și securiza atât anonimatul, cât și datele, și care, prin urmare, navighează prin Tor, dar nu au grijă să pună https:// la începutul noilor URL-uri pe care le introduc.
.

HTTP considerat dăunător

La bine și la rău, de cele mai multe ori puteți ignora https:// atunci când tastați URL-uri în browser, și tot veți ajunge pe un site HTTPS, criptat și protejat cu un lacăt.

De multe ori, serverul de la celălalt capăt va reacționa la o solicitare HTTP cu un răspuns care spune: „De acum înainte, vă rugăm să nu mai folosiți vechiul HTTP simplu”, iar browserul dvs. își va aminti acest lucru și va actualiza automat toate conexiunile viitoare la acel site astfel încât să folosească HTTPS.

Aceste răspunsuri „nu mai folosiți niciodată HTTP” implementează ceea ce este cunoscut sub numele de HSTS, prescurtare de la HTTP Strict Transport Security, și se presupune că vă vor proteja de spionaj și de manipularea traficului, chiar dacă nu vă opriți niciodată să vă gândiți la asta.

Dar există o problemă de tipul „oul și găina”, și anume că, dacă escrocii vă interceptează prima conexiune non-HTTPS la un site web pe care ar trebui să îl accesați cu adevărat doar prin HTTPS, înainte ca mesajul „nu mai folosesc HTTPS” să ajungă la destinație, ar putea fi în măsură să:

  • Să vă țină vorbind HTTP către nodul lor de ieșire cu capcană, în timp ce vorbiți HTTPS în continuare către destinația finală. Acest lucru face ca site-ul final să creadă că comunicați în siguranță, dar vă împiedică să vă dați seama că site-ul de destinație dorește să vorbiți HTTPS.
  • Să rescrieți orice răspuns de la destinația finală pentru a înlocui orice link HTTPS cu HTTP. Acest lucru împiedică browserul dvs. să treacă la HTTPS mai târziu în timpul tranzacției, menținându-vă astfel blocat cu vechiul HTTP.

Ce să faceți?

Iată câteva sfaturi:

  • Nu uitați să introduceți https:// la începutul URL-ului! Din motive istorice, browserele încă folosesc în mod implicit HTTP până când știu mai bine, așa că, cu cât vizitați mai repede un site tastând în mod explicit https:// la începutul URL-ului, cu atât vă protejați mai repede, făcându-vă evidente intențiile.
  • Dacă administrați un site web, folosiți întotdeauna HSTS pentru a le spune vizitatorilor dvs. să nu folosească HTTP data viitoare.
  • Dacă administrați un site web în care confidențialitatea și securitatea nu sunt negociabile, luați în considerare posibilitatea de a solicita adăugarea site-ului dvs. pe lista HSTS Preload. Aceasta este o listă de site-uri web pentru care toate browserele majore vor folosi întotdeauna HTTPS, indiferent ce spune URL-ul.
  • Dacă browserul dvs. îl suportă sau are un plugin pentru a-l impune, luați în considerare dezactivarea completă a suportului HTTP. De exemplu, Firefox are acum o funcție de configurare non-default numită dom.security.https_only_mode. Este posibil ca unele site-uri mai vechi să nu funcționeze corect cu această setare activată, dar dacă sunteți serios în ceea ce privește securitatea, faceți o încercare!

CUM ACTIVAȚI MODUL HTTPS-ONLY ÎN FIREFOX 79

Activarea modului HTTP-only în Firefox.
1. Mergeți la about:config. 2. Căutați https_only_mode. 3. Activați opțiunea.
Încercarea de a vizita o pagină HTTP în care HTTPS nu este disponibil sau este blocat.

(Din păcate, opțiunea „HTTPS-only” din Firefox nu este încă disponibilă în browserul Tor, care folosește încă o versiune Extended Support Release în care această funcție nu a apărut încă.)

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.