By Leave a Comment on Tor och anonym surfning – hur säkert är det?

En artikel som publicerades på bloggsajten Medium tidigare i veckan har skapat skrämmande rubriker.

Skriven som en oberoende forskningsartikel av en författare som endast går under namnet nusenu, har artikeln följande rubrik:

How Malicious Tor Relays are Exploiting Users in 2020 (Part I)

23% av Tor-nätverkets kapacitet har varit att angripa Tor-användare

Som sagt innebär den här rubriken att om du besöker en webbplats med hjälp av Tor, vanligtvis i förhoppning om att förbli anonym och hålla dig borta från oönskad övervakning, censur eller till och med bara vanlig spårning av webben i marknadsföringssyfte…

…så är ett av fyra av dessa besök (kanske fler!) kommer att utsättas för cyberkriminellas målmedvetna granskning.

Det låter mer än bara oroväckande – det får det att låta som att användandet av Tor kan göra dig ännu osäkrare än vad du redan är, och att det därför kan vara ett viktigt steg att återgå till en vanlig webbläsare för allting.

Så låt oss snabbt titta på hur Tor fungerar, hur skurkar (och länder med strikta regler om censur och övervakning) kan missbruka det, och hur skrämmande den ovannämnda rubriken egentligen är.

Tor-nätverket (Tor är en förkortning för lökroutern, av skäl som kommer att bli uppenbara om en stund om du föreställer dig en lök som faller isär när du skalar den), som ursprungligen utformades av den amerikanska flottan, har följande syften:

  1. Att dölja din verkliga plats på nätverket medan du surfar, så att servrarna inte vet var du befinner dig.
  2. Att göra det svårt för någon att ”knyta ihop prickarna” genom att spåra dina surfförfrågningar tillbaka till din dator.

I det här läget kanske du tänker: ”Men det är precis vad en VPN gör, och inte bara för min surfning utan för allt jag gör på nätet.”

Men så är det inte.

En VPN (virtuellt privat nätverk) krypterar all din nätverkstrafik och vidarebefordrar den i krypterad form till en VPN-server som drivs av din VPN-leverantör, där den avkrypteras och ”injiceras” på internet som om den kom från den VPN-servern.

Alla nätverkssvar tas därför emot av din VPN-leverantör för din räkning och levereras tillbaka till dig i krypterad form.

Den krypterade anslutningen mellan dina datorer kallas för en VPN-tunnel och är i teorin osynlig för, eller åtminstone omöjlig att snoka för, andra personer på nätet.

Så, som du kan se, hanterar en VPN det första problemet som anges ovan: att dölja din verkliga plats i nätverket.

Men en VPN hanterar inte det andra problemet, nämligen att göra det svårt för någon att ”knyta ihop prickarna”.

Säkerligen gör en VPN det svårt för de flesta att sammanfoga punkterna, men den hindrar inte alla från att göra det, av den enkla anledningen att VPN-leverantören alltid vet varifrån dina förfrågningar kommer, vart de är på väg, och vilka data du i slutändan skickar och tar emot.

Din VPN-leverantör blir därför i princip din nya internetleverantör, med samma grad av insyn i ditt liv på nätet som en vanlig internetleverantör har.

Varför inte använda två VPN-tjänster?

I det här läget tänker du förmodligen: ”Varför inte använda två VPN-tjänster efter varandra? I jargongtermer, varför inte bygga en tunnel inuti en tunnel?

Du skulle kryptera din nätverkstrafik så att VPN2 kan avkryptera den, sedan kryptera den igen så att VPN1 kan avkryptera den och skicka den vidare till VPN1.

VPN1 skulle alltså veta varifrån trafiken kommer och VPN2 skulle veta vart den tar vägen, men om inte de två leverantörerna samarbetar skulle de bara veta hälften av det hela.

I teorin skulle du ha uppfyllt båda målen ovan genom ett slags ”dela och härska”-strategi, eftersom alla som vill spåra dig först måste få dekrypterade trafikloggar från VPN2 och sedan få uppgifter om användarnamn från VPN1 innan de kan börja ”sammanfoga prickarna”.

Varför stanna vid två?

Som du kan föreställa dig är du inte helt hemma och torr även om du använder två VPN-tjänster.

För det första, genom att använda samma två VPN-tjänster varje gång, finns det ett uppenbart mönster i dina anslutningar, och därför finns det en konsistens i det spår som en utredare (eller en skurk) kan följa för att försöka spåra dig.

Trots att din trafik följer en komplicerad väg tar den ändå samma väg varje gång, så det kan vara värt tiden och ansträngningen för en brottsling (eller en polis) att arbeta sig bakåt genom båda VPN-skikten, även om det innebär dubbelt så mycket hackning eller dubbelt så många arresteringsorder.

För det andra finns det alltid en möjlighet att de två VPN-leverantörerna du väljer i slutändan kanske ägs eller drivs av samma företag.

Med andra ord är den tekniska, fysiska och juridiska separationen mellan de två VPN-tjänsterna kanske inte så stor som du kan förvänta dig – till den grad att de kanske inte ens behöver samarbeta alls för att spåra dig.

Så varför inte använda tre VPN-tjänster, med en i mitten som varken vet vem du är eller vart du i slutändan är på väg?

Och varför inte ändra dessa VPN-tjänster regelbundet för att lägga till ännu mer mix-and-mystery i ekvationen?

Tja, mycket förenklat är det i stort sett så Tor fungerar.

En pool av datorer, som erbjuds av frivilliga runt om i världen, agerar som anonymiserande reläer för att tillhandahålla vad som i huvudsak är en slumpmässigt fördelad VPN med flera tunnlar som är ”mix-and-mystery” för personer som surfar via Tor-nätverket.

Under större delen av det senaste året har det totala antalet reläer som är tillgängliga för Tor-nätverket pendlat mellan cirka 6 000 och 7 000, och varje Tor-krets som inrättas använder tre reläer, i stort sett slumpmässigt, för att bilda ett slags VPN med tre tunnlar.

Din dator väljer vilka reläer som ska användas, inte nätverket i sig självt, så det finns verkligen en hel del ständigt föränderlig mix-and-mystery inblandad i att skicka din trafik genom Tor-nätverket och tillbaka.

Din dator hämtar de offentliga krypteringsnycklarna för var och en av reläerna i den krets som den upprättar, och förvränger sedan de data du skickar med hjälp av tre lökliknande krypteringslager, så att den aktuella reläen vid varje hopp i kretsen bara kan avlägsna det yttersta krypteringslagret innan den överlämnar data till nästa.

Relais 1 vet vem du är, men inte vart du är på väg eller vad du vill säga.

Relais 3 vet vart du är på väg, men inte vem du är.

Relais 2 håller de andra två reläerna åtskilda från varandra utan att veta vare sig vem du är eller vart du är på väg, vilket gör det mycket svårare för reläerna 1 och 3 att samarbeta, även om de skulle vara inställda på att göra det.

Det är inte riktigt så slumpmässigt

I diagrammet ovan märker du att den gröna linjen i mitten anger speciella Tor-reläer som kallas vakter, eller entry guards i sin helhet, som är den undergrupp av fungerande reläer som anses lämpliga för det första hoppet i en krets med tre reläer.

(Av tekniska skäl använder Tor faktiskt samma entry guard för alla dina anslutningar i ungefär två månader i taget, vilket minskar slumpmässigheten i dina Tor-kretsar något, men vi ska ignorera den detaljen här.)

Den orangefärgade linjen längst ner visar utgångar, eller exit nodes i sin helhet, vilket är reläer som anses vara tillräckligt tillförlitliga för att väljas som sista hopp i en krets.

Bemärk att det här bara är ungefär 1 000 exit nodes som är aktiva när som helst, av de 6 000-7 000 reläer som finns tillgängliga totalt sett.

Du kan förmodligen se vart det här leder.

Och även om Tors utgångsnoder inte kan berätta var du befinner dig, tack vare de anonymiserande effekterna av ingångsvakten och mellanreläerna (som byts ut ofta), får de se din slutliga, avkrypterade trafik och dess slutdestination, eftersom det är utgångsnoden som avlägsnar Tors sista lager av mix-and-mystery-kryptering.

(När du surfar till vanliga webbplatser via Tor har nätverket inget annat val än att sända ut dina råa, ursprungliga, dekrypterade data för det sista hoppet på internet, annars skulle den webbplats du besökte inte kunna göra något vettigt av dem.)

Med andra ord, om du använder Tor för att surfa till en icke-HTTPS-webbplats (okrypterad) kan den Tor-utgångsnod som hanterar din trafik inte bara snoka på och ändra dina utgående webbförfrågningar, utan också mixtra med alla svar som kommer tillbaka.

Och med bara 1 000 utgångsnoder tillgängliga i genomsnitt behöver en skurk som vill skaffa sig kontroll över en betydande andel utgångsnoder inte sätta upp tusentals eller tiotusentals servrar – det räcker med några hundra.

Och den här typen av ingrepp är vad nusenu påstår sig ha upptäckt i Tor-nätverket i en skala som ibland kan involvera upp till en fjärdedel av de tillgängliga utgångsnoderna.

Närmare bestämt hävdar Nusenu att hundratals Tor-reläer i ”exit node”-listan vid vissa tillfällen under 2020 inrättades av kriminellt sinnade frivilliga med baktankar:

Den fulla omfattningen av deras verksamhet är okänd, men en motivering tycks vara enkel och tydlig: vinst. De utför person-in-the-middle-attacker mot Tor-användare genom att manipulera trafiken när den passerar genom deras utgångsreläer. Det verkar som om de i första hand är ute efter kryptovalutarelaterade webbplatser – nämligen flera bitcoin-mixertjänster. De ersatte bitcoin-adresser i HTTP-trafiken för att omdirigera transaktioner till sina plånböcker i stället för till den bitcoin-adress som användaren har angett. Attacker för omskrivning av Bitcoin-adresser är inte nya, men omfattningen av deras verksamhet är det. Det går inte att avgöra om de ägnar sig åt andra typer av attacker.

Simpelt uttryckt hävdar Nusenu att dessa skurkar väntar på att bli ett byte för kryptovalutaanvändare som tror att Tor i sig självt räcker för att säkra både sin anonymitet och sina data, och som därför surfar via Tor men inte ser till att sätta https:// i början av nya webbadresser som de skriver in.
.

HTTP anses vara skadligt

På gott och ont kan du för det mesta strunta i https:// när du skriver in webbadresser i webbläsaren, och du hamnar ändå på en HTTPS-webbplats, krypterad och skyddad med hänglås.

Ofta reagerar servern i andra änden på en HTTP-förfrågan med ett svar som lyder: ”Från och med nu får du inte använda vanlig HTTP längre”, och din webbläsare kommer att komma ihåg detta och automatiskt uppgradera alla framtida anslutningar till den webbplatsen så att de använder HTTPS.

Dessa ”använd aldrig HTTP igen”-svar implementerar det som kallas HSTS, en förkortning för HTTP Strict Transport Security, och det är meningen att de ska skydda dig från snokande och trafikmanipulation även om du aldrig tänker på det.

Men det finns ett problem med hönan och ägget, nämligen att om skurkarna avlyssnar din allra första icke-HTTPS-anslutning till en webbplats som du egentligen bara borde få tillgång till via HTTPS, innan meddelandet ”aldrig mer HTTPS” når fram, kan de kanske:

  • hålla dig i kontakt med HTTP till deras försåtliga utgångsnod samtidigt som du pratar HTTPS vidare till den slutliga destinationen. Detta får slutdestinationen att tro att ni kommunicerar på ett säkert sätt, men hindrar er från att inse att destinationsplatsen vill att ni ska prata HTTPS.
  • Skriv om svaren från slutdestinationen så att HTTPS-länkar ersätts med HTTP. Detta hindrar webbläsaren från att uppgradera till HTTPS senare i transaktionen, vilket gör att du sitter fast i vanlig HTTP.

Vad ska man göra?

Här är några tips:

  • Glöm inte att skriva https:// i början av URL:en! Av historiska skäl använder webbläsare fortfarande HTTP som standard tills de vet bättre, så ju tidigare du besöker en webbplats genom att uttryckligen skriva https:// i början av URL:en, desto tidigare skyddar du dig själv genom att göra dina avsikter uppenbara.
  • Om du driver en webbplats, använd alltid HSTS för att tala om för besökarna att de inte ska använda HTTP nästa gång.
  • Om du driver en webbplats där sekretess och säkerhet inte är förhandlingsbara, kan du överväga att ansöka om att få lägga till din webbplats på listan för HSTS Preload. Detta är en lista över webbplatser för vilka alla större webbläsare alltid kommer att använda HTTPS, oavsett vad URL:en säger.
  • Om din webbläsare stöder det, eller har ett insticksprogram för att genomdriva det, kan du överväga att stänga av HTTP-stödet helt och hållet. Till exempel har Firefox nu en funktion för icke-standardkonfiguration som heter dom.security.https_only_mode. Vissa äldre webbplatser kanske inte fungerar som de ska med den här inställningen aktiverad, men om du menar allvar med säkerheten kan du prova!

Hur man aktiverar HTTPS-ONLY MODE i Firefox 79

Att aktivera HTTP-only mode i Firefox.
1. Gå till about:config. 2. Sök efter https_only_mode. 3. Slå på alternativet.
Försök att besöka en HTTP-sida där HTTPS inte är tillgängligt eller blockerat.

(Tyvärr är Firefox alternativ ”HTTPS-only” ännu inte tillgängligt i Tor-browsern, som fortfarande använder en version av Extended Support Release där denna funktion ännu inte har dykt upp.)

Lämna ett svar

Din e-postadress kommer inte publiceras.