ทอร์นั้นปลอดภัยและไม่เปิดเผยตัวจริงหรือไม่?

บางคนเชื่อว่า Tor เป็นวิธีที่ไม่ระบุชื่อเป็นส่วนตัวและปลอดภัยในการเข้าถึงอินเทอร์เน็ตโดยที่ไม่มีใครสามารถติดตามการท่องเว็บของคุณและติดตามมันกลับมาให้คุณ - แต่มันคืออะไร? มันไม่ง่ายอย่างนั้น.

Tor ไม่ใช่ตัวตนที่สมบูรณ์แบบและวิธีแก้ปัญหาความเป็นส่วนตัว มีข้อ จำกัด และความเสี่ยงที่สำคัญหลายประการซึ่งคุณควรระวังหากคุณจะใช้.

โหนดออกสามารถดมกลิ่นได้

อ่านการสนทนาของเราเกี่ยวกับวิธีการทำงานของ Tor เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ Tor ให้ข้อมูลที่ไม่ระบุตัวตน โดยสรุปเมื่อคุณใช้ Tor การรับส่งข้อมูลอินเทอร์เน็ตของคุณจะถูกส่งผ่านเครือข่ายของ Tor และผ่านการสุ่มเลือกหลายรีเลย์ก่อนออกจากเครือข่าย Tor ทอร์ได้รับการออกแบบเพื่อให้เป็นไปไม่ได้ในทางทฤษฎีที่จะรู้ว่าคอมพิวเตอร์เครื่องใดร้องขอการรับส่งข้อมูล คอมพิวเตอร์ของคุณอาจเริ่มต้นการเชื่อมต่อหรืออาจทำหน้าที่เป็นรีเลย์ซึ่งส่งสัญญาณปริมาณข้อมูลที่เข้ารหัสไปยังโหนด Tor อื่น.

อย่างไรก็ตามการรับส่งข้อมูล Tor ส่วนใหญ่จะต้องเกิดขึ้นในเครือข่ายของ Tor ตัวอย่างเช่นสมมติว่าคุณกำลังเชื่อมต่อกับ Google ผ่าน Tor - การรับส่งข้อมูลของคุณผ่านหลายรีเลย์ของ Tor แต่ในที่สุดจะต้องเกิดขึ้นจากเครือข่าย Tor และเชื่อมต่อกับเซิร์ฟเวอร์ของ Google โหนด Tor สุดท้ายที่การรับส่งข้อมูลของคุณออกจากเครือข่าย Tor และเข้าสู่อินเทอร์เน็ตแบบเปิดสามารถตรวจสอบได้ โหนดนี้ที่ทราฟฟิกออกจากเครือข่าย Tor เรียกว่า "exit node" หรือ "exit relay"

ในแผนภาพด้านล่างลูกศรสีแดงแสดงถึงทราฟฟิกที่ไม่ได้เข้ารหัสระหว่างโหนดทางออกและ“ Bob” คอมพิวเตอร์บนอินเทอร์เน็ต.

หากคุณกำลังเข้าถึงเว็บไซต์ที่เข้ารหัส (HTTPS) เช่นบัญชี Gmail ของคุณก็ถือว่าใช้ได้ - แม้ว่าโหนดจบการทำงานจะเห็นว่าคุณกำลังเชื่อมต่อกับ Gmail หากคุณเข้าถึงเว็บไซต์ที่ไม่มีการเข้ารหัสโหนดทางออกอาจตรวจสอบกิจกรรมอินเทอร์เน็ตของคุณติดตามหน้าเว็บที่คุณเยี่ยมชมการค้นหาที่คุณดำเนินการและข้อความที่คุณส่ง.

ผู้ใช้ต้องยินยอมให้ใช้โหนดทางออกเนื่องจากการใช้โหนดทางออกทำให้มีความเสี่ยงทางกฎหมายมากกว่าการใช้โหนดรีเลย์ที่ส่งทราฟฟิก เป็นไปได้ว่ารัฐบาลจะใช้โหนดทางออกบางอย่างและตรวจสอบการจราจรที่ทำให้พวกเขาใช้สิ่งที่พวกเขาเรียนรู้เพื่อสอบสวนอาชญากรหรือในประเทศที่อดกลั้นลงโทษลงโทษนักกิจกรรมทางการเมือง.

นี่ไม่ใช่แค่ความเสี่ยงทางทฤษฎี ในปี 2550 นักวิจัยด้านความปลอดภัยได้ทำการสกัดกั้นรหัสผ่านและข้อความอีเมลสำหรับบัญชีอีเมลหนึ่งร้อยบัญชีโดยใช้โหนดการออก Tor ผู้ใช้ที่สงสัยทำผิดที่ไม่ใช้การเข้ารหัสในระบบอีเมลของพวกเขาเชื่อว่า Tor จะปกป้องพวกเขาด้วยการเข้ารหัสภายใน แต่นั่นไม่ใช่วิธีการทำงานของ Tor.

บทเรียน: เมื่อใช้ Tor โปรดใช้เว็บไซต์เข้ารหัส (HTTPS) เพื่อรับสิ่งที่ละเอียดอ่อน โปรดจำไว้ว่าปริมาณการใช้งานของคุณสามารถตรวจสอบได้ - ไม่เพียง แต่จากรัฐบาล แต่โดยผู้ประสงค์ร้ายที่กำลังมองหาข้อมูลส่วนตัว.

JavaScript, ปลั๊กอินและแอปพลิเคชันอื่นสามารถรั่ว IP ของคุณได้

ชุดเบราว์เซอร์ของ Tor ซึ่งเรากล่าวถึงเมื่อเราอธิบายวิธีการใช้ Tor นั้นได้รับการกำหนดค่าไว้ล่วงหน้าด้วยการตั้งค่าความปลอดภัย JavaScript ถูกปิดใช้งานปลั๊กอินไม่สามารถทำงานได้และเบราว์เซอร์จะเตือนคุณหากคุณพยายามดาวน์โหลดไฟล์และเปิดในแอปพลิเคชันอื่น.

JavaScript ไม่ได้มีความเสี่ยงด้านความปลอดภัย แต่หากคุณพยายามซ่อน IP ของคุณคุณไม่ต้องการใช้ JavaScript เอนจิ้น JavaScript ของเบราว์เซอร์ปลั๊กอินเช่น Adobe Flash และแอปพลิเคชันภายนอกเช่น Adobe Reader หรือแม้แต่เครื่องเล่นวิดีโออาจทำให้ "รั่วไหล" ที่อยู่ IP จริงของคุณไปยังเว็บไซต์ที่พยายามรับมา.

ชุดเบราว์เซอร์ Tor หลีกเลี่ยงปัญหาเหล่านี้ทั้งหมดด้วยการตั้งค่าเริ่มต้น แต่คุณสามารถปิดใช้งานการป้องกันเหล่านี้และใช้ JavaScript หรือปลั๊กอินในเบราว์เซอร์ Tor อย่าทำสิ่งนี้หากคุณจริงจังกับตัวตน - และถ้าคุณไม่จริงจังกับตัวตนคุณไม่ควรใช้ Tor ตั้งแต่แรก.

นี่ไม่ใช่แค่ความเสี่ยงด้านทฤษฎีเช่นกัน ในปี 2554 กลุ่มนักวิจัยได้รับที่อยู่ IP จำนวน 10,000 คนซึ่งใช้งานไคลเอ็นต์ BitTorrent ผ่าน Tor เช่นเดียวกับแอปพลิเคชั่นประเภทอื่น ๆ ไคลเอนต์ BitTorrent นั้นไม่ปลอดภัยและสามารถเปิดเผยที่อยู่ IP ของคุณได้.

บทเรียน: ปล่อยการตั้งค่าความปลอดภัยของเบราว์เซอร์ของ Tor ให้เข้าที่ อย่าพยายามใช้ Tor กับเบราว์เซอร์ตัวอื่น - ติดกับชุดเบราว์เซอร์ของ Tor ซึ่งได้รับการกำหนดค่าล่วงหน้าด้วยการตั้งค่าในอุดมคติ คุณไม่ควรใช้แอปพลิเคชันอื่นกับเครือข่าย Tor.

การใช้ Exit Node ทำให้คุณตกอยู่ในความเสี่ยง

หากคุณเชื่อในตัวตนที่ไม่เปิดเผยตัวแบบออนไลน์คุณอาจมีแรงจูงใจที่จะบริจาคแบนด์วิดท์ของคุณด้วยการเรียกใช้รีเลย์ Tor นี่ไม่ควรเป็นปัญหาทางกฎหมาย - รีเลย์ Tor เพิ่งส่งทราฟฟิกที่เข้ารหัสไปมาในเครือข่าย Tor ทอร์บรรลุความไม่เปิดเผยตัวตนผ่านรีเลย์ที่ดำเนินการโดยอาสาสมัคร.

อย่างไรก็ตามคุณควรคิดให้รอบคอบก่อนที่จะทำการส่งต่อสัญญาณออกซึ่งเป็นสถานที่ที่ทราฟฟิก Tor ออกจากเครือข่ายนิรนามและเชื่อมต่อกับอินเทอร์เน็ตแบบเปิด หากอาชญากรใช้ Tor สำหรับสิ่งที่ผิดกฎหมายและการจราจรออกมาจากรีเลย์ทางออกของคุณการจราจรนั้นจะติดตามไปยังที่อยู่ IP ของคุณและคุณอาจถูกเคาะประตูและอุปกรณ์คอมพิวเตอร์ของคุณถูกยึด ชายในออสเตรียถูกโจมตีและตั้งข้อหาแจกจ่ายภาพอนาจารเด็กสำหรับการเรียกใช้โหนดทางออก Tor การเรียกใช้โหนดการออก Tor ช่วยให้คนอื่นสามารถทำสิ่งเลวร้ายที่สามารถย้อนกลับมาหาคุณได้เช่นเดียวกับการใช้งานเครือข่าย Wi-Fi แบบเปิด - แต่มันมีความเป็นไปได้สูงที่จะทำให้คุณมีปัญหา อย่างไรก็ตามผลที่ตามมาอาจไม่ได้รับโทษทางอาญา คุณอาจต้องเผชิญกับคดีความสำหรับการดาวน์โหลดเนื้อหาหรือการกระทำที่มีลิขสิทธิ์ภายใต้ระบบการแจ้งเตือนลิขสิทธิ์ในสหรัฐอเมริกา.

ความเสี่ยงที่เกี่ยวข้องกับการรันโหนดทางออก Tor จริงผูกกลับเข้าไปในจุดแรก เนื่องจากการเรียกใช้โหนดทางออก Tor นั้นมีความเสี่ยงดังนั้นจึงมีน้อยคนที่ทำเช่นนั้น อย่างไรก็ตามรัฐบาลอาจหนีจากการเรียกใช้โหนดการออก - และเป็นไปได้ว่าหลายคนจะทำได้.

บทเรียน: ห้ามรันโหนดทางออก Tor - อย่างจริงจัง.

โปรเจ็กต์ Tor มีคำแนะนำสำหรับการรันโหนดการออกหากคุณต้องการจริงๆ คำแนะนำของพวกเขารวมถึงการเรียกใช้โหนดทางออกบนที่อยู่ IP เฉพาะในสถานที่เชิงพาณิชย์และการใช้ ISP ที่เป็นมิตรต่อ Tor อย่าลองทำที่บ้าน! (คนส่วนใหญ่ไม่ควรลองสิ่งนี้ในที่ทำงาน)

Tor ไม่ใช่คำตอบเวทมนต์ที่ทำให้คุณไม่เปิดเผยตัวตน มันประสบความสำเร็จโดยไม่เปิดเผยตัวตนโดยการส่งทราฟฟิกที่เข้ารหัสผ่านเครือข่ายอย่างชาญฉลาด แต่ทราฟฟิกนั้นจะต้องปรากฏที่ใดที่หนึ่งซึ่งเป็นปัญหาสำหรับทั้งผู้ใช้ของ Tor และผู้ให้บริการโหนดออก นอกจากนี้ซอฟต์แวร์ที่ทำงานบนคอมพิวเตอร์ของเราไม่ได้ออกแบบมาเพื่อซ่อนที่อยู่ IP ของเราซึ่งส่งผลให้เกิดความเสี่ยงเมื่อทำอะไรนอกเหนือจากการดูหน้า HTML ธรรมดาในเบราว์เซอร์ของ Tor.

เครดิตรูป: Michael Whitney บน Flickr, Andy Roberts บน Flickr, The Tor Project, Inc.