1Sep
Sommige mensen geloven dat Tor een volledig anonieme, persoonlijke en veilige manier is om toegang tot internet te krijgen zonder dat iemand je browsegeschiedenis kan volgen en het naar jou kan traceren - maar is het dat wel? Het is niet zo eenvoudig.
Tor is niet de perfecte oplossing voor anonimiteit en privacy. Het heeft verschillende belangrijke beperkingen en risico's, waarvan u zich bewust moet zijn of u het gaat gebruiken.
Exit Nodes kunnen gesnoven worden
Lees onze discussie over hoe Tor werkt voor een meer gedetailleerde blik op hoe Tor zijn anonimiteit biedt. Samenvattend, wanneer u Tor gebruikt, wordt uw internetverkeer gerouteerd via het Tor-netwerk en doorloopt het verschillende willekeurig geselecteerde relais voordat het Tor-netwerk wordt verlaten. Tor is zo ontworpen dat het theoretisch onmogelijk is om te weten welke computer daadwerkelijk om het verkeer heeft gevraagd. Uw computer heeft mogelijk de verbinding geïnitieerd of werkt mogelijk alleen als een relais en stuurt dat gecodeerde verkeer door naar een ander Tor-knooppunt.
Het meeste Tor-verkeer moet echter uiteindelijk uit het Tor-netwerk komen. Laten we bijvoorbeeld zeggen dat u via Tor verbinding maakt met Google - uw verkeer wordt door verschillende Tor-relais geleid, maar het moet uiteindelijk uit het Tor-netwerk komen en verbinding maken met de servers van Google. Het laatste Tor-knooppunt, waar uw verkeer het Tor-netwerk verlaat en het open internet binnenkomt, kan worden gecontroleerd. Dit knooppunt waar verkeer het Tor-netwerk verlaat, staat bekend als een 'exitknooppunt' of 'exitrelais'.
In het onderstaande diagram staat de rode pijl voor het niet-versleutelde verkeer tussen het exitknooppunt en 'Bob', een computer op internet.
Als u een gecodeerde( HTTPS) website bezoekt, zoals uw Gmail-account, is dit in orde - hoewel het exit-knooppunt kan zien dat u verbinding maakt met Gmail.als u een niet-versleutelde website bezoekt, kan het exitknooppunt uw internetactiviteit controleren, waarbij u de webpagina's die u bezoekt, zoekopdrachten die u uitvoert en de berichten die u verzendt bijhoudt.
Mensen moeten instemmen met het uitvoeren van exit-knooppunten, omdat het uitvoeren van exitknooppunten hen een meer juridisch risico oplevert dan alleen het uitvoeren van een relaisknooppunt dat verkeer doorgeeft. Het is waarschijnlijk dat regeringen enkele exit-knooppunten gebruiken en het verkeer dat hen verlaat controleren, met behulp van wat ze leren om criminelen te onderzoeken of, in repressieve landen, politieke activisten straffen.
Dit is niet alleen een theoretisch risico. In 2007 onderschepte een beveiligingsonderzoeker wachtwoorden en e-mailberichten voor honderd e-mailaccounts door een Tor-exitknooppunt te gebruiken. De gebruikers in kwestie maakten de fout om geen encryptie op hun e-mailsysteem te gebruiken, in de veronderstelling dat Tor hen op een of andere manier zou beschermen met zijn interne codering. Maar dat is niet hoe Tor werkt.
Les : Zorg ervoor dat u bij het gebruik van Tor versleutelde( HTTPS) websites gebruikt voor alles wat gevoelig is. Houd er rekening mee dat uw verkeer kan worden gecontroleerd - niet alleen door overheden, maar ook door kwaadwillende personen die op zoek zijn naar privégegevens.
JavaScript, plug-ins en andere toepassingen kunnen uw IP lekken
De Tor-browserbundel, die we behandelden toen we uitlegden hoe Tor te gebruiken, is voorgeconfigureerd met beveiligde instellingen. JavaScript is uitgeschakeld, plug-ins kunnen niet worden uitgevoerd en de browser zal u waarschuwen als u probeert een bestand te downloaden en het in een andere toepassing te openen.
JavaScript is normaal gesproken geen beveiligingsrisico, maar als u probeert uw IP-adres te verbergen, wilt u JavaScript niet gebruiken. De JavaScript-engine van uw browser, plug-ins zoals Adobe Flash en externe applicaties zoals Adobe Reader of zelfs een videospeler kunnen mogelijk uw echte IP-adres "lekken" naar een website die het probeert te verkrijgen.
De Tor-browserbundel vermijdt al deze problemen met de standaardinstellingen, maar u kunt deze beveiligingen mogelijk uitschakelen en JavaScript of plug-ins in de Tor-browser gebruiken. Doe dit niet als u serieus bent over anonimiteit - en als u niet serieus bent over anonimiteit, zou u Tor in de eerste plaats niet moeten gebruiken.
Dit is ook niet alleen een theoretisch risico. In 2011 verwierf een groep onderzoekers de IP-adressen van 10.000 mensen die BitTorrent-clients via Tor gebruikten. Net als veel andere soorten applicaties, zijn BitTorrent-clients onveilig en in staat om uw echte IP-adres bloot te leggen.
Les : Laat de veilige instellingen van de Tor-browser op zijn plaats. Probeer Tor niet te gebruiken met een andere browser - blijf bij de Tor-browserbundel, die vooraf is geconfigureerd met de ideale instellingen. Gebruik geen andere applicaties met het Tor-netwerk.
Een exit-knooppunt uitvoeren Hiermee plaatst u een risico
Als je een groot voorstander bent van online anonimiteit, kun je gemotiveerd zijn om je bandbreedte te schenken door een Tor-relay uit te voeren. Dit zou geen juridisch probleem moeten zijn - een Tor-relais geeft alleen versleuteld verkeer heen en weer binnen het Tor-netwerk. Tor bereikt anonimiteit via relais van vrijwilligers.
U moet echter wel twee keer nadenken voordat u een exit-relay uitvoert. Dit is een plaats waar Tor-verkeer uit het anonieme netwerk komt en verbinding maakt met het open internet. Als criminelen Tor gebruiken voor illegale dingen en het verkeer uit uw exit relay komt, is dat verkeer traceerbaar naar uw IP-adres en kunt u een klop op uw deur krijgen en uw computerapparatuur in beslag genomen. Een man in Oostenrijk werd overvallen en beschuldigd van het verspreiden van kinderpornografie voor het runnen van een Tor-uitgangsknooppunt. Het uitvoeren van een Tor-exitknooppunt stelt andere mensen in staat om slechte dingen te doen die terug te voeren zijn naar jou, net zoals het werken met een open Wi-Fi-netwerk - maar het is veel, veel waarschijnlijker dat je in de problemen komt. De gevolgen mogen echter geen strafrechtelijke sanctie zijn. U kunt mogelijk worden geconfronteerd met een rechtszaak voor het downloaden van auteursrechtelijk beschermde inhoud of actie onder het Auteursrechtalarmsysteem in de VS.
De risico's die gepaard gaan met het uitvoeren van Tor-uitgangsknopen, komen feitelijk terug in het eerste punt. Omdat het uitvoeren van een Tor-exitknoop zo riskant is, doen maar weinig mensen het. Regeringen kunnen echter wegkomen met het uitvoeren van exit-knooppunten - en waarschijnlijk zullen velen dat ook doen.
Les : Nooit een Tor-exitknoop uitvoeren - serieus.
Het Tor-project heeft aanbevelingen voor het uitvoeren van een exit-knooppunt als u dat echt wilt. Hun aanbevelingen omvatten het uitvoeren van een exit-knooppunt op een speciaal IP-adres in een commerciële faciliteit en het gebruik van een Tor-vriendelijke ISP.Probeer dit niet thuis!(De meeste mensen zouden dit zelfs niet op hun werk moeten proberen.)
Tor is geen magische oplossing die je anonimiteit verleent. Het bereikt anonimiteit door slim gecodeerd verkeer via een netwerk door te geven, maar dat verkeer moet ergens naar boven komen - wat een probleem is voor zowel Tor-gebruikers als exit-knooppuntoperators. Bovendien was de software die op onze computers draait niet ontworpen om onze IP-adressen te verbergen, wat resulteert in risico's bij het doen van iets anders dan het bekijken van gewone HTML-pagina's in de Tor-browser.
Image Credit: Michael Whitney op Flickr, Andy Roberts op Flickr, The Tor Project, Inc.