1Sep
Bazı insanlar Tor'u, kimsenin taramayı izleyemeyeceği ve izini saklamamasıyla internete erişmek için tamamen gizli, özel ve güvenli bir yol olduğuna inanıyor - ama değil mi? Oldukça basit değil.
Tor mükemmel bir anonimlik ve gizlilik çözümü değildir. Birkaç önemli sınırlama ve risk vardır, bunları kullanacaksanız bilmeniz gerekir.
Çıkış Düğümleri Koklanabilir
Tor'un gizli tanımlamasını nasıl yaptığına dair daha ayrıntılı bir görünüm için Tor'un nasıl çalıştığını tartışmamızı okuyun.Özetle, Tor'u kullandığınızda, İnternet trafiğiniz Tor ağında yönlendirilir ve Tor ağından çıkmadan önce rasgele seçilen birkaç röle geçer. Tor hangi bilgisayarı gerçekte trafik talep ettiğini bilmek teorik olarak imkansız olacak şekilde tasarlanmıştır. Bilgisayarınız bağlantıyı başlatmış olabilir ya da şifrelenmiş trafiği başka bir Tor düğümüne aktarmaya çalışarak sadece bir geçiş görevi yapıyor olabilir.
Ancak, çoğu Tor trafiği sonunda Tor ağından çıkmalıdır.Örneğin, Tor aracılığıyla Google'a bağlandığınızı varsayalım - trafikiniz birkaç Tor rölesinden geçiriliyor ancak sonuçta Tor ağından çıkıyor ve Google sunucularına bağlanmalıdır. Trafiğinizin Tor ağından ayrıldığı ve açık İnternet'e girdiği son Tor düğümü izlenebilir. Trafiğin Tor ağından çıktığı bu düğüm "çıkış düğümü" veya "çıkış rölesi" olarak bilinir.
Aşağıdaki diyagramda kırmızı ok çıkış düğümü ile Internet üzerindeki bir bilgisayar arasındaki "Bob" arasındaki şifrelenmemiş trafiği temsil eder.
Gmail hesabınız gibi şifreli( HTTPS) bir web sitesine erişiyorsanız, bu tamamdır - çıkış düğümü Gmail'e bağlandığınızı görebilir.şifrelenmemiş bir web sitesine erişiyorsanız, çıkış düğümü potansiyel olarak İnternet faaliyetinizi izleyebilir, ziyaret ettiğiniz web sayfalarını, gerçekleştirdiğiniz aramaları ve gönderdiğiniz iletileri takip edebilir.
Çalışan çıkış düğümleri, trafiği geçen bir geçiş düğümünden daha yasal bir risk oluşturduğundan, insanlar çıkış düğümlerini çalıştırmaya razı olmalısın. Muhtemelen hükümetlerin bazı çıkış düğümleri çalıştırdığı ve onları terk eden trafiği izlediği, suçluları soruşturmak için öğrendiklerini kullanarak veya baskıcı ülkelerde siyasi eylemcileri cezalandırdığı öğrenildi.
Bu sadece teorik bir risk değildir.2007'de bir güvenlik araştırmacısı bir Tor çıkış düğümünü çalıştırarak yüz e-posta hesabının parolalarını ve e-posta mesajlarını engelledi. Söz konusu kullanıcılar e-posta sistemlerinde şifreleme kullanmamakta ve Tor'un dahili şifrelemeyle bunları bir şekilde koruduğuna inanmakta hata yapmaktadır. Ancak Tor böyle çalışmaz.
Ders : Tor kullanırken, hassas herhangi bir şey için şifreli( HTTPS) web sitelerini kullandığınızdan emin olun. Trafiğinizin yalnızca hükümetler tarafından değil, özel verileri arayan kötü niyetli kişiler tarafından izlenebileceğini unutmayın.
JavaScript, Eklentiler ve Diğer Uygulamalar IP
'nizi Sızdırabilir Tor'u nasıl kullanacağınızı açıkladığımızda Tor tarayıcı paketinde güvenli ayarlarla önceden yapılandırılmış olarak gelir. JavaScript devre dışı, eklentiler çalıştırılamaz ve bir dosyayı indirmeye ve başka bir uygulamada açmaya çalışırsanız tarayıcı sizi uyarır.
JavaScript genellikle bir güvenlik riski taşımaz, ancak IP'nizi gizlemeye çalışıyorsanız JavaScript'i kullanmak istemezsiniz. Tarayıcınızın JavaScript motoru, Adobe Flash gibi eklentiler ve Adobe Reader gibi harici uygulamalar veya hatta bir video oynatıcı, gerçek IP adresinizi elde etmeye çalışan bir web sitesine potansiyel olarak "sızdırma" yapabilir.
Tor tarayıcı paketi bu sorunların tümünü varsayılan ayarlarıyla önler, ancak bu koruyucuları devre dışı bırakabilir ve Tor tarayıcısında JavaScript'i veya eklentileri kullanabilirsiniz. Gizliliğiniz konusunda ciddi iseniz bunu yapmayın - ve anonimlik konusunda ciddi değilseniz, öncelikle Tor'u kullanmamalısınız.
Bu sadece teorik bir risk değildir.2011 yılında bir grup araştırmacı Tor aracılığıyla BitTorrent istemcilerini kullanan 10.000 kişinin IP adreslerini satın aldı.Diğer birçok uygulama tipi gibi, BitTorrent istemcileri de güvensizdir ve gerçek IP adresinizi gösterebilir.
Dersi : Tor tarayıcısının güvenli ayarlarını yerine bırakın. Tor'u başka bir tarayıcı ile kullanmaya çalışmayın - ideal ayarlarla önceden yapılandırılmış olan Tor tarayıcı paketiyle birlikte sopa. Tor ağında başka uygulamaları kullanmamalısınız.
Çıkış Düğümünü Çalıştırmak sizi Risk Altına Giriyor
Eğer çevrimiçi anonimlik konusunda büyük bir mümin isen, bir Tor röle çalıştırarak bant genişliği bağışlamak için motive olabilir. Bu yasal bir problem olmamalıdır - Tor rölesi, şifreli trafiği Tor ağında ileri geri itiyor. Tor, gönüllüler tarafından işletilen röleler aracılığıyla anonimlik kazanır.
Ancak Tor trafiğinin anonim bir ağdan çıktığı ve açık İnternet'e bağlandığı bir yer olan bir çıkış rölesi çalıştırmadan önce iki kez düşünmelisiniz. Suçlular yasadışı şeyler için Tor kullanıyorsa ve trafik çıkış rölenizden çıkarsa, bu trafik IP adresinize izlenebilir olacaktır ve kapınızı çalabilir ve bilgisayar ekipmanınız el konabilir. Avusturya'daki bir adam saldırıya uğradı ve bir Tor çıkış düğümünü çalıştırmak için çocuk pornografisi dağıtmakla suçlandı.Bir Tor çıkış düğümünün çalıştırılması, diğer insanlara, açık bir Kablosuz ağın işletilmesi gibi, size geri dönülebilecek kötü şeyler yapmalarına olanak tanır - ancak, gerçekte sorun yaratmaya çok daha fazla ihtimal veriyor. Bununla birlikte, sonuçlar cezai bir ceza olmayabilir. ABD'deki Telif Hakkı Alarm Sistemi uyarınca telif hakkıyla korunan içeriği veya işlemi indirmekle ilgili bir dava ile karşı karşıya kalabilirsiniz.
Tor çıkışlı düğümlerin çalıştırılmasında karşılaşılan riskler aslında ilk noktaya geri dönüyor. Bir Tor çıkış düğümünü çalıştırmak çok riskli olduğu için bunu yapan az insan var. Hükümetler ancak kaçak çıkış düğümleri ile kurtulabilirler - ve muhtemelen birçokları bunu yapıyor.
Dersi : Asla bir Tor çıkış düğümünü çalıştırmayın - ciddi.
Tor projesinde, gerçekten istediğiniz gibi bir çıkış düğümü çalıştırmak için öneriler var. Onların tavsiyeleri, ticari bir tesiste özel bir IP adresinde bir çıkış düğümü çalıştırmayı ve Tor dostu bir ISS'yi kullanmayı içerir. Bunu evde denemeyin!(Çoğu kimse bunu iş yerinde denememelidir.)
Tor size anonimlik hakkı veren sihirli bir çözüm değildir.Şifrelenmiş trafiği bir ağa akıllıca iletmekle anonimliği elde eder, ancak bu trafik bir yere çıkmak zorundadır - bu hem Tor'un kullanıcıları hem de çıkış yolu operatörleri için bir sorundur. Buna ek olarak, bilgisayarlarımızda çalışan yazılım, IP adreslerimizi gizleyecek şekilde tasarlanmamıştı; bu da, Tor tarayıcısında düz HTML sayfalarını görüntülemenin ötesinde bir şey yaparken risk taşır.
Resim Kredisi: Flickr'da Michael Whitney, Flickr'da Andy Roberts, The Tor Project, Inc.