Tor не является идеальным решением для анонимности и конфиденциальности. Он имеет несколько важных ограничений и рисков, о которых вам следует знать, если вы собираетесь его использовать.
Выйти из узлов можно
Прочитайте наше обсуждение того, как Tor работает для более детального изучения того, как Tor предоставляет свою анонимность. Таким образом, при использовании Tor ваш интернет-трафик маршрутизируется через сеть Tor и проходит через несколько случайно выбранных реле перед выходом из сети Tor. Tor спроектирован так, что теоретически невозможно узнать, какой компьютер действительно запрашивал трафик. Возможно, ваш компьютер инициировал соединение или он может просто действовать как реле, передавая этот зашифрованный трафик на другой узел Tor.
Тем не менее, большинство трафика Tor должно в конечном итоге выйти из сети Tor. Например, предположим, что вы подключаетесь к Google через Tor - ваш трафик передается через несколько реле Tor, но он должен, в конечном счете, выйти из сети Tor и подключиться к серверам Google. Последний узел Tor, где ваш трафик покидает сеть Tor и входит в открытый Интернет, может отслеживаться. Этот узел, в котором трафик выходит из сети Tor, известен как «выходный узел» или «выходное реле».
На приведенной ниже диаграмме красная стрелка представляет собой незашифрованный трафик между выходным узлом и «Боб», компьютером в Интернете.
Люди должны согласиться на запуск выходных узлов, поскольку работающие узлы выхода ставят их в более юридический риск, чем просто запуск узла ретрансляции, который передает трафик. Вероятно, правительства управляют несколькими выходными узлами и контролируют трафик, который их оставляет, используя то, что они учатся, расследуют преступников или, в репрессивных странах, наказывают политических активистов.
Это не просто теоретический риск. В 2007 году исследователь безопасности перехватил пароли и сообщения электронной почты для сотни учетных записей электронной почты, запустив узел выхода Tor. Пользователи, о которых идет речь, допустили ошибку, не используя шифрование в своей системе электронной почты, полагая, что Tor каким-то образом защитит их своим внутренним шифрованием. Но это не так, как работает Тор.
Урок: При использовании Tor не забудьте использовать зашифрованные (HTTPS) веб-сайты для чего-либо чувствительного. Имейте в виду, что ваш трафик может контролироваться не только правительствами, но и злонамеренными людьми, ищущими частные данные.
JavaScript, плагины и другие приложения могут лишить ваш IP-адрес
Комплект браузера Tor, который мы рассмотрели, когда мы объяснили, как использовать Tor, поставляется с предварительно настроенными настройками. JavaScript отключен, подключаемые модули не могут запускаться, и браузер предупреждает вас, если вы попытаетесь загрузить файл и открыть его в другом приложении.
JavaScript обычно не является угрозой безопасности, но если вы пытаетесь скрыть свой IP-адрес, вы не хотите использовать JavaScript. JavaScript-движок вашего браузера, плагины, такие как Adobe Flash, и внешние приложения, такие как Adobe Reader или даже видеоплеер, могут потенциально «утешить» ваш реальный IP-адрес на веб-сайт, который пытается его приобрести.
Пакет браузера Tor избегает всех этих проблем с его настройками по умолчанию, но вы можете потенциально отключить эти защиты и использовать JavaScript или плагины в браузере Tor. Не делайте этого, если вы серьезно относитесь к анонимности, и если вы не серьезно относитесь к анонимности, вы не должны использовать Tor в первую очередь.
Это не просто теоретический риск. В 2011 году группа исследователей приобрела IP-адреса 10 000 человек, которые использовали клиентов BitTorrent через Tor. Как и многие другие типы приложений, клиенты BitTorrent небезопасны и способны разоблачать ваш реальный IP-адрес.
Урок: Оставьте безопасные настройки браузера Tor на месте. Не пытайтесь использовать Tor с другим браузером - придерживайтесь пакета браузера Tor, который был предварительно настроен с идеальными настройками. Вы не должны использовать другие приложения в сети Tor.
Запуск узла выхода ставит вас под угрозу
Если вы являетесь сторонником анонимности в Интернете, вы можете мотивировать вас на передачу вашей пропускной способности, запустив ретранслятор Tor. Это не должно быть юридической проблемой - реле Tor просто передает зашифрованный трафик взад и вперед внутри сети Tor. Tor достигает анонимности через реле, которыми управляют добровольцы.
Однако вы должны подумать дважды перед запуском реле выхода, которое является местом, где Tor-трафик выходит из анонимной сети и подключается к открытому Интернету. Если преступники используют Tor для незаконных вещей, и трафик выходит из вашего выходного реле, этот трафик будет отслеживаться на ваш IP-адрес, и вы можете получить стук в вашу дверь и ваше компьютерное оборудование, конфискованное. Человек в Австрии был разгромлен и обвинен в распространении детской порнографии для запуска выхода узла Tor.Запуск узла выхода Tor позволяет другим людям делать плохие вещи, которые можно проследить до вас, точно так же, как работать с открытой сетью Wi-Fi, но это намного, гораздо более вероятно, приведет к неприятностям. Однако последствия не могут быть уголовным наказанием. Вы можете просто обратиться в суд за загрузкой контента или действия, защищенного авторскими правами, в Системе защиты авторских прав в США.
Урок: Никогда не запускайте узел выхода Tor - серьезно.
В проекте Tor есть рекомендации по запуску узла выхода, если вы действительно этого хотите. Их рекомендации включают запуск узла выхода на выделенный IP-адрес в коммерческом объекте и использование интернет-провайдера Tor. Не пытайтесь это дома! (Большинство людей не должны даже попробовать это на работе.)
Tor - не волшебное решение, которое предоставляет вам анонимность. Он достигает анонимности, умело передавая зашифрованный трафик через сеть, но этот трафик должен появиться где-то - это проблема как для пользователей Tor, так и для операторов выходных узлов. Кроме того, программное обеспечение, которое работает на наших компьютерах, не предназначено для скрытия наших IP-адресов, что приводит к рискам при выполнении чего-либо, кроме просмотра простых HTML-страниц в браузере Tor.
