幕后英雄 Tor 的困境
Tor是第二代洋葱路由的一种实现,用户通过Tor可以在因特网上进行匿名交流。Tor的功能非常的强大,它可以帮助我们突破几乎所有的网络限制,但是有一些不法分子通过这一点进行网络破坏,致使Tor受到严厉管理。
最近有消息称,Tor(The Onion Router)能可靠地为用户提供匿名访问互联网的方式已经受到破坏。然而,我们还有其它的替代手段。
十多年来,全世界的人们都在使用 Tor(Onion Router)来保护自己的隐私。美国海军研究实验室使用开源技术开发了这一系统,来保护美国政府的通信。
它用于那些生活在约束体制下的人们,通过它去访问网上被禁止的信息或数据,或者那些想要与记者交流的告密者和持不同政见的人;以及那些不想被跟踪的 Internet 用户或者是想在网上公布信息而又不想泄露自己隐私的人。
Tor 如何工作
Tor 通过随机选取遍布于全球的 Tor 中继点,将流量从源头发送到目的。每一次从一个中继点到下一个中继点传送的流量都是加密的,任何获得流量的中继点只知 道流量来至哪里,以及下一个中继点的地址。只有到最后,出口的节点才知道最终的目的地;并在流量离开 Tor 网络时将它解密。
Tor 的“会合点”也可以提供一个“隐藏”的服务,如让匿名网站的所有者和位置不能被追溯。世界范围内有数千个 Tor 的中继点,并且有成千上万的人都在使用 它们(任何人都可以创建一个)。NSA在2013年被泄露的文件中,将 Tor 描述为“高等级安全的王者,低延迟的网络匿名,”以及,“不存在能与之匹敌的竞争对手”。这是只是2013年的时候,而现在看来确实不能这样说。
Tor 的困境
也许最明显的例子是丝绸之路2.0毒品电子网站被查封,同时逮捕了一个被认为是幕后黑手的旧金山男子。该网站使用了一个隐藏的 Tor 服务器。有 人认为:丝绸之路2.0毒品电子网站是因为遭到了NSA一个秘密调查机构的损害,并非是因为 Tor 系统的技术弱点。但是逮捕事件说明了这样的一个事 实:使用 Tor 并不能保证匿名。
事实上,使用 Tor 确实能吸引执法和安全机构的兴趣。今年早些时候,据透露,NSA的 xkeyscore程序很可能会把那些使用 Tor 的互联网用户,或是想学习 Tor 而访问 Tor 网站的人列为极端分子。因此,具有讽刺意味的 是,试图匿名上网的你很可能是把自己直接放在 NSA 的聚光灯下。
可以肯定的是 Tor 存在技术弱点,并且这些弱点可以被利用。
在7月份,Tor 在一篇博文中声称不明的攻击者建立了很多个 Tor 中继点,并通过修改经过这些中继点的流量试图去识别那些隐藏服务的用户。该 博文建议,如果用户到2014年7月4日前访问或者是直接操作隐藏服务已经有5个月的时间的话,那么就可以认定他们的身份已经被泄露了。
Tor 的另一个问题是如果这些用户的电脑被恶意软件侵害,那么当他们使用 Tor 时已经不足以保持匿名了。这是在2013年8月的一个例子,当以个被称为“万 磁王”的恶意软件被发现的时候,他已经利用了一个之前未发现的 Tor 浏览器致命弱点,这种浏览器通常使用 Tor 技术去访问网站。
不再匿名
对 Javascript 的破解利用被普遍认为是 FBI 所采取的手段,因为除了利用这些计算机的真实 IP 地址将这些计算机的 MAC 地址和 Windows 主机名发送到一个位于弗吉尼亚州的服务器外,它没有做任何泄密机器的事情。如果说 FBI 牵涉了恶意软件就一点也不奇怪了。从爱德华斯诺登揭露的事情已经显示NSA做了很多这样的事情。
最近,前哥伦比亚大学的研究人员共同发表的研究声称:通过使用一个叫做流量分析技术的演变方法可以识别81%的 Tor 的用户。其本质上是通过建立一个被修改的 Tor 中继点,然后向流量中注入一个 TCP 连接,从而分析出路由器的流量记录。
这是一个复杂的事情,但是根据教授 Sambuddho Chakravarty 的说法,这并非复杂到需要用到美国国家安全局的巨大资源来实施。
有这样一个观点:因由于网上的一些 Tor 中继都非常大并且处理着巨大的流量,这使得他们的操作和维护都很昂贵。一个明显的问题是:谁来买单?给出答案是,由于许多政府想更多地知道人们在用Tor 做什么,这并不难想象,其中的一些是被外国政府情报服务机构操作的。
Tor 的代替品
尽管国家安全局说没有任何竞争对手能动摇 Tor 为互联网匿名王者的地位,然而还是有一些替代方案的,这包括: 看不见的互联网项目(I2P),这是一个匿名的重叠网,一个网络包含着另一个网络,它的目的是为了防止通讯信息被像 ISP 这样的第三方拉网式监控。
以匿名方式发送消息,每一个客户端都有自己的 I2P 路由器建立的几个入境和出境的通道-通过向一个方向传送一系列同等片段的信息(分别往返于客户端之间)。反过来,当一个客户端要向另一个客户端发送信息 时,一个客户端通过自己的出境通道将信息发向另一个客户端的入境通道,最终达到目的地。
I2P 开源软件项目的网站警告说“没有网络可以绝对地匿名”,I2P 的继续目标是使攻击变得越来越难以实施。并补充说:“随着网络大小的扩大和正在进行的学术研究将会使它的匿名性变得更强壮。”
Freenet 是一个免费软件,它旨在让你匿名共享你的文件,浏览网页和发布“freesite”地址(该网络地址只能通过 Freenet访问)以及在论坛上聊天。该项目的一个重要发展是,有一些被称为“darknet”的网络加入。这些网络只连接到他们所信任的人,用户能极 大地降低自身的脆弱性并能通过朋友的朋友连接到全球的网络。
虽然V*N 服务不提供强健的匿名访问,因为在你使用他们的时候都需要你去服务提供商哪里进行注册,即使那些你所连接和访问的网站并不需要保存你的 IP 地址记录。
尽管如此,一个 V*N 服务能从你访问的网站掩盖你的 IP 地址,并提供一个低水平的匿名访问。V*N 应谨慎使用,因为网站仍然可以通过 cookies 识别你的身份或者是通过其他的标示符。特别是当你访问一个没有 V*N 掩盖你 IP 地址的相关网址时。
原文: http://www.esecurityplanet.com/open-source-security/the-trouble-with-tor.html译文: http://code.csdn.net/news/2823265