Tor Gerçekten Anonim ve Güvenli mi?
Bazı insanlar Tor'un interneti erişmenin tamamen gizli, gizli ve güvenli bir yol olduğuna inanıyor, kimsenin taramayı izleyemiyor ve takip edemiyorsun - değil mi? O kadar basit değil.
Tor, mükemmel bir gizlilik ve mahremiyet çözümü değildir. Kullanacaksanız bilmeniz gereken bazı önemli sınırlamaları ve riskleri vardır..
Çıkış Düğümleri Koklanabilir
Tor'un anonimliğini nasıl sağladığına daha ayrıntılı bir bakış için Tor'un nasıl çalıştığı konusundaki tartışmamızı okuyun. Özetle, Tor'u kullandığınızda, İnternet trafiğiniz Tor'un ağı üzerinden yönlendirilir ve Tor ağından çıkmadan önce rastgele seçilmiş birkaç röleden geçer. Tor, hangi bilgisayarın trafiği istediğini bilmek teorik olarak imkansız olacak şekilde tasarlanmıştır. Bilgisayarınız bağlantıyı başlatmış olabilir veya şifrelenmiş trafiği başka bir Tor düğümüne ileten bir röle görevi görüyor olabilir..
Ancak, çoğu Tor trafiği sonunda Tor ağından ortaya çıkmalıdır. Örneğin, Google’a Tor ile bağlandığınızı varsayalım - trafiğiniz birkaç Tor rölesi üzerinden geçiyor, ancak sonunda Tor ağından çıkması ve Google’ın sunucularına bağlanması gerekiyor. Trafiğinin Tor ağından çıktığı ve açık İnternet'e girdiği son Tor düğümü izlenebilir. Trafiğin Tor ağından çıktığı düğüm, "çıkış düğümü" veya "çıkış rölesi" olarak bilinir.
Aşağıdaki şemada kırmızı ok, çıkış düğümü ile Internet'teki bir bilgisayar olan “Bob” arasındaki şifrelenmemiş trafiği temsil eder..
Gmail hesabınız gibi şifreli (HTTPS) bir web sitesine erişiyorsanız, bu sorun değil - çıkış düğümü Gmail’e bağlandığınızı görebilse de, sorun yok. Şifrelenmemiş bir web sitesine erişiyorsanız, çıkış düğümü ziyaret ettiğiniz web sayfalarını, yaptığınız aramaları ve gönderdiğiniz mesajları takip ederek İnternet etkinliğinizi potansiyel olarak izleyebilir.
İnsanların çıkış düğümlerini çalıştırmalarına izin vermeleri gerekir; çünkü çalışan çıkış düğümleri, yalnızca trafiği geçen bir geçiş düğümünü çalıştırmaktan daha fazla risk altında tutar. Hükümetler bazı çıkış düğümleri işletiyor ve suçluları araştırmak için öğrendiklerini kullanarak veya baskıcı ülkelerde siyasi aktivistleri cezalandırmak için onları terk eden trafiği izliyor olabilir..
Bu sadece teorik bir risk değil. 2007'de bir güvenlik araştırmacısı, bir Tor çıkış düğümü çalıştırarak yüzlerce e-posta hesabının şifrelerini ve e-posta mesajlarını ele geçirdi. Söz konusu kullanıcılar, Tor'un bir şekilde kendi iç şifrelemeyle onları koruyacağına inanırken, e-posta sistemlerinde şifreleme kullanmamakta hata yaptılar. Ama Tor böyle işlemez..
ders: Tor kullanırken, hassas herhangi bir şey için şifreli (HTTPS) web siteleri kullandığınızdan emin olun. Trafiğinizin yalnızca hükümetler tarafından değil, aynı zamanda özel veriler arayan kötü niyetli kişiler tarafından da izlenebileceğini unutmayın.
JavaScript, Eklentiler ve Diğer Uygulamalar IP'nizi Sızdırabilir
Tor'un nasıl kullanılacağını açıkladığımız zaman anlattığımız Tor tarayıcı paketi, güvenli ayarlarla önceden yapılandırılmış olarak geliyor. JavaScript devre dışı bırakıldı, eklentiler çalıştırılamıyor ve bir dosyayı indirip başka bir uygulamada açmayı denerseniz tarayıcı sizi uyaracak.
JavaScript normalde bir güvenlik riski değildir, ancak IP’nizi gizlemeye çalışıyorsanız, JavaScript kullanmak istemezsiniz. Tarayıcınızın JavaScript motoru, Adobe Flash gibi eklentiler ve Adobe Reader ve hatta bir video oynatıcı gibi harici uygulamalar, potansiyel olarak edinmeye çalışan bir web sitesine gerçek IP adresinizi "sızdırabilir"..
Tor tarayıcı paketi, varsayılan ayarlarıyla tüm bu sorunları önler, ancak bu korumaları devre dışı bırakıp Tor tarayıcısında JavaScript veya eklentileri kullanabilirsiniz. Bunu, anonimlik konusunda ciddiyseniz - ve anonimlik konusunda ciddi değilseniz, en başta Tor kullanmamalısınız.
Bu da sadece teorik bir risk değil. 2011 yılında bir grup araştırmacı, BitTorrent müşterilerini Tor aracılığıyla kullanan 10.000 kişinin IP adreslerini aldı. Diğer birçok uygulama türü gibi, BitTorrent istemcileri de güvenli değildir ve gerçek IP adresinizi gösterebilir.
ders: Tor tarayıcısının güvenli ayarlarını yerinde bırakın. Tor'u başka bir tarayıcıyla kullanmaya çalışmayın - ideal ayarlarla önceden yapılandırılmış Tor tarayıcı paketine yapıştırın. Tor ağında başka uygulamaları kullanmamalısınız.
Bir Çıkış Düğümünün Çalıştırılması Risk Altına Giriyor
Çevrimiçi anonimlik konusunda büyük bir inancınız varsa, bir Tor geçişi yaparak bant genişliğinizi bağışlamak için motive olabilirsiniz. Bu yasal bir sorun olmamalıdır - bir Tor rölesi sadece şifreli trafiği Tor ağının içinde ileri geri geçirir. Tor, gönüllüler tarafından yönetilen röleler yoluyla anonimlik elde ediyor.
Ancak, Tor trafiğinin adsız ağdan çıktığı ve açık İnternet'e bağlandığı bir yer olan bir çıkış rölesi çalıştırmadan önce iki kez düşünmelisiniz. Suçlular yasadışı işler için Tor kullanıyorsa ve trafik çıkış rölenizden çıkarsa, bu trafik IP adresinize göre izlenebilir ve kapınızı ve bilgisayar donanımınıza el koyabilirsiniz. Avusturya'da bir adam basıldı ve Tor çıkış düğümünü çalıştırmak için çocuk pornografisi dağıtmakla suçlandı. Tor çıkış düğümünü çalıştırmak, başkalarının da açık bir Wi-Fi ağı işletmek gibi izleyebilecekleri kötü şeyler yapmalarına olanak tanır - ancak sizi gerçekten belaya sokma olasılığı çok daha fazladır. Bununla birlikte, sonuçlara cezai bir ceza verilmeyebilir. ABD'de Telif Hakkı Uyarı Sistemi kapsamında telif hakkıyla korunan içerik veya eylemi indirmek için dava açabilirsiniz..
Tor çıkış düğümlerini çalıştırmakla ilgili riskler aslında ilk noktaya bağlanır. Bir Tor çıkış düğümünü çalıştırmak çok riskli olduğu için çok az insan bunu yapıyor. Ancak hükümetler, çalışan çıkış düğümlerinden kurtulup kurtulabiliyordu - ve muhtemelen.
ders: Asla bir Tor çıkış düğümünü çalıştırmayın - ciddi.
Tor projesi, gerçekten isterseniz bir çıkış düğümü çalıştırmak için önerilerde bulunuyor. Tavsiyeleri arasında ticari bir tesiste özel bir IP adresinde bir çıkış düğümü çalıştırma ve Tor-dostu bir ISS kullanma. Bunu evde denemeyin! (Çoğu insan bunu işte bile denememelidir.)
Tor sana anonimlik veren sihirli bir çözüm değil. Bir ağ üzerinden şifreli trafiği akıllıca ileterek anonimlik elde eder, ancak bu trafiğin bir yerde ortaya çıkması gerekir - bu, hem Tor'un kullanıcıları hem de çıkış düğümü operatörleri için bir sorundur. Ek olarak, bilgisayarlarımızda çalışan yazılımlar, IP tarayıcılarımızı gizlemek için tasarlanmamıştır; bu, Tor tarayıcısında düz HTML sayfalarını görüntülemenin ötesinde herhangi bir şey yapması durumunda riskle sonuçlanır.
Image Credit: Flickr'da Michael Whitney, Flickr'da Andy Roberts, Tor Projesi, Inc.