Tor có thực sự ẩn danh và an toàn không?
Một số người tin rằng Tor là một cách hoàn toàn ẩn danh, riêng tư và an toàn để truy cập Internet mà không ai có thể theo dõi trình duyệt của bạn và theo dõi nó lại cho bạn - nhưng có phải vậy không? Nó không hoàn toàn đơn giản.
Tor không phải là giải pháp ẩn danh và riêng tư hoàn hảo. Nó có một số hạn chế và rủi ro quan trọng, mà bạn nên biết nếu bạn sẽ sử dụng nó.
Nút thoát có thể được đánh hơi
Đọc thảo luận của chúng tôi về cách Tor hoạt động để có cái nhìn chi tiết hơn về cách Tor cung cấp tính ẩn danh của nó. Tóm lại, khi bạn sử dụng Tor, lưu lượng truy cập Internet của bạn được định tuyến qua mạng của Tor và đi qua một số rơle được chọn ngẫu nhiên trước khi thoát khỏi mạng Tor. Tor được thiết kế sao cho về mặt lý thuyết là không thể biết máy tính nào thực sự yêu cầu lưu lượng. Máy tính của bạn có thể đã khởi tạo kết nối hoặc nó có thể chỉ hoạt động như một rơle, chuyển tiếp lưu lượng được mã hóa đến một nút Tor khác.
Tuy nhiên, hầu hết lưu lượng Tor cuối cùng phải xuất hiện từ mạng Tor. Ví dụ: giả sử bạn đang kết nối với Google thông qua Tor - lưu lượng truy cập của bạn được truyền qua một số rơle Tor, nhưng cuối cùng nó phải xuất hiện từ mạng Tor và kết nối với máy chủ của Google. Nút Tor cuối cùng, nơi lưu lượng truy cập của bạn rời khỏi mạng Tor và truy cập Internet mở, có thể được theo dõi. Nút này nơi lưu lượng truy cập thoát khỏi mạng Tor được biết đến như là một nút thoát ra khỏi nút Rơle hoặc Rơle thoát hiểm.
Trong sơ đồ bên dưới, mũi tên màu đỏ biểu thị lưu lượng không được mã hóa giữa nút thoát và nút Bob, một máy tính trên Internet.
Nếu bạn đang truy cập một trang web được mã hóa (HTTPS) như tài khoản Gmail của bạn, điều này không sao - mặc dù nút thoát có thể thấy rằng bạn đang kết nối với Gmail. nếu bạn đang truy cập một trang web không được mã hóa, nút thoát có khả năng giám sát hoạt động Internet của bạn, theo dõi các trang web bạn truy cập, tìm kiếm bạn thực hiện và tin nhắn bạn gửi.
Mọi người phải đồng ý chạy các nút thoát, vì việc chạy các nút thoát khiến họ gặp nhiều rủi ro pháp lý hơn là chỉ chạy một nút chuyển tiếp vượt qua lưu lượng. Có khả năng các chính phủ điều hành một số nút thoát và giám sát lưu lượng rời khỏi họ, sử dụng những gì họ học được để điều tra tội phạm hoặc, tại các quốc gia đàn áp, trừng phạt các nhà hoạt động chính trị.
Đây không chỉ là một rủi ro lý thuyết. Năm 2007, một nhà nghiên cứu bảo mật đã chặn mật khẩu và thông điệp email cho hàng trăm tài khoản email bằng cách chạy nút thoát Tor. Những người dùng trong câu hỏi đã mắc sai lầm khi không sử dụng mã hóa trên hệ thống email của họ, tin rằng Tor bằng cách nào đó sẽ bảo vệ họ bằng mã hóa nội bộ. Nhưng đó không phải là cách Tor hoạt động.
Bài học: Khi sử dụng Tor, hãy chắc chắn sử dụng các trang web được mã hóa (HTTPS) cho bất kỳ điều gì nhạy cảm. Hãy nhớ rằng lưu lượng truy cập của bạn có thể bị theo dõi - không chỉ bởi chính phủ, mà bởi những người độc hại đang tìm kiếm dữ liệu riêng tư.
JavaScript, Plug-in và các ứng dụng khác có thể làm rò rỉ IP của bạn
Gói trình duyệt Tor, được trình bày khi chúng tôi giải thích cách sử dụng Tor, được cấu hình sẵn với các cài đặt an toàn. JavaScript bị vô hiệu hóa, các plugin không thể chạy và trình duyệt sẽ cảnh báo bạn nếu bạn cố tải xuống một tệp và mở nó trên một ứng dụng khác.
JavaScript thường không phải là một rủi ro bảo mật, nhưng nếu bạn đang cố gắng giấu IP của mình, bạn không muốn sử dụng JavaScript. Công cụ JavaScript của trình duyệt của bạn, các trình cắm như Adobe Flash và các ứng dụng bên ngoài như Adobe Reader hoặc thậm chí trình phát video đều có khả năng rò rỉ địa chỉ IP thực của bạn đến một trang web cố lấy.
Gói trình duyệt Tor tránh tất cả các sự cố này với cài đặt mặc định của nó, nhưng bạn có khả năng có thể vô hiệu hóa các biện pháp bảo vệ này và sử dụng JavaScript hoặc trình cắm trong trình duyệt Tor. Đừng làm điều này nếu bạn nghiêm túc về việc ẩn danh - và nếu bạn không nghiêm túc về việc ẩn danh, bạn không nên sử dụng Tor ở nơi đầu tiên.
Đây cũng không chỉ là rủi ro về mặt lý thuyết. Năm 2011, một nhóm các nhà nghiên cứu đã có được địa chỉ IP của 10.000 người đang sử dụng ứng dụng khách BitTorrent thông qua Tor. Giống như nhiều loại ứng dụng khác, ứng dụng khách BitTorrent không an toàn và có khả năng hiển thị địa chỉ IP thực của bạn.
Bài học: Giữ nguyên cài đặt bảo mật của trình duyệt Tor. Đừng cố sử dụng Tor với một trình duyệt khác - gắn bó với gói trình duyệt Tor, đã được cấu hình sẵn với các cài đặt lý tưởng. Bạn không nên sử dụng các ứng dụng khác với mạng Tor.
Chạy một Node thoát khiến bạn có nguy cơ
Nếu bạn là một người tin tưởng lớn vào ẩn danh trực tuyến, bạn có thể được khuyến khích quyên góp băng thông của mình bằng cách chạy rơle Tor. Đây không phải là một vấn đề pháp lý - rơle Tor chỉ truyền lưu lượng được mã hóa qua lại trong mạng Tor. Tor đạt được ẩn danh thông qua các rơle do tình nguyện viên điều hành.
Tuy nhiên, bạn nên suy nghĩ kỹ trước khi chạy rơle thoát, đây là nơi lưu lượng truy cập Tor ra khỏi mạng ẩn danh và kết nối với Internet mở. Nếu bọn tội phạm sử dụng Tor cho những thứ bất hợp pháp và lưu lượng truy cập ra khỏi rơle thoát của bạn, lưu lượng đó sẽ có thể truy nguyên theo địa chỉ IP của bạn và bạn có thể bị gõ cửa và thiết bị máy tính của bạn bị tịch thu. Một người đàn ông ở Áo đã bị đột kích và buộc tội phân phối nội dung khiêu dâm trẻ em vì chạy nút thoát Tor. Chạy nút thoát Tor cho phép người khác thực hiện những điều xấu có thể truy ngược lại bạn, giống như vận hành mạng Wi-Fi mở - nhưng rất nhiều khả năng sẽ khiến bạn gặp rắc rối. Hậu quả có thể không phải là một hình phạt hình sự, tuy nhiên. Bạn có thể phải đối mặt với một vụ kiện để tải xuống nội dung hoặc hành động có bản quyền theo Hệ thống cảnh báo bản quyền ở Hoa Kỳ.
Những rủi ro liên quan đến việc chạy các nút thoát Tor thực sự buộc lại vào điểm đầu tiên. Bởi vì chạy một nút thoát Tor rất rủi ro, ít người làm điều đó. Chính phủ có thể thoát khỏi việc chạy các nút thoát, tuy nhiên - có thể nhiều người đã làm.
Bài học: Không bao giờ chạy nút thoát Tor - nghiêm túc.
Dự án Tor có các đề xuất để chạy một nút thoát nếu bạn thực sự muốn. Các khuyến nghị của họ bao gồm chạy một nút thoát trên một địa chỉ IP chuyên dụng trong một cơ sở thương mại và sử dụng ISP thân thiện với Tor. Đừng thử điều này ở nhà! (Hầu hết mọi người thậm chí không nên thử điều này tại nơi làm việc.)
Tor không phải là một giải pháp kỳ diệu cho phép bạn ẩn danh. Nó đạt được sự ẩn danh bằng cách khéo léo chuyển lưu lượng được mã hóa qua mạng, nhưng lưu lượng đó phải xuất hiện ở đâu đó - đây là vấn đề đối với cả người dùng Tor và các nhà khai thác nút thoát. Ngoài ra, phần mềm chạy trên máy tính của chúng tôi không được thiết kế để ẩn địa chỉ IP của chúng tôi, điều này dẫn đến rủi ro khi làm bất cứ điều gì ngoài việc xem các trang HTML đơn giản trong trình duyệt Tor.
Tín dụng hình ảnh: Michael Whitney trên Flickr, Andy Roberts trên Flickr, The Tor Project, Inc.