Tor (sieť)

z Wikipédie, slobodnej encyklopédie
Prejsť na: navigácia, hľadanie
Tor
Tor-logo-2011-flat.svg
Základné informácie
Vývojár The Tor Project
Posledná stabilná verzia 0.2.3.25 (3. december 2012; pred 600 dňami )
Operačný systém GNU/Linux, Mac OS, Windows
Typ softvéru Internetová sieť
Licencia BSD licencia
Ďalšie odkazy
Webová stránka torproject.org/
Commons Tor

Computer n screen.svg Pozri aj Informačný portál

Tor (skratka pre The Onion Router) je systém určený na anonymné prehliadanie webu. Klientský softvér siete Tor riadi prevádzku internetu cez množstvo náhodných serverov aby utajil používateľovu polohu alebo činnosť pred každým, kto vykonáva dohľad nad sieťou alebo analýzu prevádzky. Používanie Toru sťažuje sledovanie internetovej aktivity, vrátane návštev stránok, postov, instant messagingu a iných foriem komunikácie, späť k používateľovi a je určený na ochranu osobnej slobody používateľov, súkromia a možnosť sprostredkovania internetového obchodu a transakcií bez toho, aby bola táto činnosť monitorovaná a zaznamenávaná.

Onion Routing (vo voľnom preklade vrstvové smerovanie) poukazuje na vrstvenú povahu šifrovania: Pôvodné dáta sú šifrované a dešifrované viackrát, potom sú poslané cez po sebe idúce Tor stanice, z ktorých každá dešifruje jednu vrstvu pred odovzdaním ďalšej stanici, ktorej je packet určený. To znižuje možnosť, že dáta budú počas prenosu dešifrované treťou stranou.

Klient siete Tor je voľne dostupný softvér a prístup do siete Tor je bezplatný.

História[upraviť | upraviť zdroj]

Alfa verzia softvéru bola spustená 20. septembra 2002. Roger Dingledine, Nick Mathewson a Paul Syverson predstavili "Tor: Druhú generáciu vrstveného smerovania" na 13. USENIX Security Symposium 13. augusta 2004. Hoci Tor vznikol ako skratka projektu The Onion Routing, aktuálny projekt už nepovažuje "Tor" ako skratku a preto sa nepíše veľkými tlačenými písmenami.

Pôvodne bol projekt sponzorovaný inštitútom United States Naval Research Laboratory (Námorné Výskumné Laboratórium Spojených Štátov Amerických) (ktorý pomáhal v rannom vývoji vrstvového smerovania pod záštitou DARPA). V rokoch 2004 a 2005 bol Tor finančne podporovaný Electronic Frontier Foundation. V súčasnosti je vyvíjaný spoločnosťou Tor Project, ktorá je výskumno-vzdelávacou neziskovou organizáciou založenou v USA v decembri 2006. Má rôznorodé zloženie finančnej podpory, hlavnými sponzormi sú U.S. State Department, Broadcasting Board of Governors a National Science Foundation. V roku 2012 pochádzalo 80% rozpočtu Tor Project (2 milióny dolárov) od vlády Spojených Štátov Amerických, švédska vláda a iné organizácie dopĺňali zvyšných 20%.

V marci 2011 The Tor Project vyhral cenu Free Software Foundation's 2010 Award za projekt so sociálnym prínosom z týchto dôvodov: "Využívanie voľného softvéru, Tor umožnil takmer 36 miliónom ľuďom na svete zažiť slobodu prístupu a prejavu na internete a zároveň súkromie a anonymitu. Táto sieť tvorila kľúčovú úlohu pri komunikácii disidentských hnutí v Iráne a nedávno aj v Egypte.

Magazín Foreign Policy menoval Dingledina, Mathewsona a Syversona medzi 100 najväčších svetových mysliteľov za "vytvorenie bezpečného webu pre informátorov".

Funkcia[upraviť | upraviť zdroj]

Alicin klient vyberá náhodnú trasu cez sieť Tor do cieľového zariadenia

Tor sa snaží zakryť identitu a činnosť v sieti tým, že oddelí identifikáciu a smerovanie. Na to použije vrstvové smerovanie, ktoré zakóduje a potom postupne odrazí komunikáciu prostredníctvom siete náhodných používateľov po celom svete. Tieto vrstvové smerovania využívajú viacvrstvový spôsob šifrovania (metafora cibule(onion)) aby sa zabezpečila úplná bezpečnosť medzi stanicami, čím poskytujú používateľom anonymitu v sieti. Táto anonymita sa vzťahuje aj na necenzurovaný obsah na skrytých službách siete Tor (servery .onion). Vďaka tomu, že je vedenie niektorých staníc tajné, môžu sa užívatelia vyhnúť cenzúre internetu, ktorá je založená na blokovaní verejných staníc siete Tor poskytovateľmi internetového pripojenia.

Keďže IP adresy oboch členov komunikácie nie sú v pakete uložené ako text, nedajú sa nikdy identifikovať obe strany komunikácie naraz. Okrem toho sa príjemcovi zdá, že posledný uzol (výstupný uzol) siete je pôvodca, odosielateľ paketu.

Priebeh spojenia[upraviť | upraviť zdroj]

Používatelia siete Tor majú na svojich počítačoch nastavené vrstvové proxy. Softvér siete pravidelne pretvára virtuálny okruh cez sieť Tor, aby zaistil čo najvyššiu bezpečnosť. Zároveň softvér vytvára rozhranie protokolu SOCKS klientom. Aplikácie s rozhraním SOCKS môžu byť smerované na Tor, ktorý potom za pomoci multiplexingu prenáša dáta cez okruh siete Tor. Polipo proxy server môže komunikovať s protokolmi SOCKS 4 a SOCKS 5 a preto je výhodné ho používať spolu s anonymizačnou sieťou Tor. Polipo je webové proxy ktoré využíva HTTP 1.1 čo ale môže spomaliť tok dát.

Po pripojení na sieť Tor je komunikácia posielaná medzi smerovačmi, pokiaľ sa nedostane až k výstupnému bodu kde je paket už vo formáte čistého textu doručený prijímateľovi. Prijímateľovi sa potom zdá, že packet pochádza od zariadenia, ktoré je výstupným bodom zo siete v aktuálnej komunikácii.

Nezávislosť siete Tor ju odlišuje od iných anonymných sietí: pracuje na úrovni TCP - Transmission Control Protocol. Medzi služby, pre ktoré je často Tor využívaný patrí Internet Relay Chat (IRC), instant messaging a prehliadanie WWW stránok. Počas prehliadania webu je Tor často spojený s Polipo alebo Privoxy proxy servermi. Privoxy je filtračný proxy server, ktorý má za úlohu chrániť dáta na aplikačnej vrstve. Polipo môže komunikovať s protokolom SOCKS a využíva HTTP 1.1 na zvýšenie latencie, preto sa odporúča používať ho s Tor sieťou.

U starších verzií Toru (vyriešené v júli 2010), rovnako ako u mnohých anonymných systémov na surfovanie po internete, boli Domain Name System (DNS) žiadosti vytvárané priamo, bez využívania Tor proxy. Toto umožňovalo každému, kto monitoroval spojenie, určiť napríklad ktoré stránky používateľ navštívil, ale nemohol vidieť zobrazený obsah. Použitie Privoxy alebo príkazu "torify" s distribúciou softvéru bolo možným riešením tohto problému. Navyše aplikácie používajúce protokol SOCKS5, ktoré podporujú proxy žiadosti založené na názvoch môžu viesť DNS žiadosti cez sieť Tor, čo vytvorí ilúziu, že žiadosť bola odoslaná z výstupného uzla, čím sa zabezpečí rovnaká anonymita ako pri ostatných činnostiach v sieti Tor.

Od verzie Tor 0.2.0.1-alpha má Tor vlastný DNS systém, ktorý rieši žiadosti cez náhodnú sieť. To by malo znemožniť únik informácií cez systém DNS a umožňuje vytvoriť spojenie so skrytými službami (.onion) aj pre aplikácie, ktoré nepoužívajú protokol SOCKS.

Skryté služby[upraviť | upraviť zdroj]

Tor tiež môže poskytovať anonymitu serverom tak, že ich poloha nie je známa. Sú to klienti alebo stanice siete Tor so špeciálne nakonfigurovaným serverovým softvérom. Namiesto odhalenia IP adresy servera v sieti (a tým aj jeho polohy),majú skryté služby špeciálnu doménu najvyššej úrovne - .onion tvoriacu skrytú sieť zvanú Darknet. Sieť Tor rozumie tejto doméne a smeruje dáta anonymne z aj do skrytého serveru. Vzhľadom na nedostatok verejných IP adries, skryté služby môžu byť spustené za firewallom alebo prekladačom sieťových adries (NAT). Na prístup k skrytým službám je nutné mať Tor klient.

Skryté služby boli vytvorené v sieti Tor začiatkom roku 2004. Narozdiel od databázy, ktorá obsahuje kľúčové slová skrytej služby, Tor je decentralizovaný, neexistuje žiadny priamy zoznam skrytých služieb. Existuje množstvo nezávislých skrytých služieb, ktoré slúžia na tento účel.

Keďže skryté služby nevyužívajú výstupné uzly nie sú ohrozené odposluchom výstupných uzlov. Existuje však množstvo otázok týkajúcich sa bezpečnosti skrytých služieb. Napríklad služby ktoré sa dajú zobraziť cez Tor aj cez klasický internet sú náchylné na korelačný útok (prelomenie šifrovania) a preto nie sú celkom skryté. ďalšie problémy môžu spôsobiť zle nastavené služby ako napríklad identifikačné údaje, chyby servera, používateľské chyby a podobne.

Slabiny[upraviť | upraviť zdroj]

Ako všetky anonymné siete ani Tor nemôže a ani si nekladie za cieľ ochranu proti sledovaniu prevádzky na krajných bodoch siete - dáta vstupujúce a vystupujúce zo siete. Tor má za úlohu zabrániť sledovaniu prevádzky v sieti, ale nemôže zabrániť potvrdzovaniu prevádzky.

Steven J. Murdoch a George Danezis z University of Cambridge prezentovali článok na sympóziu IEEE v roku 2005 o bezpečnosti a súkromí pri metódach analýzy siete, ktoré umožňujú útočníkovi iba s čiastočným prístupom do siete odvodiť, ktoré uzly sú využité na tok anonymných dát. Tieto techniky výrazne znížili anonymitu poskytovanú sieťou Tor. Murdoch a Danezis tiež ukázali, že inak nesúvisiace prúdy sa dajú vystopovať späť jednému pôvodcovi. Avšak tento útok nedokáže odhaliť totožnosť pôvodného používateľa. Murdoch pracuje pre Tor od roku 2006.

V marci 2011, výskumníci Rocquencourtu, francúzskeho národného inštitútu pre výskum v oblasti počítačovej vedy a kontroly (Institut national de recherche en informatique et en automatique, INRIA) zdokumentovali útok, ktorý je schopný odhaliť IP adresy používateľov používajúcich BitTorrent protokol v sieti Tor. "Útok zlého jablka" skúma dizajn Tor siete a využíva nezabezpečené pakety BitTorentu ktoré nesú IP adresu používateľa. Jeden spôsob útoku je založený na kontrole výstupného uzla alebo odchyte odpovedí trackeru, zatiaľ čo sekundárna metóda je založená na štatistickom využití sledovania distribuovaných hash tabuliek. Podľa štúdie:

Tento útok proti Toru pozostáva z dvoch častí: (a) využívanie nezabezpečenej aplikácie na zistenie používateľovej IP adresy, alebo trasovanie používateľa a (b) využitie Toru na odhalenie zabezpečených služieb za pomoci používateľovej adresy (odhalenej pomocou nezabezpečenej služby). Keďže úlohou Toru nieje ochraňovať proti aplikačným útokom, Tor nemôže byť zodpovedný za prvú časť útoku. Avšak, keďže Tor umožňuje pridružovať prúdy zabezpečených služieb s používateľom, druhá časť tohto útoku je naozaj útok proti Toru. Druhú časť útoku sme nazvali útok zlého jablka. (Názov tohto útoku je myslený ako 'jedno zlé jablko nakazí ostatné.' Tento názov používame aby sme ukázali, že jedna nezabezpečená služba v sieti môže umožniť odhalenie ostatných.)

Výsledky prezentované v štúdii sú založené na skutočnom útoku na sieť Tor autormi. Útok bol cielený na 6 výstupných uzlov, trval 23 dní a odhalil celkom 10000 IP adries aktívnych používateľov. Táto štúdia je zvlášť významná, pretože to je prvý písomne ​​doložený útok navrhnutý tak, aby bol cielený na P2P aplikácie pre zdieľanie súborov v sieti Tor. BitTorrent vytvára takmer 40% komunikácie siete Tor, čo znamená že veľké množstvo používateľov môže byť v potencionálnom nebezpečenstve. Navyše útok zlého jablka je účinný proti každej nezabezpečenej aplikácii v sieti Tor, nie iba BitTorrentu.

Výskum z INRIA dokázal, že bezpečnostné diery BitTorrentu sa dajú odstrániť.

V septembri 2007 Dan Egerstad, švédsky bezpečnostný konzultant, zverejnil, že odchytil veľké množstvo e-mailových účtov prevádzkovaním a monitorovaním výstupného uzlu. Keďže Tor nemôže šifrovať dáta medzi výstupným uzlom a serverom, každý výstupný uzol môže odchytávať komunikáciu, ktorá nepoužíva end-to-end šifrovanie ako TLS. Keďže to môže ale aj nemusí porušiť anonymitu zdroja, ak si užívatelia zmýlia Tor s end-to-end šifrovaním môžu byť ohrozené ich dáta. (Prevádzkovateľ akejkoľvek siete nesúcej nešifrované dáta, akými sú napr. WiFi alebo podnikovej siete má rovnakú možnosť zachytiť komunikáciu ako prevádzkovateľ výstupného uzla Tor siete. Ak to predstavuje problém, malo by byť použité end-to-end šifrovanie.) Aj bez end-to end šifrovania poskytuje Tor ochranu proti týmto prevádzkovateľom výstupných staníc, ktorý by mohli mať väčší záujem na odchytávaní komunikácie ako na prevádzkovaní výstupnej stanice.

Avšak Tor a alternatívny sieťový systém JonDonym (Java Anon Proxy, JAP) sú považované za bezpečnejšie než alternatívy ako VPN. Ak sa lokálny útočník snaží cez WLAN alebo pomocou ISP zistiť veľkosť a časovanie toku dát VPN, Toru a JonDo, podľa štúdie z roku 2009 najjednoduchšie zistí informácie posielané cez VPN.

V októbri 2011 výskum ESIEA (francúzska inžinierska škola) oznámil, že našiel spôsob ako dešifrovať dáta v sieti Tor. Technika, ktorú popisujú vyžaduje vytvorenie mapy uzlov siete, ovládanie aspoň jednej tretiny z nich a následné získanie ich šifrovacích kľúčov a algoritmov. Následne môžu dešifrovať dve z troch vrstiev packetu. Tretí kľúč je nutné prelomiť pomocou štatisticky založeného útoku. Aby bolo možné presmerovanie prevádzky na kontrolované uzly, použili DDOS útok. Odpoveď na tento výskum bola zverejnená na Tor blogu a obsahovala prehlásenie, že tento výskum je značne prehnaný.

Právne aspekty[upraviť | upraviť zdroj]

Podľa CNet je anonymná funkcia Toru „schválená Electronic Frontier Foundation a inými skupinami pre ľudské práva ako spôsob pre informátorov a pracovníkov v oblasti ľudských práv na komunikáciu s médiami“. Sieť bola spomínaná aj v magazíne The Economist vo vzťahu k Bitcoinu a Silk Road (obchod siete Tor), ako "temný kút internetu." Anonymné systémy ako Tor môžu byť využité na záležitosti, ktoré sú alebo môžu byť nezákonné v niektorých krajinách, napr. Tor môže byť využitý na získanie prístupu k cenzurovaným informáciám, na organizovanie politických aktivít, alebo na obchádzanie zákonov proti kritike predstaviteľov štátov. Tor môže byť tiež použitý na anonymné hanobenie, neoprávnené šírenie citlivých informácií, porušovanie autorských práv, šírenie nezákonného sexuálneho obsahu, predaj omamných látok, pranie špinavých peňazí, podvody s kreditnými kartami a krádeže identity. Čierny trh, ktorý využíva sieť Tor je aspoň čiastočne v spojení s Bitcoinom. Tor býva tiež využívaný na kriminálne podniky a hackerskými skupinami (napr. Anonymous).

Realizácia[upraviť | upraviť zdroj]

  • Hlavá časť Toru je napísaná v programovacom jazyku C a skladá sa z približne 146,000 riadkov zdrojového kódu.
  • Vuze (predtým Azureus), BitTorrent klient napísaný v jazyku Java, má vstavanú podporu pre Tor.
  • Smerovače s vstavanou podporou pre Tor sú momentálne vo vývoji vrámci projektu Torrouter. Kód je v súčasnosti v alfa verzii a je písaný na platforme OpenWrt.
  • The Guardian Project aktívne vyvíja voľnú open-source sadu aplikácií a firmwaru pre platformu Android aby sa zvýšila bezpečnosť surfovania na mobilných telefónoch. Aplikácia obsahuje: Gibberbot — bezpečný, históriu neukladajúci instant messaging klient ktorý využíva OTR šifrovanie; Orbot — implementácia Toru pre Android; Orweb — bezpečný webový prehliadač; ProxyMob — Firefox add-on ktorý pomáha spravovať HTTP, SOCKS, a SSL proxy nastavenia na integráciu s Orbotom; a Secure Smart Cam — sada nástrojov pre lepšiu ochranu súkromia, ktorá ponúka šifrovanie uložených snímok, detekciu tváre a rozmazania, a bezpečnú vzdialenú synchronizáciu médií v pomalých sieťach.
  • TAILS Linuxová distribúcia zahŕňa Tor ako súčasť svojho webového prehliadača.

Zdroj[upraviť | upraviť zdroj]

Tento článok je čiastočný alebo úplný preklad článku Tor (anonymity network) na anglickej Wikipédii.