A TOR hálózat nem garantálja az átküldött adatok bizalmasságát vagy valódiságát, hiszen az exit node-k (kilépő csomópontok) akár közbeékelődéses (man in the middle) támadással eltéríthetik a rajtuk keresztül folyó forgalmat, az F-secure 2007-es vizsgálata azt mutatta, hogy volt aki élt is ezzel a lehetőséggel (a cikk magyar nyelvű összefoglalója).
2013-ban a hírek szerint az FBI a Firefox böngésző hibáját kihasználva, a TOR rendszerét megkerülve azonosított egy pedofil tartalmak terjesztésével vádolt személyt.
A fentiek alapján a TOR nem biztonságos?
A kérdés az, hogyan értelmezzük a biztonságot, illetve mit teszünk érte.
A TOR nem véd semmilyen rosszindulatú támadás ellen, mint ahogy az „egyszerű internet” sem. Annyit vállal csupán, hogy elrejt a kíváncsi szemek elöl.
Mit kell tennem, hogy valóban elrejtsen?
Használd ki az operációs rendszered adta lehetőségeket:
- Automatikus frissítés*
- A nem használt szolgáltatások kikapcsolása*
- Külön (virtuális) gép használata a rejtett böngészéshez
- Működő vírusirtó*
Használd ki a böngésződ lehetőségeit:
- Privát böngészés bekapcsolása
- Scriptek tiltása
- A felesleges pluginek kikapcsolása/eltávolítása*
- Használj HTTPS protokollt (ha lehet)*
Gondolkozz logikusan:
- Ne használj olyan szolgáltatást, amely azonosíthat (facebook, webmail hasonlók)
- Ha e-mailre van szükséged használd a tormailt (a tormail megszűnt)
- Ne vedd készpénznek, amit látsz (lehet, hogy megtévesztenek)*
- Rendszeresen kérj új identitást
- A TOR eszköztáradat is folyamatosan frissítsd
Így végigolvasva, az intézkedések egy része (*-al jelöltem) a mindennapi használathoz is szükséges, a másik része – különösen a scriptek kikapcsolása – komoly korlátozást jelent, cserébe többé-kevésbé biztosak lehetünk benne, hogy nem derül ki, hogy mit néztünk az interneten.
Természetesen programhibák voltak, vannak és lesznek. Ezeket a bűnözők és a hatóságok ki fogják használni, azonban ezek a kompromisszumok jelentős névtelenséget biztosítanak.
Eretnek gondolatok és a tanulság
A titkosszolgálatok nem mindig mondják meg az információik valós forrását. Elképzelhető, hogy ebben az esetben is a valós nyomozási események (és besúgók) fedezése a cél. A tanulságok levonására azonban alkalmas:
- Az egyszerű internethasználatnál a TOR még mindig összehasonlíthatatlanul diszkrétebb böngészést tesz lehetővé.
- A rendszert az Egyesült Államok Tengerészgyalogsága dolgozta ki, és tette nyilvánosan elérhetővé. Elképzelhető, hogy a rendszer megvalósításában van néhány olyan „hiba” amelynek a segítségével hozzájuthatnak az őket érdeklő információkhoz.
- Az eset az ENIGMA történetéhez hasonlóan megmutatta, hogy egy biztonsági módszer sem csodaszer önmagában. A biztonság mindig módszerek, technikák, eljárások összességeként értelmezhető.
- A felsorolt biztonsági intézkedésekkel a rendszer használata biztonságosnak tekinthető.