Tor är en anonymiseringstjänst på Internet, som diverse personligheter slår sig för bröstet över att de minsann använder för att komma undan myndigheterna. Men 80% av finansieringen av Tor kommer från amerikanska staten, med svenska staten (känd för att via FRA vara en av NSA:s närmaste samarbetspartners) ståendes för en stor del av resten av kakan. (Wikipedia) Samtidigt finns det en lång rad svagheter i Tor (Wikipedia), som snarare är perfekt upplagt som en honungsfälla för mindre intelligenta användare, som tror att de kan dölja något.
Redan 2007 visade svensken Dan Egerstad hur han genom att driva en utgångs-nod i Tor-nätet kunde fiska fram lösenord mm, eftersom trafiken mellan utgångsnoden och anropad server är fullt läsbar för utgångsnoden. Bland annat fick han tag på lösenord till svenska ambassader mm.
Man kan rent av sätta upp ett antal Tor-noder, som i praktiken bara kopplar vidare trafik mot varandra, även om de påstår att de är kopplade till hela nätet, och på så sätt även ha IP-adressen på anroparen.
Däremot finns det inga rapporterade missbruk av Tor från övervakande NSA/FRA rapporterade, men naturligtvis håller man tyst om huruvida man driver Tor-noder eller inte. Som det konstaterats så kostar det rätt mycket pengar att driva en Tor-nod med hög trafik, och man ska fråga sig varför någon skulle lägga den mängden pengar utan en baktanke.
Oavsett kan man vara säker på att den som säger sig undvika övervakning och identifiering genom att nyttja Tor inte har en aning om vad vederbörande talar om, och helt kan avfärdas det gäller uttalanden om Internetsäkerhet och anonymitet på Internet. Å andra sidan tror väl samma personer att arbetsgivaren inte kan se vad de sysslar med på Internet under arbetstid…
Som honungsfälla är Tor iaf perfekt och övervakande myndigheter kan vara rätt säkra på att en proportionell mycket hög andel av Tor-användare faktiskt har något att dölja. Vore jag FRA/NSA, så skulle jag sätta upp ett iaf stort antal kopplade Tor-noder runt om i världen, som ger sken av att vara kopplade till hela nätverket, men i själva verket bara samordnar all trafik inbördes, komplett med loggning av IP-nr och loggning av all trafik mellan utgångsnod och anropad server. Sedan är det bara att i sedvanlig ordning förneka allt, inklusive att få Tor-projektet, som man själva finansierar, att påstå att systemets svagheter är kraftigt överdrivna …
18 kommentarer
Tor har aldrig varit rumsrent och var en rätt dålig idé från början. Har man ett skriande behov av att kommunicera anonymt skall man nog hålla sig borta från nätet helt och hållet.
"Har man ett skriande behov av att kommunicera anonymt skall man nog hålla sig borta från nätet helt och hållet." Är inte det en urbota dum kommentar? Betänk att inte alla sitter i ett radhus i förorten, självklart finns det behov av anonymitet på Internet, även för sådana som i våra ögon normalt inte anses som ljusskygga.
@Larsa
Du kan ju testa hur det går med posten ifall du inte vill avslöja vart dina brev skall någonstans. Att skicka saker till någon med mellanhänder kräver ju att man avslöjar för tredjepart var försändelsen skall någonstans. Eftersom man har dålig kontroll på vilka mellanhänderna är så skall man kanske fundera på hur säker ens anonymitet i kommunikationen är.
@Larsa
Har aldrig ifrågasatt behovet. Jag tror inte det är möjligt att vara 100% anonym på Internet.
TOR sales pitch är just att personer i förtryckta delar av världen ska kunna vara anonyma och rapportera till yttervärlden. Nu är det ju inte så av uppenbara skäl. Så det kanske är dags för open source att skaffa ett massmål som även dessa förtryckta kan ha nytta av. Det finns inget på nätet som lyckas där bara några få har nytta av det. Det måste av nödvändighet rikta sig till den stora massan.
@Jaha Dåså
Det förutsätter ju att man i förtryckta delar av världen:
1) har tillgång till internet
2) man hittar en tor-nod inom landet
3) denna tor-nod inte kontrolleras av regimen
4) regimen inte vidtar åtgärder mot den som traffikerar en tor-nod
5) att man hittar ut ur landet via tor-noder (som regimen inte kontrollerar)
man skall nog vara LITE mer försiktig med vad man säger i en totalitär diktatur än att lita på att regimen inte skall avlyssna en.
Om Tor är "skumt", finns det något annat som är bättre eller bra? Vad säger sakkunskapen?
Ett VPN du betalar för har i alla fall ett kommersiellt intresse att skydda sina kunder. Läcker det utan att dom inte gör det försvinner deras inkomstström.
@john-magic
Vitsen med TOR är väl att man inte skall avslöja var man skickar informationen. Med VPN är det väl helt "öppet" vem som kommunicerar med vem?
Du har nog rätt i det du säger Lars. Själv driftar jag en guard nod men jag har egentligen ingen kompetens att avgöra om den kompromitterar anonymiteten för TOR-användaren eller inte. Vad jag förstått är ändå TOR det bästa som erbjuds fria medborgare just nu. Men det är inte vi som är fria och obundna som kränker människors integritet och frihet på nätet. Själv hoppas jag att förbrukad effekt kanske kan skydda någon från förföljese ett år eller några månader. Men jag vet inte och kommer aldrg att få veta om det var till något gott syfte eller dåligt.
Jag skulle nog vilja påstå att det beror på vem som är din opponent, om TOR är säkert eller inte. Om du är till exempel regeringsmotståndare i Iran, så är jag helt säker på att NSA inte har några problem med det. Regeringsmotståndare i Saudi, då börjar det bli lite jobbigt. Eller om du för den delen är svensk "höger" eller "vänster"aktivist i någon form, då är det nog ingen bra idé.
Som jänkarna säger, "Your mileage may vary…."
God fortsättning.
/Statsmannen
Om regeringens säkerhetstjänst i Iran driver TOR-noder, vilket de förstås gör liksom alla säkerhetstjänster, så är den lika lite värd som alla andra TOR-noder för en regeringskritisk och västvänlig opposition. Falsk säkerhet, vilket i värsta fall leder till likvidering.
Problemet är alltså att du som TOR användare inte vet om ditt meddelande går via en korrupt nod som kan läsa allt eller en legitim nod som inte kan det. Och en helt normal säkerhetsorganisation kan förmodligen se till att routa allt primärt via sin korrumperade nod så att de kan läsa allt.
Iranska vänner kör uteslutande på VPN.
mptp, exakt. Köper du en kommersiell VPN-tjänst så vet du vem det är som lyssnar, dvs VPN-tjänsteleverantören. Använder du Tor kan utnoden mycket väl drivas av de du inte vill ska lyssna.
Att gömma sin IP-aderss är väl liksom bara starten. Insatserna har höjts numera med mer automatiserad DPI och där hjälper inte TOR något sätt alls.
eDri
Det är ju inte bara privatpersoner som har intresse av att hålla sina kontakter dolda. När EU har agerat mot USA i frågan om NSA's avlyssning är det i första hand på temat att det snedvrider konkurransen mellan företag och stör den fria marknaden. Inte för att värna medborgarnas privatliv och integritet. Men om det är någon som känner till något bättre än TOR så berätta vad det skulle vara i så fall.
Om TOR används som en honungsfälla av de som man inte vill ska ha reda på vad man kommunicera så är t.ex. vanliga e-mail utan kryptering ett bättre alternativ än TOR…