Tor и его проблемы (the grugq)

Проблемы использования Tor как панацеи для анонимности.

Этот пост посвящен проблемам не технического характера, связанным с использованием Tor. Я стараюсь смотреть на человеческую сторону вещей, и весьма обеспокоен мнением что Tor «решение всех проблем безопасности». Я не хочу бороться с культом частной жизни, который возник вокруг Tor, но я вынужден изложить свои мысли по этому поводу.
Контрразведки и специалисты по безопасности расскажут вам, что вы должны придерживаться определенных правил для поддержания должного уровня безопасности. Что вам нужно разработать модель угроз, выяснить, что вы пытаетесь защитить, а затем разработать и осуществить план, который обеспечит эту защиту. Эта последовательность даже кодифицирована в процессе OPSEC (Концепция операционной безопасности). Само собой разумеется, если вы думаете о безопасности (и/или неприкосновенности частной жизни), вы должны следовать этой последовательности.

Заблуждение: Tor защищает людей в странах с диктаторским режимом

Это не очень хорошо работает. Почти во всех случаях хороший VPN будет более безопасным (т. е. не будет сотрудничать с судебными органами) и обеспечит такую же защиту:

  • изменение географической локации;
  • маскировка IP;
  • шифрование данных.

Кроме того, большинство действительно репрессивных режимов следят за пользователями Tor. Сети VPN используются, чтобы смотреть Netflix и Hulu, но Tor используют только для одного — скрыться от властей.
Во многих отношениях Tor может быть более рискованным, чем VPN:
1. VPN, как правило, не используют для чего-то противозаконного;
2. VPN обеспечивает прикрытие при его использовании, чего не может Tor: «Я использовал его чтобы смотреть Hulu», лучше, чем «Я просто пытался купить наркотики».

Я работаю с людьми, которые проводят журналистские расследования (среди прочего), и им нужно защитить себя. Это в основном единственное оправдание, чтобы использовать Tor, так как он бесплатен и прост в настройки и использовании. Эти люди, как правило не обладают глубокими техническими познаниями и для них «скачать и запустить бесплатный инструмент и ты в безопасности» лучшее решение.
Tor не является проблемой для государств, они работают над ним в течение многих лет, включая вредоносные узлы. Мы видели это много раз. Разумно предположить, что значительная часть узлов управляется злоумышленниками.

Tor Browser Bundle — это высокий риск

«ТВВ возможно является наиболее уязвимым браузером, который вы можете запустить»

Томас Пташек

Tor Browser Bundle возможно худший браузер. Это правда. Для того, чтобы это понять есть несколько ключевых моментов:

  • монокультура
  • Firefox не хватает критических функций безопасности
  • график выхода новых релизов

 

Анонимность нуждается в гомогенности, но безопасно ли это

Анонимность, это свойство системы, в которой любой пользователь с равной вероятностью может быть источником события (связь, сделки, …). Это одна из причин того, что Tor Browser Bundle так популярен — он создает большой объем однородных пользователей. Это хорошо для анонимности.

Однородные пользователи, это плохо для безопасности, поскольку создается монокультура, а значит одни и те же ошибки присутствуют во всей группе.
Безопасность в разнородности. Это обеспечивает естественную сегментацию — небольшие скопления пользователей имеют уязвимые черты , которые не распространяются на всю инфраструктуру. Разнородность, таким образом, желательное состояние для безопасности (иногда.) Разнообразие, очевидно, менее полезно для анонимности, так как чем больше пул однородных пользователей, тем в большей безопасности находится каждый из них (риск распределяется по всей группе и становится диффузным.) Чем больше потенциальных людей, которые могут быть подозреваемыми, тем труднее выяснить, кто на самом деле несет ответственность. Это теория так или иначе…

Tor Browser Bundle достигает однородности, используя модифицированную версию браузера Firefox. Теперь, почему это не правильно.

Сделан как колбаса

Mozilla, компания, которая делает Firefox, оформила график выпуска новых версий. Он основан на фиксированных окнах (6 недель), где каскадом вниз идут различные каналы (Nightly, Aurora и т.д.), каждый раз с большим количеством исправленных ошибок. Это прозрачная и вполне приемлемая схема для управления проектом программного обеспечения (Chrome имеет аналогичную серию каналов, хотя они движутся гораздо быстрее и не по установленному графику.)

1. Mozilla выпускает Nightly каждый день ( в основном)
2. Aurora выпускается каждые 6 недель
3. Beta релизы исправляют ошибки Aurora , каждые 6 недель
4. Релиз сборки (финальные релизы) исправляют ошибки Beta, каждые 6 недель
5. Extended Support Release являются релизами со всеми исправленными критическими ошибками безопасности, примерно каждые 6 недель.

ТВВ является модификацией браузера Firefox Extended Support Release (ESR).

Некоторые говорят, окно уязвимостей, некоторые говорят, окно возможностей

Вывод очевиден — Tor Browser Bundle основан на кодовой базе, критические ошибки в которой могут исправляться несколько месяцев. А не критические могут быть не исправлены никогда.

Противник может сделать следующие вещи, чтобы атаковать TBB, например:

1. Мониторить исправленные критические уязвимости в версиях Nightly, Aurora, Beta, и затем проверить есть ли эти уязвимости в TBB.
2. Мониторить некритические уязвимости.
3. Искать неизвестные уязвимости в Firefox, чтобы проэксплуатировать их в TBB.

Получается что единственное что стоит между вами и вашей безопасностью, это ошибки в TBB.

Заключение

Firefox является одним из самых слабых браузеров с точки зрения исправления уязвимостей.