一些要点:
基本上,Tor是安全的
...但是,在某些情况下可以取消匿名
“愚蠢的用户”将始终处于脆弱状态(内部称为“ EPICFAIL”)
NSA / GCHQ操作Tor节点
以各种形式进行流量分析似乎是首选工具
查阅文献后,Tor用户应进行哪些更改以确保(在技术上最大程度上)其持续安全性?
#1 楼
作为Tor的长期用户,对我来说,NSA文件中最令人惊讶的部分是,他们在对抗Tor方面所取得的进展很小。尽管存在已知的弱点,但它仍然是我们所拥有的最好的东西,只要正确使用它并且您不会犯任何错误即可。您的威胁是一个资金充裕的政府,对于许多Tor用户来说,这是一个拥有大量可见性或对Internet拥有控制力的政府(尽管警告说仅Tor并不足以保护您免受此类行为者的侵害)。 />请考虑您是否真的需要此级别的保护。如果发现自己的活动不会给您的生命或自由带来危险,那么您可能就不必费尽心思。但是,如果这样做,那么您想要保持生存和自由就必须绝对保持警惕。并且不足以保护您免受此类威胁。当涉及到诸如国家行为者之类的持续不断的威胁时,几乎可以肯定您还没有足够的偏执。 Tor受到MITM攻击(NSA)和隐藏服务Web服务器危害以及恶意软件传递(FBI)的攻击,这些恶意软件要么从Tor用户的计算机发送跟踪数据,要么受到威胁,或者两者兼而有之。因此,您需要一个可以使用Tor的合理安全的系统,并降低被跟踪或破坏的风险。不要使用Windows。只是不要。这也意味着不要在Windows上使用Tor浏览器捆绑包。在NSA幻灯片和FBI最近对Freedom Hosting的删除中,TBB中该软件的漏洞都很突出。还显示出恶意的Tor出口节点正在对未签名的Windows软件包进行二进制修补,以分发恶意软件。无论使用哪种操作系统,都只安装通过安全连接获得的已签名软件包。 ,并且Tor浏览器(所有传出的clearnet访问都已防火墙)都考虑使用Tails或Whonix代替,其中大部分工作已为您完成。防火墙必须对传出的访问进行防火墙保护,以确保第三方应用程序或恶意软件不会意外或有意泄漏有关您的位置的数据,这一点至关重要。如果您必须使用Tails或Whonix以外的其他软件,则只能使用Tor浏览器(并且仅在下载上述软件之一的时间内使用)。即使使用Tor,其他浏览器也会通过Tor浏览器禁用的各种方法泄漏您的实际IP地址。
如果您使用任何种类的持久性存储,请确保已对其进行加密。当前版本的LUKS是相当安全的,主要的Linux发行版将在安装过程中为您设置它。目前尚不知道TrueCrypt是安全的。尽管您仍然不应该运行Windows,但BitLocker可能是安全的。即使您在橡胶保护合法的国家(例如英国),对数据进行加密也可以保护您免受各种其他威胁的影响。
请记住,您的计算机必须保持最新。无论您是使用Tails还是从头开始或使用Whonix来构建自己的工作站,请经常进行更新以确保免受最新安全漏洞的影响。理想情况下,您应该在每次会话开始时或至少每天更新一次。如果有可用的更新,Tails会在启动时通知您。
非常不愿意在JavaScript,Flash和Java上妥协。默认情况下将其全部禁用。 FBI使用了利用这三个工具的工具,以识别Tor用户。如果站点需要这些,请访问其他地方。仅在万不得已时才启用脚本,只能暂时启用脚本,并且仅在最小的程度上启用脚本,以获得无法替代的网站功能。
恶意丢弃网站发送给您的cookie和本地数据。 TBB和Tails都不足以满足我的口味。考虑使用诸如自毁Cookie之类的插件将Cookie保持在最低水平。为零。
您的工作站必须是笔记本电脑;它必须具有足够的便携性,可以随身携带并迅速丢弃或销毁。
请勿使用Google搜索互联网。 Startpage是一个很好的选择。这是TBB,Tails和Whonix的默认搜索引擎。另一个不错的选择是DuckDuckGo。
您的环境
Tor包含一些弱点,这些弱点只能通过物理世界中的行动来缓解。既可以查看您本地的Internet连接,也可以访问您正在访问的网站的连接的攻击者,可以使用统计分析将它们关联起来。 。即使您保持离线状态,也切勿从事任何敏感的工作以要求在家中使用Tor。电脑有一种喜欢连接的有趣习惯……这也适用于您暂时停留的任何地方,例如旅馆。永远不要在家中进行这些活动
帮助确保它们不会与这些位置相关联。 (请注意,这适用于面临高级持续威胁的人们。在家中运行Tor对其他人而言是合理且有用的,尤其是那些自己什么也没做但希望通过运行出口节点,中继或网桥来提供帮助的人。)
限制您在任何单个位置使用Tor所花费的时间。尽管这些关联攻击确实需要一些时间,但理论上它们可以在短短一天之内完成。 (而且,如果您已经受到监视,则可以立即完成;这样做是为了确认或驳斥一个被怀疑的人是合适的人。)虽然极高的靴子不太可能在您向Tor开枪的同一天出现星巴克,第二天可能会出现。我建议真正关心的人在任何物理位置上都不要使用Tor超过24小时;之后,请考虑将其烧毁并移至其他地方。即使长靴在六个月后出现,这也将为您提供帮助。记住一位老顾客要比一天前出现但从未回来的人容易得多。这确实意味着您将必须走得更远,特别是如果您不住在大城市里,但这将有助于保持自由旅行的能力。
避免被电子跟踪。为您的汽车或公共交通支付现金。例如,在伦敦地铁上,使用现金购买的单独旅行卡,而不是常规的牡蛎卡或非接触式付款。还要为其他所有东西支付现金;避免在ATM上使用普通的信用卡和借记卡。如果您外出时需要现金,请在您家附近经常使用的ATM机上使用。如果您开车,请尽量避开主要的桥梁,隧道,高速公路,收费公路和主干道以及在次要道路上行驶,以免车牌读取器。如果该信息可公开获得,请了解这些阅读器在您所在地区的安装位置。
当您外出进行这些活动时,请保持手机开机并在家中。如果您需要拨打和接听电话,请为此购买一部匿名的预付费电话。在某些国家/地区很难做到这一点,但是只要您有足够的创造力就可以做到。付现金;切勿使用借记卡或信用卡购买电话或充值。如果您离家10英里(16公里)以内,请勿插入电池或打开电池,也不要使用无法取出电池的手机。切勿将先前在一部手机中使用过的SIM卡放到另一部手机中,因为这将不可撤销地链接这些手机。切勿将其编号提供给甚至通过您的真实身份认识您的人,甚至不承认其存在。这可能需要包括您的家人。与他们的活动相关联,或让敌对的对手获得高度信任。您必须尽可能避免这种情况,唯一的方法就是要有认真的心理纪律。与活动相对应。这个虚拟的人不认识你,永远也不会遇见你,如果他认识你,甚至不会喜欢你。他必须在精神上严格分开。考虑使用多个假名,但如果这样做,则必须格外警惕,以确保不泄露可能与它们相关的详细信息。
如果必须使用公共Internet服务,请为此假名创建全新的帐户。切勿混合使用;例如,在同一台计算机上将Twitter和您的笔名电子邮件一起使用后,请勿使用您的真实电子邮件地址浏览Facebook。等到你回家。
同样,除非没有其他选择,否则不要在不使用Tor的情况下执行与您的笔名活动相关的操作(例如,选择注册阻止Tor的服务)。如果必须这样做,请格外注意自己的身份和位置。
隐藏的服务
这些已成为新闻头号,对隐藏的服务进行了介绍,例如2013年的Silk Road和Freedom Hosting,2014年的Silk Road 2.0和其他数十种服务。由于缺乏资金和开发人员的兴趣,Tor项目无法为隐藏的服务投入太多的开发(如果您能够这样做,请考虑以以下方式之一进行贡献)。此外,怀疑FBI正在使用流量确认攻击来大规模定位隐藏服务,而2014年初对Tor网络的攻击实际上是FBI的一项行动。似乎并没有对它们做太多的事情(尽管NSA幻灯片提到了一个名为ONIONBREATH的GCHQ程序,该程序专注于隐藏服务,对此一无所知)。在别人的身体控制下,他们很容易受到对方的损害。因此,保护服务的匿名性就显得尤为重要,因为一旦以这种方式被破坏,服务就结束了。如果您只是访问隐藏的服务,则上面给出的建议就足够了。如果您需要运行隐藏服务,请执行上述所有操作,此外,还请执行以下操作。请注意,这些任务需要经验丰富的系统管理员,他们也具有Tor的经验。在没有相关经验的情况下进行表演将很困难或不可能,或者可能会导致您被捕。最初的Silk Road和Silk Road 2.0的操作员都是开发人员,他们像大多数开发人员一样,都缺乏IT运营经验。还可以控制物理主机。设计Tor和服务在防火墙物理主机上的防火墙虚拟机中运行的设计是可以的,只要它是您控制的物理主机,而不仅仅是租赁云空间。对于云提供商而言,获取虚拟机RAM的映像非常简单,其中包含您所有的加密密钥和许多其他机密。在物理机上进行这种攻击要困难得多。在第一个物理主机上,单个虚拟机与Tor一起运行。主机和VM都经过防火墙保护,以防止除Tor流量和到第二台物理主机的流量以外的传出流量。然后,第二台物理主机将包含具有实际隐藏服务的VM。同样,它们将在两个方向上进行防火墙保护。它们之间的连接应使用不安全的VPN(例如OpenVPN)进行保护。如果怀疑两个主机中的任何一个可能受到威胁,则可以立即移动该服务(通过复制虚拟机映像)并使两个服务器都停止使用。与Whonix。
从第三方租用的主机很方便,但特别容易受到服务提供商复制硬盘驱动器的攻击。如果服务器是虚拟服务器,或者是物理服务器但使用RAID存储,则可以在不使服务器脱机的情况下完成此操作。同样,请勿租用云空间,并仔细监视物理主机的硬件。如果RAID阵列显示为降级,或者服务器莫名其妙地停机了几分钟,则应将服务器视为已损坏,因为无法区分简单的硬件故障和这种性质的损坏。 />
确保您的托管服务提供商提供24x7全天候访问远程控制台的权限(在托管行业中通常称为KVM,尽管它通常是通过IPMI实现的)也可以安装操作系统。在安装过程中使用临时密码/口令,并在Tor启动并运行后全部更改(请参阅下文)。仅使用可通过安全(https)连接访问的此类工具,例如Dell iDRAC或HP iLO。如果可能的话,将iDRAC / iLO上的SSL证书更改为您自己生成的SSL证书,因为众所周知默认证书和私钥。
远程控制台还允许您运行完全加密的物理主机。 ,通过物理折衷降低数据丢失的风险;但是,在这种情况下,每次重新引导系统时都必须更改密码(即使这样并不能减轻所有可能的攻击,但是确实可以节省您的时间)。
如果在您不知情的情况下重新引导了系统或明确意图,请认为它已被破坏,请勿尝试以此方式对其进行解密。丝绸之路2.0显然未能加密其硬盘驱动器,并且在2014年5月停机时也未能移动服务,当时执法部门将其脱机以进行复制。您将要运行该服务的主机的初始设置必须部分通过clearnet(通过Tor出口节点),尽管通过ssh和https进行;但是,重申一下,这些操作绝不能在家中或您以前访问过的位置进行。如我们所见,仅使用VPN是不够的。由于此类提供商可能使用的欺诈保护,这可能导致您在实际注册服务方面遇到问题。但是,如何处理此问题不在此答案的范围之内。
一旦您启动并运行Tor,就再也不会通过clearnet连接到任何服务器或虚拟机。配置隐藏服务,这些服务通过ssh连接到每个主机和每个虚拟机,并始终使用它们。如果您运行多个服务器,则不允许它们通过clearnet相互通信;让他们通过独特的Tor隐藏服务相互访问。如果必须通过clearnet连接才能解决问题,请再次从永远不会访问的位置进行连接。几乎所有需要您通过clearnet进行连接的情况都表明可能存在妥协。考虑放弃它,而是转移服务。
即使怀疑没有妥协,也必须偶尔移动隐藏的服务。 2013年的一篇论文描述了一种攻击,该攻击可以在短短几个月内找到隐藏服务,而云计算费用约为10,000美元,这甚至在某些人的预算之内。如前所述,类似的攻击发生在2014年初,可能涉及2014年11月对数十个隐藏服务的危害。最好多少次物理地移动隐藏的服务是一个悬而未决的问题;可能需要几天到几周的时间。我现在最好的猜测是,最佳点将在30到60天之间。尽管这是一个极为不便的时间表,但与监狱牢房相比,麻烦程度要小得多。请注意,Tor网络大约需要一个小时才能识别出已移动的隐藏服务的新位置。
结论
匿名性很难。光靠技术,无论技术多么出色,都永远不够。它需要清晰的头脑和对细节的仔细关注,以及减轻不仅仅通过技术无法解决的弱点的实际行动。正如经常提到的那样,攻击者可能是笨拙的傻瓜,他们只有运气可以依靠,但您只需要犯一个错误就可以毁了。从而使攻击者更难,更耗时且更昂贵地找到您或您的服务,并在可能时向您发出警告,告知您或您的服务可能受到攻击。
我们称它们为“高级持续威胁”,因为在某种程度上,它们是持续存在的。正如美国律师普雷特·巴拉拉(Preet Bharara)在宣布“丝绸之路2.0”突袭行动时所说的那样,“我们不会感到疲倦。”他们不会放弃,你也不能放弃。被监视
与爱德华·斯诺登(Edward Snowden)交流的一位记者大多提供了很好的建议。我真正不同意的唯一部分是可以使用您现有的操作系统或智能手机进行通信。正如我们已经看到的那样,这不能安全地完成,您必须准备一台装有Whonix或Tails之类的计算机。已经在这里介绍了。仔细研究一下,了解剩下的匿名身份到底有多困难。
评论
这里要摘录的关键是,如果您要隐藏某些东西,则不必隐藏IP地址。这是将您的“主要”身份与正在执行您要隐藏的身份的身份完全隔离的问题。为此,TOR只是一个(有效的)工具,必须与其他几个工具结合使用。对于解决方案而言,它一如既往地保持有效:使得在任何给定时间很难找到您的位置。
–猎鹰Momot
13年10月8日,下午3:56
绝对一流的答案。匿名不仅困难重重-理论上安全的(1 / N)匿名在带宽上也非常昂贵;因此,迈克尔已经描述了权衡和警告。
–LateralFractal
13-10-16在6:40
我目前能想到的唯一没有被覆盖的是国营摄像机。有些地区(例如:英国)绝对覆盖了它们。如果他们可以识别出一些具有视频覆盖范围的位置,并且可以访问已知帐户,则他们可以将那里的人员聚集在一起。除此之外,它很好地介绍了一个人需要变得多大的偏执才能尝试匿名。
–NotMe
2014年5月29日,0:42
@ChrisLively如何应对无处不在的视频监控本身将是一个完整的问题和答案。而且这个空间用完了...
–迈克尔·汉普顿
2014年5月29日在1:31
我不知道@MichaelHampton是否是真实身份:)
– Umair A.
2014年8月6日14:24
#2 楼
我认为在此重要的是不要过分夸大各个三字母代理机构在确定Tor用户方面的能力。第一张幻灯片指出,他们“ ...将永远无法使所有Tor用户匿名。”这意味着Tor的基本原理是正确的。快速查看一下“洗衣清单”,因为这并不意味着有什么新意。协议中没有漏洞,没有针对TLS的攻击。提到的所有攻击都是众所周知的。我认为这些是主要问题:
1)EPICFAIL(又称用户错误)。其中包括诸如使用Tor时在留言板上发布您的实际电子邮件地址之类的事情(这是丝绸之路网站删除中所引用的错误之一)。解决方案:需要用户不断保持警惕!
2)定时攻击,流量分析,恶意出口节点。解决方案:个人用户不能做太多事情。整个社区可以通过为Tor网络做出贡献来提供帮助-通过使用Tor,运行中继,退出和捐赠。更多的Tor用户使识别任何单个用户变得更加困难。运行“真实的”中继和出口意味着攻击者需要更多的恶意节点才能有效。
3)残留/边道攻击。其中包括恶意Java应用程序,Tor使用后存在的cookie以及利用标准浏览器行为(或浏览器漏洞)利用其他攻击来留下或检测用户在使用Tor时所做行为的痕迹。解决方案:禁用Java和Javascript(可能还禁用Flash等其他浏览器插件),并且永远不要在Tor上使用普通计算机。使用Tails之类的东西,和/或在每次使用后消除所有Tor系统的痕迹(例如DBAN)。
是的,这是很多工作,并且为了获得安全性而放弃了大量便利。感兴趣的Tor用户正在防御资源非常丰富的对手。防御者需要成功地阻止每一次攻击。攻击者只需获得一次幸运。资源丰富的攻击者可以在很长一段时间内尝试多种类型的攻击。
评论
定时攻击和流量分析是确认攻击,用于验证用户和服务器访问之间的可疑匹配。即使对于由三个字母组成的代理机构而言,对整个世界进行定时攻击也需要付出过多的努力,因此您可以通过不做任何会使他们怀疑您是特定服务器的用户的操作来获得某种保护。
–马克
2014年2月1日在11:31
评论
仅用于政治活动...将是降低威胁面的最佳实践。不要跟随丝绸之路引起刑事调查。我曾想过要回答这个问题,但是变量太多了。如果Tor浏览器泄漏,则某些安全性增强功能需要巧妙地使用VM和NAT来隐藏计算机的IP。其他一些增强功能则需要对Tor协议进行全面检查以抵抗流量分析。常识性信息的卫生和隔离是我能给您的唯一通用建议。那也不要犯罪。
据我所知,Tor项目的所有现有建议仍然适用。问题是大多数Tor用户都至少会错过其中之一。我有自己的清单,稍后再发布。
附录:Schneier对漏洞的分析-schneier.com/blog/archives/2013/10/how_the_nsa_att.html
在我阅读本文时,恶意软件和漏洞利用是针对Tor用户的首选工具。据报道,流量分析不是很成功。但是,当然,这些演示可能是有意误导的。