Bóg daje nam wolność. Używajmy jej mądrze.
Parę słów o sieci tor (2010-09-01)
Niedawno znalazłem świetny tekst o anonimowości i sieci Tor. Myślę, że warto go po prostu zarchiwizować.
Wywiad z Jacobem Appelbaumem, programistą i rzecznikiem projektu Tor
17 czerwca 2009, Paweł Wilk http://www.heise-online.pl/security/features/Siec-anonimizujaca-Tor-778165.html
Tor jest otwartą siecią, która pomaga chronić użytkowników przed inwigilacją zagrażającą ich anonimowości, prywatności, prowadzeniu poufnych interesów i osobistej komunikacji. Wykorzystuje się w niej silną kryptografię z użyciem klucza publicznego.
Nazwa Tor jest skrótem od The Onion Routing (trasowanie cebulowe). Wynika ona z faktu, że dane wchodzące do sieci anonimizującej są wielokrotnie szyfrowane i opakowywane przez transportujące je węzły, a ich reprezentacja kojarzy się z kolejnymi warstwami cebuli.
Internauta, który chce anonimowo korzystać z dobrodziejstw WWW czy innych usług bazujących na protokole TCP, może pobrać odpowiednie oprogramowanie ze strony projektu i w ciągu kilku minut zacząć z niego korzystać. Dla niektórych przeglądarek są też specjalne wtyczki, np. Torbutton dla Firefoksa – dzięki nim można w łatwy sposób przełączać browser między normalnym trybem a pracą z poziomu ukrytej tożsamości.
Przy okazji odbywającej się w Krakowie konferencji CONFidence redakcja heise Security przeprowadziła wywiad z Jacobem Appelbaumem – programistą i rzecznikiem projektu Tor.
heise Security : Jak to się stało, że dołączyłeś do projektu i co Tobą powodowało?
Jacob Appelbaum : Pierwszy raz uświadomiłem sobie, że potrzebuję czegoś takiego jak Tor w trakcie współpracy z działaczami na rzecz praw człowieka. Zauważyłem, że takie narzędzie już istnieje i tak właśnie to się zaczęło. Poszukiwałem oprogramowania o odpowiednich cechach, a Tor je miał.
hS : Czy w tamtym czasie Tor był równie popularny jak dziś? Teraz, gdy w Google’u szukasz czegoś o anonimowych sieciach, Tor znajduje się na pierwszej stronie listy rezultatów. Czy wtedy też tak było?
JA : Wtedy było inaczej, popularność była mniejsza. Poznałem Rogera Dingledine’a (szefa projektu Tor – przyp. red.) i Nicka Mathewsona (głównego architekta projektu – przyp. red.) na jednej z amerykańskich konferencji poświęconych hakowaniu. Uświadomiłem sobie wtedy, że sam powinienem skorzystać z tego, nad czym oni pracowali, i zaprezentować to aktywistom zaangażowanym w prawa człowieka. Spostrzegłem, że Tor jest właściwym wyborem i zacząłem o nim czytać – były to zarówno dokumenty techniczne, jak i filozoficzne rozprawy. Tor był dokładnie tym, czego potrzebowałem. Nie musiałem od zera tworzyć podobnego oprogramowania. Zapewne Roger i Nick, którzy są twórcami Tora, mają ciekawsze wspomnienia związane z początkami projektu. W tamtych czasach (od roku 1997 – przyp. red.) działałem w ruchu Cypherpunks – byłem wpisany na ich listę dyskusyjną i używałem anonimowych remailerów. Anonimowość i wolność wypowiedzi naprawdę mnie interesowały, choć jeszcze nie zdawałem sobie sprawy, że będę ich potrzebował. Punktem zwrotnym było spotkanie ludzi, którzy swoimi działaniami sprzeciwiają się zastanemu porządkowi. Zacząłem więc czytać o wyciekach danych i naruszaniu prywatności. Zrozumiałem wtedy, że wszystko, co robi każdy z nas, może być rejestrowane i powinniśmy mieć możliwość obrony przed tym.
hS: Czy znane Ci są polityczne groźby atakujące infrastrukturę Tora lub cele projektu? Chodzi o to, że czasem, gdy nie można czegoś po prostu wyłączyć, to zawsze pozostaje możliwość wprowadzenia prawa, które zabroni tego używać. Weźmy na przykład przypadek aresztowania właściciela węzła wyjściowego. Może więc następnym krokiem w rozwoju projektu jest nie tyle poprawa jakości usługi, ale walka z idiotycznym prawem?
JA: Nie spotkaliśmy się jeszcze z przepisami, które dotyczyłyby bezpośrednio Tora. Czasami niektóre kraje, jak Stany Zjednoczone, próbują blokować ruch pochodzący z sieci Tor. O ile mi wiadomo, nie zostało jeszcze uchwalone takie prawo. Wydaje mi się, że to bardzo ważne, abyśmy wszyscy zaangażowali się i nakłaniali nasze rządy do zwalczania tego typu przepisów, gdyby miały powstać. Powinniśmy również promować ideę wolności wypowiedzi w Internecie i prawo do prywatności jako składowej ludzkiej godności. Nie musi to być walka przeciwko czemuś, ale budowanie lepszego systemu. To jest właśnie jeden z powodów, dla których pracuję nad Torem – po prostu są rzeczy, które trzeba zrobić.
hS: Blokowanie węzłów wyjściowych Tora umieszczonych na publicznej liście to wada czy zaleta?
JA: Szkoda, że ludzie to robią, ale uważam, że to dobrze, iż taka możliwość w ogóle istnieje – w przeciwnym razie niektórzy operatorzy mieliby powód do niezadowolenia. Inna sprawa, że nie muszą za wszelką cenę blokować ruchu. Czasem wystarczy dać anonimowemu użytkownikowi do rozwiązania wzorzec CAPTCHA. To o wiele lepsze podejście niż całkowity zakaz.
hS: Czy wierzysz w to, że aby zyskać bezpieczeństwo, musimy poświęcać naszą prywatność?
JA: Nie. Można zarówno czuć się bezpiecznie, jak i mieć prywatność. Wierzę, że prywatność to nie tylko “dobra rzecz”, którą się ma. Powinniśmy starać się ją zachowywać i walczyć o bezpieczeństwo, nawet wtedy, gdy wydaje nam się, że nie są nam potrzebne. To nasze prawo – zabezpieczanie nie powinno nigdy polegać na utracie prywatności czy anonimowości. Panuje powszechny pogląd…
hS: Tak… Popularny wzorzec, w którym wystarczy znaleźć jeden głupi incydent, aby czegoś zakazać. Na przykład używania samochodów, bo ktoś zginął w wypadku.
JA: Właśnie. Myślę, że nie musimy dokonywać wyborów, w których tracimy własną prywatność, anonimowość czy bezpieczeństwo, a Tor jest tego przykładem. Tor pozwala być bezpieczniejszym i bardziej anonimowym niż zwykle i zachować większą prywatność.
hS: Czy są plany, aby Tor obsługiwał też protokoły bezpołączeniowe, na przykład datagramy UDP?
JA : Słyszałem, że ktoś nad tym pracuje, ale w naszych planach projektowych tego nie ma. Zajmujemy się natomiast zmianami w samej sieci, tak aby komunikacja między serwerami odbywała się z użyciem UDP, ale to oczywiście nic nie da końcowemu użytkownikowi, który chciałby anonimizować tego typu ruch.
hS: Czy jest recepta na przekonanie innych, aby nie obawiali się aktywnie używać Tora? Jeśli ktoś chciałby uruchomić węzeł wyjściowy, ale boi się, że będzie pociągnięty do odpowiedzialności za ewentualne występki osób korzystających z niego.
Węzły pośrednie
Węzeł pośredni (middle-node) to specyficzny typ węzła wyjściowego (exit-node). Obsługuje on ruch sieci anonimizującej, ale samodzielnie nie nawiązuje końcowych połączeń z publicznymi usługami.
Istnieje też specjalny wariant takiego węzła zwany mostem (bridge-node). Tak skonfigurowany przekaźnik Tora nie figuruje na żadnej publicznej liście węzłów, a jego funkcją jest pomoc w podłączaniu się użytkowników, których ruch do sieci Tor jest blokowany przez firewalle.
Fragment pliku konfiguracyjnego uruchamiający węzeł pośredni na porcie 1979:
ORPort 1979
ExitPolicy reject *:*
Fragment pliku konfiguracyjnego uruchamiający węzeł-most na porcie 443:
ORPort 443
BridgeRelay 1
ExitPolicy reject :
JA: Nie powinno się żyć w strachu. Oczywiście, łatwo się mówi, ale właśnie dlatego uruchamiam węzły wyjściowe. Jeśli naprawdę ktoś ma powody do obaw, to zawsze można udostępnić węzły pośrednie. Wtedy nie ponosi się ryzyka, a można mieć swój wkład w działanie sieci Tor. Dla przykładu, im więcej węzłów jest w Polsce, tym lepiej działa cała nasza sieć. Nawet jeśli nowe węzły nie zezwalają na połączenia wychodzące. Jeśli jednak ktoś chciałby pomóc innym, to może uruchomić wyjście. Nie uważam, żeby było to aż tak ryzykowne. To jedna z tych sytuacji, gdy mówię: po prostu spróbuj i zobacz co się stanie. Sieć Tor nie jest zdominowana przez złych ludzi wykorzystujących ją do nadużyć – po prostu o nich się tylko słyszy. Większość użytkowników nie przyznaje się do korzystania z sieci Tor, ponieważ gdyby nagłaśniali ten fakt, to działaliby przeciwnie do powziętego celu, którym jest anonimowość.
hS: Czy pretensje agend rządowych i dużych korporacji zajmujących się na przykład ochroną praw autorskich są politycznie niebezpieczne dla Tora?
JA: Myślę, że ci pierwsi nie lubią zbytnio Tora. To dlatego, że nie wiedzą, jak go używać. Przecież mogliby się nim posługiwać, na przykład śledząc ludzi naruszających prawa autorskie. Niektórzy prawdopodobnie tak czynią. Pracowałem kiedyś z kimś z firmy fonograficznej i pokazałem mu, jak używać Tora. Dzięki temu pracownicy byli w stanie korzystać z sieci wymiany plików bez obaw, że zostaną rozpoznani. Jeśli zaś chodzi o samą wymianę plików, to Tor jest na to zbyt wolny. Zbiorami można się bezpiecznie dzielić, wykorzystując pocztę elektroniczną, przenośne pamięci USB, otwarte sieci bezprzewodowe, a nawet wysyłając zwykłą pocztą nośniki CD. Uważam, że Tor nie będzie nigdy stanowił zagrożenia dla przemysłu muzycznego.
hS: Po Twoim wykładzie wywiązała się kuluarowa dyskusja na temat pomysłu polegającego na dołączaniu komponentu Tor do popularnego oprogramowania BitTorrent. Dzięki temu użytkownicy sieci P2P mniej lub bardziej świadomie przyczynialiby się do popularyzowania sieci anonimizującej. Chodzi tu oczywiście o dodatkową funkcję, a nie o tunelowanie P2P wewnątrz Tora. Czy nie uważasz, że byłby to swojego rodzaju Drive-by Download szkodzący społecznemu mechanizmowi, który wykształcił się wokół Tora?
JA: Nie sądzę, aby dobrym pomysłem były klienty BitTorrenta z Torem. Lepiej byłoby, gdyby ludzie używali Tora świadomie. Jednak rozumiem chęć zrobienia czegoś takiego i byłoby wspaniale, gdyby programiści BitTorrenta współpracowali z nami w tym zakresie. To swego rodzaju wyzwanie. Nie chcemy, aby ludzie uruchamiali serwery Tora, nie wiedząc o tym. Wolelibyśmy, aby nie wymieniali się plikami, używając BitTorrenta przez sieć Tora, bo na to są lepsze i szybsze sposoby. Użytkownicy BitTorrenta mogliby wykorzystywać sieć anonimizującą do niewłaściwych celów i nie działałaby ona poprawnie.
hS: Czy słyszałeś może o firmware’ach do domowych routerów, które pozwalałyby tunelować cały wychodzący ruch TCP przez sieć Tor?
JA : Jest to możliwe, chociaż nie wiem, czy ktoś coś takiego zrobił, na przykład dla DD-WRT czy OpenWRT. Ciekawy pomysł. Ktoś powinien się nim zająć.
hS: Anonimowe remailery pozwalają czasem na tworzenie pseudonimów – cyfrowych tożsamości identyfikowanych kluczami kryptograficznymi. Dzięki temu mamy zachowaną anonimową tożsamość. Co myślisz o podobnym mechanizmie w Torze?
JA: Mamy już coś podobnego. Tak zwane ukryte usługi (hidden services) pozwalają na pseudonimowe udostępnianie zasobów. Jest to anonimowe, ale masz swoją nazwę, na którą składa się unikatowy klucz i rozszerzenie .onion. Możesz to więc nazwać pseudonimizacją, ponieważ masz kryptograficzną tożsamość, chociaż pozostajesz anonimowy. Świadczysz usługę, lecz nie można ustalić Twojej lokalizacji ani tego, kim jesteś. Ogólnie mówiąc anonimowość jest najlepszym z możliwych wyjść, jednak internauci mogą sami zdecydować, czy wolą być pseudonimowi, i sami określić, czy chcą podjąć takie ryzyko. Chodzi tu na przykład o to, że dzisiaj udostępniana przez kogoś usługa może wydawać się bezpieczna, ale w przyszłości może zostać anonimowo skompromitowana.
hS: Każdy atak na kryptosystem ma swój koszt. Co trzeba by zrobić, aby skłonić na przykład swój rząd do powzięcia środków w celu wyśledzenia kogoś w sieci Tor i jakie to musiałyby być środki?
JA : Zgodnie z moją wiedzą nie da się złamać silnika kryptograficznego używanego przez Tora. Można zamiast tego obserwować całą jego sieć.
hS: I uruchamiać fałszywe węzły wyjściowe?
JA: To nic nie da. Jeśli uruchamia się fałszywy węzeł wyjściowy, to wciąż nie wiadomo, kto z niego korzysta i skąd pochodzi. Kryptograficzny atak nie zadziała, chyba że można by nakłonić klienta, aby skorzystał ze ścieżki, której wszystkie węzły znajdują się pod czyjąś kontrolą – na przykład policji, która uruchomiłaby wiele fałszywych serwerów. Wtedy mamy do czynienia z tak zwanym atakiem Sybila. Prawdą jest więc, że można uruchomić bardzo wiele serwerów i w obwodzie klienta być pierwszym z nich, drugim, trzecim itd. W takiej sytuacji wystarczy jednak, że tylko jeden z nich nie jest kontrolowany przez daną osobę, i atak się nie powiedzie. Próbujemy więc upewniać się, że podobne sytuacje się nie wydarzą. Jednym z mechanizmów zabezpieczających jest ochrona przed wieloma serwerami Tora działającymi w tej samej podsieci. Jeśli ktoś naprawdę chce użyć wielu serwerów, to mamy mechanizm tzw. rodziny serwerów, gdzie jawnie deklarowane są wszystkie systemy należące do takiego zbioru. Do tej pory nie zaobserwowaliśmy, aby tego rodzaju atak kiedykolwiek się zdarzyły.
hS: Czy śledzenie wszystkich połączeń Sieci byłoby skutecznym atakiem?
JA: Uzyskałoby się wtedy informację o pochodzeniu w ciągu kilku sekund, ale trzeba by podsłuchiwać cały świat, a nie tylko Polskę.
hS: Jak zapewniana jest integralność listy węzłów?
JA: Każdy klient wyposażony jest w certyfikat pozwalający sprawdzić wiarygodność usługi katalogowej. Lista węzłów jest zaszyfrowana i cyfrowo podpisana (w nowych wersjach Tora). Inni nawet nie wiedzą, że właśnie ją pobierają.
hS: Na stronach organizatora podano, że interesujesz się fotografią. Jaka konfiguracja?
JA: Mam kilka różnych aparatów. Lubię Nikona FE2, którego mam od ojca. Robię nim zdjęcia w podczerwieni, używając specjalnej kliszy czułej na szerokie spektrum promieniowania: od podczerwieni do ultrafioletu. Powstają wspaniałe, kolorowe, niemal psychodeliczne zdjęcia. Lubię też robić czarno-białe fotografie aparatami średniego formatu. Chciałbym wybrać się w Polsce do sklepu ze starymi aparatami fotograficznymi.
/rozmawiał Paweł Wilk/