Οδηγός χρήσης του Tor – 1ο μέρος

Posted on 14 Νοέμβριος, 2013 10:48 μμ από

7


Μεταφέρει η @catalternative από τον ιστότοπο του osarena.net ένα άρθρο που αφορά την χρήση του προγράμματος tor που μας βοηθάει στην ανώνυμη πλοήγηση στο διαδίκτυο. Επειδή το αρχικό άρθρο είναι εκτενές θα μεταφερθεί σε δύο ή τρία μέρη, ώστε να μπορεί ευκολότερα να διαβαστεί και να κατανοηθεί. Στο πρώτο αυτό μέρος θα δούμε πως γίνεται η ταυτοποίηση στο διαδίκτυο και πως λειτουργούν οι proxy servers και η ασύμμετρη κρυπτογραφία, βασικά δομικά στοιχεία του tor, που μας επιτρέπουν την ανωνυμία στο διαδίκτυο.

ΑΡΧΕΣ ΑΝΩΝΥΜΙΑΣ – ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

Παρακολούθηση στοχευμένη

Αν είσαι ύποπτος, ο πιο απλός τρόπος να γνωρίζουν οι μπάτσοι όλη σου τη δραστηριότητα στον υπολογιστή, ανεξάρτητα απ’ το αν χρησιμοποιείς ή όχι προγράμματα ανωνυμίας, είναι να εγκαταστήσουν στον υπολογιστή κατασκοπευτικό λογισμικό (spyware). Το πιο σύνηθες είναι κάποιο πρόγραμμα keylogger που στέλνει ότι πληκτρογραφείς και ότι κλικ κάνεις στους σέρβερ της αστυνομίας.

Αν όμως αυτοπροστατεύεσαι χρησιμοποιώντας ασφαλές λογισμικό, που δεν επιτρέπει την παρουσία τέτοιου είδους κακόβουλων προγραμμάτων, οι μπάτσοι είναι περιορισμένοι στην υποκλοπή όλων των δεδομένων που εξέρχονται. Στην περίπτωση αυτή, έχει νόημα η χρησιμοποίηση προγραμμάτων ισχυρής κρυπτογράφησης και ανωνυμίας ώστε να μην μπορούν να διαβάσουν τα ευαίσθητα δεδομένα σου.

Η διαδικασία της ταυτοποίησης και του εντοπισμού

Υπάρχουν πολλοί τρόποι να αποκαλυφθεί η θέση και η ταυτότητα κάποιου στο ίντερνετ, αξιοποιώντας τα τεχνικά χαρακτηριστικά του δικτύου, που δε διαθέτει εγγενώς καμία υποδομή για ανωνυμία. Στον εντοπισμό συμβάλλουν χαρακτηριστικά από κάθε επίπεδο οργάνωσης της δικτύωσης: από προσωπικά δεδομένα στο επίπεδο χρήστη (π.χ. ονοματεπώνυμο που αποστέλλει ο χρήστης στο mail provider), στο επίπεδο εφαρμογών το αναγνωριστικό του προγράμματος περιήγησης, browser_id, και τα cookies δηλαδή αρχεία που χρησιμοποιούν οι ιστοσελίδες για να σε ταυτοποιούν, ή αντίστοιχα αναγνωριστικά σε άλλες εφαρμογές, τις ανοιχτές θύρες (ports) επικοινωνίας στο επίπεδο μεταφοράς δεδομένων, όπως και τη συμπεριφορά του λειτουργικού συστήματος, τη διεύθυνση IP με την οποία εκτίθεται ο υπολογιστής στο διαδίκτυο και τη διεύθυνση της κάρτας δικτύου mac address η οποία φαίνεται στο τοπικό δίκτυο.

Κάθε χαρακτηριστικό και κάθε διεύθυνση είναι εφικτό να αλλάξει ή να μεταμφιεστεί με την εγκατάσταση κατάλληλου λογισμικού και τις αντίστοιχες ρυθμίσεις. Όμως το σημείο του δικτύου που συνδεθήκαμε είναι μια πληροφορία προσβάσιμη στον καθένα.

ip

Ας δούμε στην πράξη τί σημαίνει μια απλή ταυτοποίηση μέσω IP. Έστω ότι είσαι σπίτι σου και θες να μπεις σε μία ιστοσελίδα μιας εταιρίας που σκοπεύεις να χτυπήσεις. Ανοίγεις το firefox και επισκέπτεσαι την ιστοσελίδα της εταιρίας. Τότε ο σέρβερ που φιλοξενεί τη σελίδα της εταιρίας καταγράφει την διεύθυνση IP σου. Αφού η εταιρία χτυπηθεί πιθανόν οι μπάτσοι να ψάξουν ποιός και γιατί επισκέφθηκε την σελίδα της. Όταν δουν την ύποπτη επίσκεψη θα ερευνήσουν σε ποιόν αντιστοιχεί η διεύθυνση IP. Θα δουν ποιός ISP (internet service provider π.χ. οτε, forthnet, hol) παρέχει τη συγκεκριμένη διεύθυνση και θα αναζητήσουν στις καταγραφές (logs) των σέρβερ του ISP, ποιός τη συγκεκριμένη ώρα της επίσκεψης χρησιμοποιούσε τη συγκεκριμένη διεύθυνση IP. Έτσι θα ταυτοποιηθείς.

Πάμε τώρα σε πιο σύνθετες μεθόδους ταυτοποίησης. Έστω ότι είσαι πιο προσεκτικός. Σηκώνεις το λάπτοπ σου και πας σε μία καφετέρια με wifi και πριν κάνεις την επίσκεψη στην ιστοσελίδα της εταιρίας-στόχου ρυθμίζεις διαφορετικά την IP σου. Όταν η αστυνομία εντοπίσει την IP σου θα δει ότι την ώρα της επίσκεψης αντιστοιχούσε σε έναν υπολογιστή από το δίκτυο της καφετέριας. Αντί να συλλάβουν τον ιδιοκτήτη της καφετέριας θα ψάξουν άλλα ίχνη που άφησε πίσω του ο υπολογιστης σου. Πιθανόν να είναι καταγεγραμμένη η mac address (η φυσική διεύθυνση της κάρτας δικτύου) στον wifi router της καφετέριας. Αυτή είναι μοναδική για κάθε κάρτα δικτύου και μπορούν να αναζητήσουν ποιός την αγόρασε στα αρχεία των καταστημάτων. Φυσικά θα μπορούσαν να δουν και τις καταγραφές στον σέρβερ της ιστοσελίδας όπου πιθανότατα θα φαίνεται ο browser id ή στοιχεία απ’ τα cookies σου αν δεν τα καθάρισες. Αν είσαι αρκετά προσεκτικός, και πριν πας στην καφετέρια και αφού φύγεις, επανεγκαταστήσεις το λειτουργικό σου σύστημα, και όλα τα προγράμματα και αλλάξεις την mac address (και δεν μπεις στο προσωπικό σου mail από την καφετέρια): Δεν θα αφήσεις ίχνη και οι μπάτσοι δε θα σε ταυτοποιήσουν.

ΣΗΜΕΙΩΣΗ: Φυσικά για μια τόσο περιορισμένη χρήση του ίντερνετ εκτός ότι υπάρχουν απλούστερες λύσεις όπως ένα νετ καφέ χωρίς κάμερες, δεν είναι ρεαλιστικό να σε ταυτοποιήσουν καθώς οι σελίδες των εταιριών δέχονται χιλιάδες επισκέψεις. Ειναι ένα απλουστευμένο παράδειγμα.

Οι proxy servers

Ας γίνουμε τώρα λίγο πιο απαιτητικοί στην ανωνυμία μας. Έστω ότι θέλουμε να στείλουμε ανάληψη ευθύνης μέσω mail. Στην περίπτωση αυτή αν λάβουμε τα μέτρα που είπαμε παραπάνω, ο υπολογιστής μας δεν θα ταυτοποιηθεί, όμως οι μπάτσοι σε 10 λεπτά πιθανόν να βρίσκονται στην καφετέρια. Ακόμα κι αν έχουμε φύγει τα αποτυπώματά μας και η περιγραφή μας θα είναι φρέσκια. Άρα χρειαζόμαστε ένα τρόπο να μην εντοπιστούμε άμεσα. Ο τρόπος αυτός υπάρχει (δεν συνίσταται καθώς υπάρχουν ασφαλέστερες λύσεις). Είναι η χρήση ενός σέρβερ μεσολαβητή (proxy) ανάμεσα στον υπολογιστή σου και τον σέρβερ του mail που θα χρησιμοποιήσεις. Ο proxy server διαμεσολαβεί αποκρύπτοντας τα παραγματικά σου στοιχεία. Για την ακρίβεια, ο σέρβερ του mail βλέπει μόνο την ip του proxy server και όχι τη δική σου καθώς εσύ επικοινωνείς μόνο με τον proxy ο οποίος επαναλαμβάνει ό,τι του έστειλες αλλά το κάνει να φαίνεται σαν να προήλθε απ’ αυτόν. Υπάρχουν αρκετά site που παρέχουν υπηρεσίες anonymity proxy (διαμεσολαβητή ανωνυμίας) όπως πχ το hidemyass.com.

Όμως κάθε proxy γνωρίζει και καταγράφει ποιός έκανε τί μέσα απ’ αυτόν. Και όταν οι μπάτσοι βρουν ότι το κακό μέιλ στάλθηκε απ’ τη διεύθυνσή του, η εταιρία θα αναγκαστεί να δώσει την πληροφορία του ποιός είσαι. Οπότε αργά ή γρήγορα οι μπάτσοι θα είναι πάλι στο κατόπι σου…

proxy

Η αδυναμία του proxy – traffic analysis

Έστω πάντως ότι η εταιρία αρνείται να συνεργαστεί. Υπάρχει άλλος ένας τρόπος να βρουν πού είσαι (το να βρουν ποιός, εναπόκειται στην τήρηση των μέτρων που περιγράψαμε παραπάνω). Η ανάλυση κίνησης. Μπορούν να δουν τι εισέρχεται και τί εξέρχεται απ’ τον proxy, και έτσι να κάνουν την αντιστοίχηση. Γι αυτό το λόγο η επικοινωνία μεταξύ του υπολογιστή σου και του proxy είναι κρυπτογραφημένη σε ένα σοβαρό σύστημα ανωνυμίας. Όμως ακόμα κι έτσι μπορούν να μετρήσουν τον όγκο της πληροφορίας που διακινείται σε συγκεκριμένες χρονικές στιγμές και να κάνουν έτσι την ταυτοποίηση. Δύο αντίμετρα υπάρχουν στην ταυτοποίηση κίνησης. Το ένα είναι η εισαγωγή χαοτικών δεδομένων στην κρυπτογραφημένη ροή εισόδου του proxy που αυξάνουν τυχαία τον όγκο της πληροφορίας ώστε να μην είναι ταυτοποιήσιμη με τη ροή εξόδου και να μη γίνεται αντιστοίχηση. Το δεύτερο αντίμετρο είναι η εισαγωγή τυχαίων καθυστερήσεων δηλαδή ο proxy καθυστερεί για τυχαία χρονικά διαστήματα να αναπαράξει αυτό που του έστειλες για να εμποδίσει την ανάλυση κίνησης. Φυσικά χρησιμοποιείται και συνδυασμός αυτών των μεθόδων.
>>> δείτε περισσότερα για τους Proxy.

Σύνθετα συστήματα ανωνυμίας

Για να αντιμετωπιστούν οι αδυναμίες των proxy τόσο ως προς την εμπιστοσύνη όσο και της ανάλυσης κίνησης, έχουν σχεδιαστεί συστήματα ανωνυμίας proxy μέσα από proxy. Ανάλογα με το κατά πόσον χρησιμοποιούν την τεχνική της καθυστέρησης χωρίζονται σε συστήματα χαμηλής (low latency), και υψηλής καθυστέρησης (high latency). Τα δεύτερα έχουν περιορισμένη χρηστικότητα λόγω των μεγάλων καθυστερήσεων αλλά θεωρητικά είναι πιο ασφαλή.

ασύμμετρη κρυπτογραφία

enc

Κάθε σύστημα ανωνυμίας βασίζεται στην ασύμμετρη κρυπτογραφία ή αλλιώς κρυπτογράφηση δημοσίου κλειδιού. Ονομάζεται έτσι γιατί ο κωδικός κρυπτογράφησης είναι διαφορετικός από τον κωδικό αποκρυπτογράφησης. Με αυτήν την κρυπτογραφική τεχνική, αν θες να σου στείλουν ένα κρυπτογραφημένο μήνυμα μέσω του δικτύου, δημοσιοποιείς τον κωδικό κρυπτογράφησης (δημόσιο κλειδί) και αποκρυπτογραφείς το μήνυμα μέσω του κωδικού αποκρυπτογράφησης που κατέχεις μόνο εσύ. Δηλαδή είναι σαν να έχεις ένα λουκέτο με το μοναδικό κλειδί που το ανοίγει, και στέλνεις σε κάποιον το λουκετο. Αυτός στη συνέχεια βάζει το μήνυμα σε ένα κουτί, το σφραγίζει με το λουκέτο που του έστειλες (το λουκέτο αντιστοιχεί στο δημόσιο κλειδί), και στο στέλνει. Μόνο εσύ μπορείς να διαβάσεις το μήνυμα αφού μόνο εσύ έχεις το κλειδί που ανοίγει το λουκέτο.

Η τεχνική αυτή στο υπολογιστικό περιβάλλον βασίζεται στις ιδιαίτερες μαθηματικές ιδιότητες των πρώτων αριθμών (αριθμοί που διαιρούνται μόνο με το 1 και τον εαυτό τους). Για την ακρίβεια στο ότι ότι δεν χρειάζεται πολλούς υπολογισμούς για να πολλαπλασιάσεις δύο πολύ μεγάλους πρώτους αριθμούς, αλλά για να βρεις από το πολλαπλάσιο τους δύο διαιρέτες πρώτους αριθμούς χρειάζεσαι υπολογιστική ισχύ που δεν υπάρχει στις μέρες μας (ασυμμετρία). Οι δύο διαιρέτες συμπεριλαμβάνονται στην παραγωγή του ιδιωτικού κλειδιού και το πολλαπλάσιο στην παραγωγή του δημόσιου κλειδιού. Οι αλγόριθμοι που υλοποιούν αυτή την τεχνική παραείναι σύνθετοι για να εκτεθούν εδώ, το ίδιο και η μαθηματική απόδειξη της αξιοπιστίας τους. Η καθημερινή απόδειξη της αξιοπιστίας τους είναι η γενικευμένη χρήση της ασύμμετρης κρυπτογραφίας στο ίντερνετ: όλες οι χρηματοπιστωτικές συναλλαγές βασίζονται πλέον σε αυτήν, αν κάποιος μπορούσε να τη σπάσει θα κατακτούσε τον κόσμο.

Δεν ισχύει το ίδιο όμως για κάθε επιμέρους υλοποίηση της ασύμμετρης κρυπτογραφίας. Σε κάθε υλοποίηση μπορεί να υπάρχουν αδυναμίες. Αυτές σχετίζονται συνήθως με τους τυχαίους κωδικούς που παράγονται από τα προγράμματα αυτά με τη βοήθεια του λειτουργικού συστήματος, και οι κωδικοί παράγονται από ψευδοτυχαίους αριθμούς. Το πρόβλημα εμφανίζεται γιατί ο επεξεργαστής δεν έχει κάποια δομή σαν ζάρι, αντίθετα υπάρχουν προγράμματα γεννήτριες τυχαίων αριθμών που στην πραγματικότητα φτιάχνονται από μία σειρά προκαθορισμένων υπολογισμών. Βάσει αυτού θα μπορούσε κάποιος να συναγάγει όλη τη ροή ψευδοτυχαίων αριθμών άρα και τους κωδικούς αν η γεννήτρια δεν είναι τόσο αξιόπιστη.

Κοντούλης ανώνυμος σύνδεσμος : http://wp.me/p1pa1c-jqf

Advertisements