周五,俄罗斯内务部(MVD)授予一份价值11万美元的合同授予了一位匿名的俄罗斯承包商,该承包商拥有最高安全许可,可以揭露俄罗斯用户使用可规避监控的Tor浏览器的秘密。这是俄罗斯联邦安全局(FSB)对俄罗斯Tor用户从8万激增至20万的反应,这是由于俄罗斯政府对互联网免费使用的限制,如新法律这需要所有俄罗斯博主登记。
NSA和FSB希望穿刺Tor Anonymyty并使人们的身份公开使用它,因为Tor浏览器删除识别浏览器指纹。几乎所有使用互联网的人都有一个独特的可追踪指纹。互联网用户可以在几秒钟内检查他或她自己的互联网唯一性Panopticlick这是电子自由基金会(Electronic Freedom Foundation, EFF)创建的一键测试。大多数人发现自己很独特;准确的说是450万分之一。来吧,试试。
此指纹识别来自唯一插件配置的用户,以及通过互联网从他或她的ramblings留下的数字痕迹。Tor浏览器是常用浏览器的替代品,例如Chrome,Firefox和Safari,并且不会创建指纹。它还通过调用洋葱网络的更改加密Web隐藏用户的网络访问位置。它隐藏了用户的IP地址,保护其位置或设备免于检测。用户的会话是通过在到达开放Internet之前通过三个洋葱网络路由器发送数据包,每个人只知道下一个路由器的地址,而且无日志记录流量。
据Tor项目执行董事安德鲁·卢尔曼(Andrew Lewman)的说法,Tor浏览器在去年下载了150万次,每日超过200万用户。他部分地将Spike归因于下载中的峰值,以至于NSA在几乎所有美国公民上任意收集和保留个人数据。使用Tor就像隐藏在干草堆中的针一样。NSA和FSB想要防止Tor Haystack不断增长,因为尺度将使它更加难以找到一个单个针。
与美国国家安全局为揭露Tor用户而投入的大量资源(Lewman估计为1亿美元)相比,俄罗斯的合同显得微不足道。根据Rift Recon的Eric Michaud的说法:
“在俄罗斯竞争中所涉及的金额可能远远不足以完全削弱TOR。但这一数字明显接近购买“黑帽”和政府市场上用于感染浏览器的高质量漏洞的现行价格。再一次,利用人为错误和受感染的浏览器来暴露TOR用户以供公诉,作为阻止俄罗斯TOR使用增长的宣传运动的基础,这就足够了。例如,可以在这个预算下创建一个Tor项目网站副本,鼓励用户下载带有感染版本的Tor浏览器更新版本,该版本可以识别或“污点”用户喜欢的最近发现一名计算机科学学生”。
国安局和俄罗斯联邦安全局的方法非常不同。国安局没有公布其洋葱网络的计划。例如,今年夏初,德国公共广播公司NDR和WDR发表来自NSA程序的详细信息,名为XkeyScore规则,秘密监控个人通信。在其他在线活动中,该计划记录了关于搜索和下载Tor浏览器和其他匿名软件的人员的身份和个人信息。
毫无疑问,有合法和非法的使用TOR网络的匿名。Tor提供从审查国内封锁的互联网网站,例如中国,伊朗和俄罗斯,并保护在冲突领域运营的持不同审议议员和记者。个人隐私也是合法用途。使用Tor与绘制一个人在家中的阴影相同,以阻止邻居的窥探和偷窥汤姆斯;Tor阻止了国家国家,犯罪者和互联网广告公司的窥探,从收集个人身份信息。作为一个人可以想象的非法用途是犯罪和恐怖主义。例如,激发杂志,英语语言学杂志,Jihadist教条,恐怖主义和炸弹制作,分布在Tor网络上。
哈佛大学法学院(Harvard Law School)的安全专家、伯克曼研究员布鲁斯·施奈尔(Bruce Schneier)最近与我谈到了Tor网络的合法和非法使用:
“就像高速公路,电话和社会基础设施的任何其他部分一样,可以被好人使用的人使用。托尔向持律师和犯罪分子提供匿名,而社会不应该消除任何东西,因为银行劫匪应该除去高速公路。用它们逃脱。这是生活在自由社会中的讨价还价的一部分。“
一个顶级的nsa演讲(pdf) 2007年1月,《卫报》去年10月报道:
“我们[NSA]永远不会能够一直在匿名的所有TOR用户。通过手动分析,我们可以将非常小的Tor用户匿名化。但是,响应于TOPI请求/按需而取得了成功的成功。“
当被问及自2007年以来这一地位是否有所改变时,施奈尔说:
“我不认为它有。中国政府一直在与Tor项目的一场战争,中国封锁它和拆开它的战争。有中国被破坏的战争,可以识别其用户,它会追求他们而不是阻止他们。此外,最近出版了FBI对隐藏的恋童话网站戒指的调查中的TOR网络的渗透,揭示了由于管理员人的错误而成功地获得了访问。他忘记在隐藏的服务器上更改默认密码,使FBI无法访问识别用户的工厂监控软件。如果TOR网络受到损害,则主席团不会依赖人类错误来发现所涉及的个人的身份。I don’t know how the FBI and NSA share information, but had either developed a method of instantly identifying Tor users, they would have shared the results, which means that since the FBI can’t subvert Tor anonymity and privacy except for human error, the NSA probably can’t either.”
另一位安全分析师,不想通过名字识别,回答同样的问题,“我不会用它来规划一名总统暗杀,”强调在个人案件中可能会破坏Tor的安全性。
虽然FBI和NSA正在针对Tor,但它最初由美国海军研究实验室和其部分资助资金来自美国国务院和国家科学基金会。这场声称:
“许多政府机构和执法机构使用洋葱网络来保护他们的调查和消息来源。”
戴安娜托运人,在阿拉巴马州大学刑事司法部博士上致力于对TOR网络和执法进行资助的研究,确认虽然执法的许多人正在努力去匿名的战斗,但许多其他人依赖它匿名进行自己的调查。
Tor项目可以作为国家安全信函和法院命令的目标,因此Tor软件的开发和网络运行的任务是划分和分配的。Tor浏览器和洋葱网络软件由马萨诸塞州剑桥的Tor项目维护,该项目是一个501 c.(3)非营利组织,每年的预算约为300万美元。洋葱网络是由世界各地的志愿者单独运作的,他们贡献了大约6000台服务器和网络资源,据德国独立Tor服务器运营商torserver.de的延斯·库比齐尔(Jens Kubieziel)估计,其价值约为每年200万至250万美元。
如果像EFF这样的互联网隐私倡导者能够如愿,类似于tor的技术就可以在未来的某个时候应用在开放的互联网上,以改善个人隐私。与此同时,互联网用户有两个选择:有意识地生活在一个电子鱼缸里,或者使用Tor浏览器和洋葱网络。