Tor浏览器被用于在暗网上买卖毒品,但也有一些人的自由甚至生命取决于该软件的运作。这就是为什么有必要对承诺的匿名性进行特别批判性的审视。
关于这项充满矛盾的技术的工作始于1990年代中期的美国军事研究实验室。今天,Tor是全球数字公民社会和美国政府的一个不寻常的联合项目。民间社会提供了基础设施:Tor的混淆节点。对他们来说,Tor是对威权主义干预互联网的最重要反击。
通过Tor浏览器,人们可以匿名浏览互联网并破坏审查制度;在Tor的暗网中,地址既不能被删除也不能被定位。该技术是由传统上由美国政府资助的组织The Tor Project开发的。严格而言,该技术在拥有大量资源的攻击者面前是脆弱的。Tor浏览器的保护究竟有多牢固,匿名技术能被破解吗?
人类的脆弱性
不小心的行为会导致问题:你使用Tor浏览器,但用你在其他情况下也使用的个人资料登录到社交网络或电子邮件服务。或者你安装了野生的浏览器扩展。Tor是基于火狐浏览器的,火狐浏览器有数百个实用的扩展,例如,可以用来截图或阻止广告。
其中一些插件经火狐浏览器检查后发现是安全的。然而,有可能通过商业扩展程序将恶意软件带入Tor浏览器,插件会记录浏览器的使用情况并出售收集的信息,过去就有过这样的例子。
安全漏洞和后门
Tor软件可能包含安全漏洞。由于Tor浏览器是修改过的Firefox浏览器,Firefox中的漏洞也会影响Tor的安全性。每隔一段时间,Tor浏览器就会提示你安装一个更新。大多数情况下,更新是为了修复已经发现的安全漏洞。这种漏洞可能是故意放置的,也可能是无意中进入软件的。一个常见的回答是,这种情况不可能发生在Tor上,因为该软件是开源的:代码是公开的,可以检查出缺陷甚至是后门。然而,在实践中,这并不能提供绝对的保护。
只有一小部分人能够编程或评估复杂的程序代码。由于Tor社区的特殊性,程序代码是非常安全的:“有了Tor,许多人实际上定期查看代码,并独立于Tor项目进行检查。Tor过去和现在都强烈地以大学为基础。这就是为什么Tor与其他许多自由软件项目不同,在这些项目中,不清楚是否真的有对代码库的独立审查”。
事实上,Tor是学术界的宠儿。在科学研究中,每一种可以想象到的对Tor的攻击可能性都被发挥出来,并被公开讨论。
Tor是一个”蜜罐“
对于所有的”数字自卫”技术–除了Tor,还包括电子邮件加密等–都有一个争论,即它们是否会不由自主地充当”蜜罐”:作为一种社会过滤器,人们会无意中引起对自己的关注。通过使用Tor浏览器,人们表明他们比其他人更关心保护自己的通信–而且他们可能对监控特别感兴趣。这个难题存在,而且无法解决。只要只有少数人使用加密和匿名技术,它就存在。
浏览器和它的”指纹“
Tor浏览器能很好地防止通过IP地址进行监视。它还能防止另一个典型的浏览器数据源:cookies。大多数网站在你访问时都会在浏览器中留下小的数据片段,其中包含有关各自网站访问的信息。下次访问网站时,这些信息可以再次被读出,并用于例如建立关于用户冲浪行为的协议。网站可以在Tor中放置cookies,但其效果会逐渐消失。当Tor浏览器关闭时,它会删除所有cookies。
然而,Tor浏览器对另外一个技术几乎没有任何防护措施,它是一种复杂的、特别狡猾的技术:浏览器指纹识别。通过这种方法,被访问的网站从PC或智能手机的各种软件和硬件特征中计算出一个技术指纹。通过结合这些特征,设备有可能通过网络被识别和追踪,其准确程度取决于指纹的程度。
在上网时,每个浏览器都会默认向网站发送一些基本信息,例如,浏览器的语言设置。此外,网站还可以读出其他属性,如浏览器中安装了哪些字体,或使用的屏幕有多高多宽。在特别厚颜无耻的浏览器指纹的情况下,设备的特定组件也被测试。在没有人注意到的情况下,浏览器中产生了一个看不见的图形或一个听不见的声音。由于每个设备的图形和音频卡都有最小的偏差,每个图形和每个声音也有设备典型的偏差–就像每个打字机的字体是独一无二的。有了这种方法,就可以精确地识别设备,从而识别用户–即使浏览器伪装IP地址并默认删除cookies。
浏览器指纹的研究仍然很少。这种方法往往不是由实际的网站使用,而是由内置的第三方使用,如广告网络或分析服务。Tor浏览器试图对此进行防御,例如通过掩盖实际的屏幕尺寸。
然而,在标准模式下,它不能对抗大多数指纹识别元素。有针对性地读取设备属性,如测试组件,通过JavaScript运行–但这也为监视提供了一个通道。对咄咄逼人的指纹的唯一有效保护是停用这一技术。然后,一些网站将继续运作而不出现问题,而另一些网站则不会。Tor浏览器提供三个级别的安全。在”标准”模式下,JavaScript在任何地方都能工作。在”更安全”模式下,当网站要生成图像或声音时,浏览器会询问你。在”最安全”模式下,JavaScript被完全停用。
关联的艺术
攻击者试图通过收集大规模数据来破解Tor,可以说是从外部观察Tor网络,并比较数据流的技术模式。Tor重定向数据流量,但不改变它。因此,每条Tor混淆路线的数据流在所有子路线上看起来都是一样的–在从Tor浏览器到第一个节点、从节点到节点以及从最后一个节点到网站或暗网页面的路线上。
这使得一种被称为”端到端确认”的攻击形式成为可能。如果攻击者观察到第一段(用户和入口节点之间)和最后一段(最后一个节点和网站或暗网页面之间),并能发现这两个元素属于同一混淆路线,那么Tor的去匿名化是可能的。这需要两个步骤。首先,攻击者在几毫秒的时间窗口内查看所有进入和离开Tor网络的数据流。然后他试图将这些数据流相互匹配。
就像在一个叫作”记忆”的纸牌游戏中,攻击者寻找属于一起的配对。为了找到它们,人们对技术模式进行比较。当访问一个网站时,所需的信息是以一连串的小数据包发送的。网页及其子页面有不同的尺寸,包含不同的元素。因此,它们在传输过程中产生不同的模式。如果检测到两个相同的模式,很明显:数据流一和数据流二是同一个Tor混淆路线的一部分。去匿名化已经成功了。
原则上,Tor无法保护自己免受这种攻击。Torproject.org上的一份常见问题列表中指出:”一个能看到你和目标网站或你的Tor退出节点的观察者有可能将你的流量进入和离开Tor网络的时间联系起来。Tor不提供对这种威胁模式的保护“。
网站指纹识别
在端到端确认攻击中,人们对传入和传出的Tor数据流进行匹配。这种关联性需要一个拥有非常多资源的情报机构。对于另一种被称为”网站指纹”的攻击,所需要的是一个本地攻击者,他只看到用户和第一个Tor节点之间的连接。例如,这可能是互联网服务提供商或能够访问其数据的安全机构。
通过网站指纹识别,传入的数据流与数据库中的条目相匹配。攻击者使用Tor浏览器提前调用了他想监控的数千个网站。他在数据传输过程中计算出他们的技术指纹,并将其储存在数据库中。如果随后要解释”真实”用户的数据流,与数据库进行比较就足够了。如果数据流的模式包含在数据库中,那么很明显:这个网站目前正在用Tor浏览器访问。
关于网站指纹的有效性研究得出的结论是,高达90%的网站及其各个子页面可以被清楚地识别。然而,他们只看了几个网站的”小世界”。然而,在真正的互联网中,数十亿用户访问数百万个网站,其中有数十亿个子页面。
尽管如此,网站指纹识别并不是空中楼阁。互联网的使用有很大一部分集中在少数非常受欢迎的网站上。攻击者通过分析几百个特别受欢迎的网站及其子页面已经可以得到很好的结果。在暗网中,网站的指纹识别甚至比”大”万维网的指纹识别效果更好。暗网的确是一个小世界,而政治上有趣的暗网则更小。
网站指纹识别的成功率也会因为网站通常是动态的这一事实而减弱。内容略有不同,这取决于你从哪里访问它。此外,还显示了不同的广告。一个网站越是动态,就越难与之前创建的指纹相匹配。暗网在这方面也更加脆弱。暗网网站通常在技术上要求不高。他们试图尽可能少地包括多余的软件,以减少监视或警察调查的攻击面。由于它们比清网上的网站更经常是静态的,因此更容易通过网站指纹识别来检测。
总结
我们来总结一下,Tor可以做很多事情,但它也很容易受到不同类型的攻击。攻击者的资源越多,他就越有可能破解Tor。然而,这是很昂贵的,所以所有用户的永久去匿名化是不可能的。另一方面,对个人的有针对性的攻击是可以想象的。