it-swarm-es.com

¿Cuánto puedo confiar en Tor?

¿Cuánto puedo depender de Tor para el anonimato? ¿Es completamente seguro? Mi uso se limita al acceso a Twitter y Wordpress.

Soy un activista político de la India y no disfruto de la libertad de prensa como lo hacen los países occidentales. En caso de que mi identidad se vea comprometida, el resultado puede ser fatal.

118
Freedom

Tor es mejor para usted que para las personas en países cuyos servicios de inteligencia ejecutan muchos Tor nodos de salida y detectan el tráfico. Sin embargo, todo lo que debe suponer al usar Tor es que, si alguien no está haciendo un análisis de tráfico estadístico pesado, no puede correlacionar directamente su IP con los recursos de solicitud de IP en el servidor.

Eso deja muchos, muchos métodos para comprometer su identidad aún abiertos. Por ejemplo, si revisa su correo electrónico normal mientras usa Tor, los malos pueden saber que esa dirección está correlacionada con otra actividad de Tor. Si, como dijo @Geek, su computadora está infectada con malware, ese malware puede transmitir su identidad fuera del túnel Tor. Si incluso llega a una página web con una falla XSS o CSRF, cualquier otro servicio web en el que haya iniciado sesión podría tener sus credenciales robadas.

En pocas palabras, Tor es mejor que nada; pero si su vida está en juego, use una computadora bien segura para acceder a Twitter y WordPress usándola, y no use esa computadora para nada más.

79
user502

2013 llamando

Creo que esta pregunta merece una nueva respuesta después de lo que sabemos ahora. Dado el fuentes financieras del proyecto Tor y lo que aprendimos sobre el NSA insertar puertas traseras (por ejemplo ver aquí ) arroja una sombra sobre el confiabilidad del proyecto.

Del informe anual del año pasado (vinculado anteriormente):

excerpt from the fiscal report of the Tor project for 2012

Sin embargo, tenga en cuenta que el gobierno de EE. UU. Afirma que quiere permitir que todo tipo de personas en todo el mundo se comuniquen sin trabas de la censura nacional local. Usted mismo probablemente caiga en esa categoría. Por supuesto, no impide espiarlos, pero daría una motivación para financiar el proyecto además de las posibles intenciones más oscuras que uno podría pensar a la luz de las filtraciones recientes sobre la vigilancia global .

Además, esta publicación reciente ("Los usuarios se enrutan: correlación de tráfico en Tor por adversarios realistas") sobre cómo los usuarios identificables ponen un gran signo de interrogación sobre la utilidad de Tor wrt anonimato. Aparentemente es una gran preocupación tuya.

No sé qué recursos tiene disponible el gobierno indio (suponiendo que sea su "adversario"), pero sin duda es un factor a tener en cuenta.

Dicho todo esto, creo que en combinación con otras medidas, como los reenvíos, el cifrado, la VPN, etc., es probable que pueda evadir con éxito algunos, posiblemente incluso mucho tiempo. Entonces Tor será útil como un hilo en una red de seguridad . Pero tenga en cuenta que este hilo puede resultar ineficiente, así que no deje que sea el único tipo de hilo en su red de seguridad.

41
0xC0000022L

También debe tener cuidado con el hecho de que su ISP está en condiciones de ver que 'su dirección IP' es sando Tor, a pesar de que no puede decir qué está usando Tor - para. Si las condiciones son tan hostiles que podrían ser sospechosos simplemente por parecer clandestinos, entonces debe tener cuidado de usar Tor en cualquier lugar, excepto en una conexión a Internet que pueda estar fuertemente asociada con usted.

34
David Bullock

Le brinda una protección considerablemente mayor que la navegación directa. Hay algunas debilidades identificadas que ofrecen rutas potenciales para atacar su computadora, sin embargo, estas pueden mitigarse utilizando protección normal en su máquina (es decir, parche/av actualizado, ejecutarse como usuario no privilegiado, etc.) pero la única debilidad real en términos de comprometer la privacidad parece ser el siguiente:

  • Dados suficientes nodos, una organización podría hacer estimaciones razonables en cuanto a la identidad de un individuo mediante el seguimiento del comportamiento en varios sitios web. Creo que es razonable suponer que las agencias de 3 letras en los Estados Unidos tienen esta capacidad, pero no quisiera adivinar sobre otras.

En resumen: no tiene una gran cantidad de opciones, por lo que TOR es probablemente lo que recomendaría, pero podría proporcionar protección adicional conectándose desde diferentes ubicaciones y evitando acceder a Twitter y wordpress en la misma sesión? (a menos, por supuesto, que se suponga que los dos estén vinculados?

21
Rory Alsop

No puedes decir que Tor puede resolver todos tus problemas. Puede haber muchas formas de comprometer su identidad, ¿podemos decir que tiene un gusano en su sistema? Como aceptas que eres un activista político, habría tanta gente lista para explotar tu computadora.

5
Geek