导语:作为知名的匿名网络,Tor一直是一些喜欢匿名上网,或关注网络隐私人士的最爱。根据2016年5月的统计,那时已有超过100万用户正在使用Tor来访问Facebook,包括通过Tor浏览器、通过Facebook的Onion站点登录等。而在2015年6月时,通过Tor来访
作为知名的匿名网络,Tor一直是一些喜欢匿名上网,或关注网络隐私人士的最爱。根据2016年5月的统计,那时已有超过100万用户正在使用Tor来访问Facebook,包括通过Tor浏览器、通过Facebook的Onion站点登录等。而在2015年6月时,通过Tor来访问Facebook的用户数量仅为52.5万。
以前我们都是通过普通的浏览器直接登录FaceBook网站,但如今越来越多的人们乐于选择通过Tor来保护隐私安全,说明用户的安全防护意识在不断提升。
Tor这个项目创建的时候,目的是致力于在线匿名与隐私的技术研究、开发与教育,但暗网的存在和发展,似乎让如今Tor与其初衷背道而驰。
一提到“暗网”,人们就会联想到毒品、枪支、黑客交易,最恐怖的是通过Tor网络匿名雇佣杀手谋杀,2016年10月美国新泽西警方破获了一起在暗网提供杀手谋杀服务犯罪未遂的案件。
但是Tor的应用范围非常广泛,除了不法分子的不法用途,社会活跃分子也会利用Tor来规避审查,军方会用Tor进行安全通信,家长使用Tor保护孩子和家庭隐私,新闻界用Tor来进行新闻背景的调查和信息来源的核实等等。
从用户通过Tor登录FaceBook的人数呈现线性增长,可以看出,Tor提供的安全登录服务已经被越来越多的用户认可。
暗网上面存在很多非法物资和黑色交易是不容争辩的事实。但从另一个角度来说,地下产业并不完全是消极的事物,从一定程度上讲,地下产业更接近用户最真实的需求。如果无法正视和了解地下产业,缺乏正确的引导,任由事物自由发展,一些阴暗面可能反而会被激发出来。
所以这也就是为什么Tor一向是FBI的眼中钉肉中刺。FBI也总是孜孜不倦的去研究如何攻破Tor,甚至花钱找团队来帮忙(比如卡内基梅隆大学的研究者得到FBI的资助来暴露Tor用户),目的就是想揪出Tor用户的真实身份进行执法。众所周知,Tor被用在了许多臭名昭著的行业,如非法交易网站(Silk Road)与色情门户网站。所以FBI追踪Tor用户的行为也通常被大家认为是合理的。
但匿名无罪,也其实没有人知道FBI在获取到信息后是否有被用于其他目的。其次,FBI在破解Tor用户信息的背后,却对个人隐私以及Tor项目及其团队造成一种威胁。
从2002年9月份发布以来,Tor项目一直以绝对的匿名性和安全性著称(仅限于数据内容的安全)。它的基本实现原理是将用户要发送的数据包进行多层加密(从密码学上讲不存在破解的可能性),然后随机、依次的将数据包发送到Tor网络中的若干个中间结点,最后才到达真正的目的地。如此一来,攻击者就不可能破译数据包的内容,也不会知道数据包的源头和目的地究竟是谁,由此实现了其匿名性和安全性。
当然,随着使用人数的增加,Tor网络架构不论在传输效率,还是扩展性上都已面临挑战。而想要解决这些问题,就需要更多的节点提供支撑,才能应付日益增长的匿名连网需求。
此外值得注意的是,Tor并非绝对安全,使用Tor网络虽然可以隐藏原始发送数据,不过会招致攻击者的流量分析攻击。而且Tor大量依赖于由志愿者提供的服务器进行网络通信,一旦攻击者控制了出口节点,那么他们就可以很轻易地监听到用户的流量了。
那什么是Tor的节点服务呢?下面我们来讲解一下。
众所周知,Tor提供客户端匿名通信,可以帮助用户匿名上网,保护用户隐私。其实 Tor同样也可以提供服务器端的匿名,在Tor上的大多都有这么一个特性就是末尾都是以onion结尾,比如xxxxx.onion,并不是我们常见的.com,.org之类的,这个域名是onion网络特有的域名,2016年由威胁情报公司Intelliagg及暗网索引公司Darksum联合开展了一次针对暗网详细情况的统计,发现暗网中仅有29532个.onion站点。
而这个数量对于上亿数量级的互联网域名亦是微不足道的。下图为基于Tor暗网关联网络,可视化网址为:deeplight,其中包含了大部分的暗网站点信息。
据研究人员称,在调查的过程中,他们看到许多的Tor网址上线,随后又消失,其中约有54%网站属于上述所说的生命周期较短的网站。
而上述所提到的关于消失的站点,据推测可能被用于网络犯罪活动中如作为钓鱼网址,C&C服务器或其他临时的服务。
人工审查发现68%.onion站点包含非法内容,正如此前的预期,大部分网站都是以英文做为其通用语言(约占76%),接下来是德国(约占4%),中国(约占3.7%),而剩下的为其他国家语言网站。在对这些网站性质进行分类时,大部分网站提供文件共享,泄露数据,金融诈骗,新闻媒体等服务。但分类并不能代表他们真实的内容。下图为发现的暗网站点中使用的其他国家语言。
以下为暗网站点提供的服务占比,我们可以看到文件共享服务(比如 Onionshare匿名分享工具)位列第一,占比为29%,而提供泄露数据的服务紧随其后,占比28%,具体如下:
暗网中的Tor网络连接和普通网站的Tor网络连接一样吗?
Tor网络中的客户端与服务器的连接过程一般称为电路(circuit),电路是由Tor路由节点组成的网络路径。
普通的网站通过Tor网络连接一般需要经过三个Tor节点,如下图 ,
而暗网中的网站通过Tor网络连接一般则需要六个Tor节点,如下图,
一般情况下,客户端匿名访问普通网站的Tor电路为:首先通过本地代理随机选择一个入口节点,入口节点随机选择一个中间节点,中间节点随机选择一个出口节点,最后出口节点通过TCP 连接并以明文形式携带内容到目的服务器。入口节点知道用户的IP地址,出口节点知道目的服务器的IP地址以及传输内容。但是每一个节点都不知道完整信息流向,从而保证通信的匿名性。
暗网情况下,客户端匿名访问暗网服务器的Tor电路需要经过六个Tor节点,客户端和服务器各通过一个 Tor电路连接到一个中继Tor节点(称为“会合点” ),这个会合点既不知道客户端地址,也不知道服务器地址,从而保证通信双方的匿名性。
暗网的电路结构
当然暗网中的Tor电路不仅增加了一个会合点,还增加了介绍点和目录数据库。它的电路结构如下图所示:
暗网中各个角色的介绍:
a)客户端:匿名访问暗网服务器的用户(浏览器);
b)暗网服务器:也叫隐藏的服务器,只能通过Tor网络被访问的目的服务器(网站);
c)目录数据库:存放暗网中的网站信息,用于客户端查询(卡内基梅隆大学的研究者就是通过这个追踪到法瑞尔的);
d)介绍点:用于与客户端或暗网服务器通信的节点;
e) 会合点:用于最终客户端和暗网服务器端通信的节点。
Tor真的就很安全吗?
暗网中客户端和服务器的通信在经过会合点和介绍点时都通过Tor电路连接,因此介绍点和会合点都不知道客户端和服务器的具体位置,保证了通信双方的匿名性,并且所有经过Tor 网络的电路都是被TLS强加密的,Tor电路本身也有证书认证机制,防止了中间人攻击。
但是由于Tor随机地在结点之间传输数据包,这一点虽然保证了匿名性,但其实是有缺陷的。即当攻击者掌握了大量结点之后,虽然Tor会随机挑选结点,可是奈何所有结点都在掌控之中,那么如此一来攻击者虽然截获不了数据包的内容(因为多层加密的存在),却有可能替换内容,比如填入一些垃圾信息,同时,用户发送数据包的源头和目标节点也被暴露了,这样一来所谓的匿名性就不复存在。另一方面,由于多层的加密和多个结点(Tor规定至少3个结点)的转发,大大降低了连接速度,影响了用户体验(关于速度慢这一点,虽然Tor的开发者已经做出大量努力,但其实还是很慢的,因为转发这个机制无法从根本上避免),2016年2月份,Tor网络节点数量迅速从 4万增加到6万,但是整个Tor网络的流量没有出现相应比例的增长。
Tor提供匿名通信功能,但是Tor并非绝对匿名。从丝绸之路到斯诺登事件说明了:Tor 只是一个工具可以让你匿名,但是它不确保你可以安全的连接。
其实,对于大多数暗网的参与者来说,各种疏忽都会导致你的身份泄露。例如如果你通过同一设备访问明文网站,那么你的真实IP就会暴露。如果你的浏览器存在漏洞,也会被精确定位。另外,根据知情人士分析,目前的暗网节点每月需要花费数千美元来维护,而正在运营Tor项目的还是一个非赢利性的组织,你认为Tor项目会大把烧钱在节点的维护上吗?如此说来,Tor网络中的节点,说不清究竟有多少已经被FBI完全掌握了,从而用数学方法验算出匿名的每一个服务器和访问者的精准IP。
匿名和维护社会安全上,Tor项目会怎么选择呢?
攻击者不断通过浏览器漏洞、流量分析、电路指纹等手段对Tor用户进行追踪识别。
Tor团队也不甘示弱,Tor项目的负责人已经在2016年启动了Tor漏洞奖励计划,以奖励那些能够在这个热门的匿名网络平台中发现安全漏洞的研究人员。
对于那些推崇网络匿名性的研究人员而言,这绝对是一个好消息!因为他们对于提升Tor系统安全性的热情是非常高的。
就像Nick Mathewson(Tor项目的创始人之一)所透露的那样:“对于这些年来一直对我们的代码进行审查的研究人员,我们表示非常的感激,但如果我们想要让这个项目能够得到持续的提升,我们就得让更多的人投入其中…这个计划能够鼓励更多的研究人员来对我们的代码进行审查,并从中发现设计缺陷,这样才可以帮助我们更好地提升Tor的各项性能。”
另外2016年6月,Tor发布了6.5a1版本,与之前发布的版本相比,这个版本中增加了加强版,且在加强版中添加了加了一种新的随机算法——Selfrando,
这是一个被增强的,具有实用性的随机加载时间技术。说的通俗点,这种技术可以用来更好的防止黑客对Tor用户去匿名化的攻击。
Tor团队和加州大学的研究专家们花费了大量的经历合作研究出Selfrando,想要用这种技术替代传统的地址空间随机加载技术。
地址空间随机加载技术是让代码在其运行的内存中进行转换,而Selfrando的工作方式是将不同功能的代码分开,并将它们所运行的内存地址进行随机分布。
如果攻击者不能准确猜到每个代码执行所在的内存地址,那他就不能触发到内存中所存在的漏洞,也就不能让Tor浏览器运行他们的恶意代码,从而更好地保护了用户的个人信息。
Selfrando中的二进制文件都构建在相同的硬盘内,直到被加载到主内存中后才会被随机分布。
以匿名著称的Tor浏览器,其团队对加密秘钥的追求也在登峰造极,Mathewson就表示:“他们的下一代隐藏服务也将从1024位RSA加密算法切换到更短但更安全的ED-25519椭圆曲线算法。”
每个人对于自己的隐私都非常看重,可是打着隐私的旗号来进行危害社会的活动,这就要进行执法机构出面了,那现在的问题就是如果不对隐私的信息进行监控,怎么能发现这些危害行为呢?难道要等到危害的结果已经发生了,我们再来补救吗?
匿名无罪,只是匿名之下的阴暗面太多,那么在匿名和维护社会安全上,你会怎么选择呢?