Ultima modifica da un moderatore:
Risposta alle principali domande e miti su TOR:
1.Mito: Ma Tor è stato creato dal governo americano, deve avere una backdoor!
Risposta: Tor non è stato scritto dal governo. Tor è stato scritto da Roger Dingledine, a cui si è aggiunto in seguito Nick Matthewson, con il finanziamento del laboratorio di ricerca della Marina attraverso Paul Syverson. L'affermazione che deve quindi contenere una backdoor non regge per i seguenti motivi: Prima di tutto, il governo degli Stati Uniti usa Tor per nascondere le proprie attività online; se avesse una backdoor, non sarebbe sicuro per loro usarla. Si potrebbe sostenere che potrebbero creare i propri sistemi di anonimato, ma questo non sarebbe efficace. Se il governo costruisse il proprio sistema e si lasciasse usare solo da solo, allora TUTTO il traffico è noto per essere automaticamente traffico CIA, NSA, FBI, il che lo rende inutile. Non bisogna dimenticare che non si può essere anonimi da soli, ma è necessario che anche i colleghi anonimi formino una folla in cui confondersi. Più persone si gettano nella mischia, più difficile è trovare un individuo.
2.Mito: Tor mi metterà in una lista d'osservazione!
Risposta: L'affermazione secondo cui l'uso di Tor ti mette in una lista di controllo in una società occidentale non ha alcun senso. Non perché non accadrà mai, ma perché sarebbe inutile nel caso in cui lo facessero.
L'analisi mostra che la rete Tor ottiene fino a 2 milioni di utenti al giorno. È una lista enorme, abbastanza grande da rendere impossibile una sorveglianza mirata, e i governi dovrebbero fare affidamento su una sorveglianza di massa. Ehi, sorveglianza di massa, non stava già accadendo da qualche parte? Oh sì, si chiama internet! L'unico posto in cui l'uso di Tor potrebbe essere pericoloso è in nazioni con un governo oppressivo, ma in questo caso una VPN è altrettanto probabile che susciti sospetti e ti faccia entrare nella "lista". Anche con Tor, si può cercare di evitare di essere scoperti usando i relè ponte, che sono nodi di ingresso che non sono elencati pubblicamente. Infine, vale la pena di considerare da che cosa l'uso di Tor vi protegge e se questo è più importante di quello che la lista teorica vi esporrebbe. È un po' come pensare che l'uso di HTTPS vi porterà in una lista, quindi non utilizzerete più HTTPS per proteggervi.
3.Mito: Ma i nodi di uscita possono vedere il mio traffico e farci cose spaventose!
Risposta: Questo è parzialmente vero, anche se il vostro traffico è criptato mentre entrate e viaggiate attraverso la rete Tor, la connessione tra il sito web e il vostro nodo di uscita non lo è. Se dovessi effettuare il login in una pagina web utilizzando HTTP, un nodo di uscita potrebbe intercettare la mia password. E mentre questo era un grosso problema in passato, l'adozione massiccia dell'HTTPS, che è passata dal 67% di tutti i siti web nel 2017 al 77% nel 2018, ha reso impossibile la maggior parte delle manipolazioni effettuate dal nodo di uscita, in quanto il nodo di uscita vedrà solo un pacchetto HTTPS criptato che deve inoltrare, quindi nemmeno lui sa cosa contiene il pacchetto.
4.Mito: Ma il governo può creare un sacco di nodi per de-anonimizzare la gente!
Risposta: Anche se Tor non è un proiettile d'argento, la creazione di molti nodi è un attacco molto improbabile, che può essere rilevato in modo abbastanza banale, o diventare MOLTO costoso, a seconda di come viene fatto. Prima di tutto per de-anonimizzare davvero qualcuno in questo modo, è necessario avere almeno il nodo di ingresso e il nodo di uscita di un utente Tor. Ricordate quando vi ho spiegato sopra che i nodi di ingresso vengono scelti una volta sola, e vengono mantenuti per 2/3 mesi? Questo è esattamente il motivo: se il governo vuole diventare il vostro nodo d'ingresso, ha la possibilità di essere scelto da voi su oltre 6000 nodi. Se sono fortunato, e scelgo un nodo non governativo, il governo dovrà mantenere tutti i suoi nodi in funzione (che costa un sacco di soldi) per almeno due mesi prima di avere un'altra possibilità di diventare il vostro nodo di ingresso. Inoltre ci vogliono almeno 8 giorni, un massimo di 68 giorni prima di raggiungere la piena velocità, per diventare un nodo di Guardia, come vedete, questo è un modo lento, costoso, e in generale un modo molto poco attraente di trovare un utente Tor. Anche se sì, PUÒ farlo, non avrebbe senso per loro farlo, perché ci sono molti attacchi là fuori che sono molto più economici da eseguire e provare. Nel Tor puzza di diapositive che sono trapelate nei documenti di Snowden, è stato dichiarato che potrebbero de-anonimizzare una piccolissima frazione di persone, ma non possono essere usate per colpire persone specifiche su richiesta. il che rende questo costoso attacco, non ne vale la pena in uno scenario di vita reale.
5.Mito: Ma Tor è usato dai criminali solo su questa cosa chiamata la rete oscura, non dovremmo sostenerlo!
Risposta: In primo luogo, mentre Tor può essere utilizzato per raggiungere siti web anonimi sul "web oscuro", la gran parte del traffico Tor viene utilizzato per raggiungere siti web normali. Anche se alcune persone sono convinte che Tor sia un'abilitazione per i pedofili e che dovrebbe essere eliminata, questa non è una soluzione e non aiuterà in alcun modo. Se si toglie Tor, tutto ciò che accadrebbe è che i criminali utilizzerebbero un altro mezzo (illegale) per condurre i loro affari, dove un attivista in Iran potrebbe essere ucciso e torturato senza la protezione di Tor. Tor può essere una spada a due tagli, ma il lato dei benefici per la società è molti di più del lato criminale.
6.Mito: Ho sentito che l'attacco XYZ può rompere il Tor!
Risposta: Come ho detto sopra, Tor non è un proiettile d'argento, ci possono essere attacchi là fuori che potrebbero essere usati per cercare di de-anonimizzare gli utenti Tor. Ma attualmente è il migliore che abbiamo, e man mano che Tor cresce, con ogni utente e ogni nuovo nodo, gli attacchi diventano più difficili e più costosi da eseguire. Tutto quello che sappiamo attualmente è che nel 2013, come parte delle perdite di Snowden, la NSA non è stata in grado di tracciare in modo efficace gli utenti Tor.
7.Mito: Ma che dire di quel mercato della droga, il proprietario è stato arrestato? È stato ospitato su Tor!
Risposta: È vero che ci sono alcuni individui che abusano di Tor per nascondere siti web illegali, e molti sono stati sorpresi a farlo. Tuttavia, in ogni singolo caso pubblico di un attacco, Tor non è stata la causa. Bisogna capire che anche se la connessione è anonima, altre cose potrebbero non esserlo. Tor non è sicuro al 100%, non renderà il vostro server "inattaccabile". I bug del software esistono, l'infiltrazione del governo è ancora possibile, e semplicemente l'errore dell'utente è abbastanza probabile. Queste tattiche sono più economiche, e spesso anche molto più facili da eseguire rispetto a qualsiasi attacco diretto a Tor stesso.
8.Mito: Ma Tor è finanziato dal governo degli Stati Uniti!
Risposta: Questo è parzialmente vero. Mentre la maggior parte dei finanziamenti attuali del progetto Tor proviene dal governo degli Stati Uniti, la gente deve prima rendersi conto che, ancora una volta, il governo stesso usa Tor, quindi ha senso per loro finanziare il suo sviluppo. In secondo luogo, il governo degli Stati Uniti è enorme, e ha perfettamente senso che una parte del governo stia cercando di migliorarlo, mentre l'altra parte vuole romperlo. Inoltre, vale la pena ricordare che il progetto Tor sta cercando attivamente di diversificare le loro fonti di finanziamento, con successo. Nel 2015 l'85% dei finanziamenti di Tor è venuto dal governo americano, è sceso al 76% nel 2016, e addirittura al 51% nel 2017. Volete contribuire a diversificare ulteriormente i finanziamenti di Tor? Potete farlo accedendo alla loro pagina web, donandovi per aiutare il loro importante lavoro. Vale anche la pena di menzionare che tutto il codice Tor è completamente FOSS, tutte le discussioni e le riunioni, tutte le ricerche, tutto ciò che il progetto Tor fa è trasparente e disponibile per chiunque online; ciò significa che se il progetto Tor dovesse fare qualcosa di sbagliato, la gente se ne accorgerebbe.
9. Quindi stai dicendo che Tor è indistruttibile?
No, Tor, come ho detto prima, non è un proiettile d'argento. Anche se attualmente è la migliore opzione che abbiamo, ci sono alcuni attacchi che potrebbero essere usati contro Tor (come gli attacchi di correlazione del traffico) per cercare di de-anonimizzare i suoi utenti. Per questo, tuttavia, si possono adottare altre misure per proteggersi. Quello che il Tor è però, è un modo per rendere la sorveglianza di massa così costosa, così dura, che i governi dovranno ora ridimensionare e concentrare le loro risorse su obiettivi specifici, scaricando essenzialmente la sorveglianza di massa. E questo è il vero potere di Tor.
- Fonte e traduzione: https://write.privacytools.io/my-thoughts-on-security/slicing-onions-part-1-myth-busting-tor
