■王波

如何安全使用Tor網(wǎng)絡(luò)

■王波

Tor是互聯(lián)網(wǎng)上用于保護(hù)您隱私最有力的工具之一，但是時(shí)至今日仍有許多人往往認(rèn)為Tor是一個(gè)終端加密工具。事實(shí)上，Tor是用來(lái)匿名瀏覽網(wǎng)頁(yè)和郵件發(fā)送（并非是郵件內(nèi)容加密）的。

Tor的工作原理是這樣的

當(dāng)你通過(guò)Tor發(fā)送郵件時(shí)，tor會(huì)使用一種稱為“洋蔥路由”的加密技術(shù)通過(guò)網(wǎng)絡(luò)隨機(jī)生成的過(guò)程傳送郵件。這有點(diǎn)像在一疊信中放了一封密信。網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都會(huì)解密消息（打開(kāi)的最外信封），然后發(fā)送內(nèi)部加密的內(nèi)容（內(nèi)密封的信封）至其下一個(gè)地址。這導(dǎo)致如果單看一個(gè)節(jié)點(diǎn)是看不了信的全部?jī)?nèi)容，并且該消息的傳送路徑難以追蹤。

如果你只是使用Tor作為代理來(lái)訪問(wèn)你經(jīng)常上的網(wǎng)絡(luò)，就有點(diǎn)復(fù)雜。因?yàn)樵谀承r(shí)候，你的流量需要經(jīng)過(guò)一個(gè)Tor“出口節(jié)點(diǎn)”，該節(jié)點(diǎn)負(fù)責(zé)把你的數(shù)據(jù)包傳送到網(wǎng)絡(luò)上。

您的流量很容易在這些出口節(jié)點(diǎn)被窺探。

這個(gè)問(wèn)題有多嚴(yán)重？

瑞典安全研究人員“Chloe”制定了巧妙的技術(shù)來(lái)欺騙被監(jiān)聽(tīng)的節(jié)點(diǎn)。她建立了一個(gè)蜜罐網(wǎng)站，并使用了一個(gè)貌似合法的域名并進(jìn)行網(wǎng)頁(yè)設(shè)計(jì)。作為特定測(cè)試，她以比特幣為主題。然后使用不同的賬戶密碼組合通過(guò)不同的Tor出口節(jié)點(diǎn)登陸這個(gè)蜜罐網(wǎng)站。

然后，她測(cè)試了一個(gè)月。發(fā)現(xiàn)任何被監(jiān)視的節(jié)點(diǎn)都竊取了她的用戶名和密碼，并嘗試使用它。她記錄下蜜罐網(wǎng)站上出現(xiàn)的很多登錄嘗試。由于每個(gè)節(jié)點(diǎn)的密碼是唯一的，因此Chloe可以找到到底哪些節(jié)點(diǎn)上鉤了。

該實(shí)驗(yàn)的結(jié)果很有趣。約1400個(gè)退出記錄，16個(gè)嘗試竊取密碼和登錄。這個(gè)數(shù)字在表面看起來(lái)并不多，但是卻讓人不得不注意。

首先，這只是選了幾個(gè)和比特幣有關(guān)的節(jié)點(diǎn)，換句話說(shuō)，實(shí)際上有更多的節(jié)點(diǎn)被監(jiān)聽(tīng)。說(shuō)不定那些雄心勃勃的罪犯正隱藏在暗處等待著。

其次，僅僅一個(gè)監(jiān)聽(tīng)的出口節(jié)點(diǎn)造成的危害就很大。安全顧問(wèn)Dan Egerstad測(cè)試了5個(gè)監(jiān)聽(tīng)的Tor出口節(jié)點(diǎn)，很快發(fā)現(xiàn)自己的登錄憑據(jù)已經(jīng)登錄上了為數(shù)千臺(tái)世界各地的服務(wù)器，其中受害的包括了澳大利亞，印度，伊朗，日本，俄羅斯使館。這里面伴隨著大量敏感信息。

Egerstad估計(jì)通過(guò)他節(jié)點(diǎn)的95%流量是未加密的，給他機(jī)會(huì)來(lái)訪問(wèn)未加密的內(nèi)容。在網(wǎng)上發(fā)出這個(gè)結(jié)果后，Egerstad被瑞典警察搜查扣押。

這只不過(guò)是5個(gè)監(jiān)聽(tīng)的節(jié)點(diǎn)而已！Chloe曾報(bào)道Tor的半集中式系統(tǒng)清理監(jiān)聽(tīng)節(jié)點(diǎn)并沒(méi)有完全將問(wèn)題解決，他們依舊窺探著！

如果您在使用Tor瀏覽網(wǎng)頁(yè)，你發(fā)送的任何郵件都會(huì)很容易在您的出口節(jié)點(diǎn)窺探。就這點(diǎn)為不擇手段的人提供了機(jī)會(huì)將出口節(jié)點(diǎn)作為間諜活動(dòng)，盜竊或勒索。

如何安全使用Tor

1、使用暗網(wǎng)

與出口節(jié)點(diǎn)保持安全距離的最簡(jiǎn)單的方法就是不使用它們：堅(jiān)持使用Tor本身的隱匿服務(wù)，你可以確保所有的通信都是加密的，無(wú)需跨越更多的互聯(lián)網(wǎng)。但是這種方式有時(shí)很有效。暗網(wǎng)只是互聯(lián)網(wǎng)中眾多網(wǎng)站的一小部分。

2、使用HTTPS

另一種方式使Tor的更安全的方法是增強(qiáng)終端到終端的加密協(xié)議。其中最有用的一般是HTTPS，允許你在加密模式下瀏覽網(wǎng)站。Tor網(wǎng)站默認(rèn)支持HTTPS的功能。在你發(fā)送任何敏感信息之前檢查一下HTTPS按鈕是否為綠色。

3、使用匿名服務(wù)

您也可以使用不會(huì)記錄活動(dòng)的網(wǎng)站和服務(wù)提高你的安全。例如，雖然谷歌通過(guò)你平時(shí)的搜索活動(dòng)找出你是誰(shuí)。但是他們不是用于任何惡意目的，僅僅只是作為其業(yè)務(wù)的一部分。因此，您需要使用像Duck Duck Go瀏覽器之類的，它有一個(gè)服務(wù)功能就是不會(huì)保留任何關(guān)于你信息。你也可以結(jié)合Cryptocat加密聊天功能進(jìn)行私人會(huì)話。

4、避免個(gè)人信息

避免個(gè)人信息泄漏的最安全的方式就是在起先時(shí)候就避免發(fā)送信息。使用Tor瀏覽固然不錯(cuò)，但也要最大程度地避免信息上傳。只能盡可能避免聊天、發(fā)送郵件和上論壇。

5、避免登錄

最后，避免瀏覽需要你登錄的網(wǎng)站。通過(guò)Tor瀏覽reddit就存在這潛在的危險(xiǎn)，因?yàn)樗藶g覽、發(fā)布和評(píng)論，讓攻擊者很容易獲取到個(gè)人信息。你也應(yīng)該注意避免像Facebook知道你的身份后把它買給廣告商理事之類的事。Tor不是魔術(shù)，并不能保護(hù)你，除非你不在乎你的信息被別人知道。