tor गुमनामी नेटवर्क डार्क वेब


Tor के बारे में विभिन्न गोपनीयता हलकों में बहुत गलत जानकारी दी जा रही है। यह लेख कुछ जाँच करेगा तथ्यों टोर के बारे में और आकलन करें कि क्या यह अचूक गोपनीयता उपकरण है जो इसे कुछ के द्वारा बनाया गया है। [अपडेट किया गया अक्टूबर 2019]

ऐसे लोगों की तादाद बढ़ रही है जो ऑनलाइन बेनामी संपत्ति की तलाश में किसी को भी टो करने की सलाह देते हैं। यह सिफारिश अक्सर सबूतों के पहाड़ों की अनदेखी करती है जो बताती है कि टोर "गोपनीयता उपकरण" नहीं है जो इसे बनाया गया है.

कोई भी गोपनीयता उपकरण आलोचना या जांच से ऊपर नहीं है, और प्रत्येक के पास पेशेवरों और विपक्ष हैं। दुर्भाग्य से, टोर ने हाल के वर्षों में ऐसे लोगों के बीच एक पंथ की तरह पीछा किया है जो इसे अचूक बताते हैं। टोर की ईमानदार आलोचना अक्सर "एफयूडी" और विज्ञापन-होमिनम हमलों के आरोपों के साथ होती है, ताकि सामूहिक समूहवाद को बाधित न किया जा सके।.

इस तथ्य को कभी भी ध्यान में न रखें कि टॉर नेटवर्क पेडोफाइल्स और ड्रग डीलरों के लिए एक लोकप्रिय हैंगआउट है - कानून प्रवर्तन के साथ-साथ ये प्रकार आकर्षित करते हैं। अब, टॉर को कुछ प्रकार के घास-मूल गोपनीयता उपकरण के रूप में विपणन किया जा रहा है जो आपको सरकारी निगरानी और विभिन्न बुरे अभिनेताओं से बचाएगा.

रोजर डिंगलडाइन (टोर सह-संस्थापक) और अन्य प्रमुख टोर डेवलपर्स के अनुसार, टोर को व्यापक रूप से अपनाने के लिए लोगों (यूएस सरकार के बाहर) को प्राप्त करना अमेरिकी सरकार की अपने उद्देश्यों के लिए टोर का उपयोग करने की क्षमता के लिए बहुत महत्वपूर्ण है। इस लक्ष्य में, वे काफी हद तक टॉर के साथ विभिन्न गोपनीयता हलकों में व्यापक रूप से पदोन्नत होने में सफल रहे हैं.

लेकिन टो वास्तव में एक सुरक्षित और भरोसेमंद गोपनीयता उपकरण है?

यहाँ तथ्य हैं.

Contents

1. तोर से समझौता किया जाता है (और अनाम नहीं)

सरकारें Tor उपयोगकर्ताओं को डी-एनोनिज़म कर सकती हैं जो एक अन्य प्रसिद्ध बिंदु है जिसे वर्षों से स्वीकार किया जाता है.

2013 में वाशिंगटन पोस्ट ने उन रिपोर्टों का हवाला देते हुए एक लेख को तोड़ दिया जो अमेरिकी सरकारी एजेंसियों को पता था कि कैसे "विस्तृत पैमाने" पर टोर उपयोगकर्ताओं को अज्ञात करें. वाशिंगटन पोस्ट से:

2006 के बाद से, 49 पेज के शोध पत्र के अनुसार, केवल "टॉर" शीर्षक से, एजेंसी ने कई तरीकों पर काम किया है, जो सफल होने पर एनएसए की अनुमति देगा। अनाम ट्रैफ़िक को "व्यापक पैमाने पर" - प्रभावी ढंग से संचार को देखने के रूप में वे अंदर प्रवेश करने की कोशिश करने के बजाय, टोर सिस्टम से बाहर निकलते हैं। एक प्रकार का हमला, उदाहरण के लिए, अपने कंप्यूटर पर घड़ी के समय में मिनट के अंतर से उपयोगकर्ताओं की पहचान करेगा.

सरकारी एजेंसियों द्वारा शोधकर्ताओं को "तोड़ने" के लिए या किसी तरह से टॉर का शोषण करने वाले उपयोगकर्ताओं का अनादर करने के लिए सहयोग करने की भी खबरें हैं:

फिर जुलाई में, ब्लैक हैट हैकिंग सम्मेलन में एक बहुप्रतीक्षित बातचीत हुई अचानक रद्द कर दिया गया. अलेक्जेंडर वोलिनकिन और माइकल मैककॉर्ड, कार्नेगी मेलन यूनिवर्सिटी (सीएमयू) के शिक्षाविदों ने खुलासा किया कि कैसे $ 3,000 का किट हो सकता है। उनके उपयोगकर्ताओं के साथ-साथ टोर छिपी सेवाओं के आईपी पतों को अनमास्क करें.

इसके विवरण ने उस महीने के शुरू में टॉर प्रोजेक्ट ने जो हमला किया था, वह चौंकाने वाला था। वोल्किन और मैककॉर्ड का तरीका होगा के माध्यम से टोर उपयोगकर्ताओं का पता लगाना हाल ही में उपयोग का खुलासा किया कमजोरियों और "मुट्ठी भर शक्तिशाली सर्वर.“इसके शीर्ष पर, जोड़ी ने दावा किया कि उनके पास है जंगल में हुए हमलों का परीक्षण किया.

$ 3,000 मूल्य के हार्डवेयर के लिए, कार्नेगी मेलन की यह टीम टोर उपयोगकर्ताओं को प्रभावी रूप से "अनमास्क" कर सकती है। और यह 2015 में था.

2016 में, एक अमेरिकी मामले में अधिक जानकारी सामने आई कि कैसे अमेरिकी संघीय सरकार ने सॉफ्टवेयर इंजीनियरों को प्रभावी रूप से टॉर और डी-बेनामी उपयोगकर्ताओं को क्रैक करने के लिए काम पर रखा।.

टॉर काम नहीं करता है

ARS Technica ने फरवरी 2016 में इस मामले पर भी चर्चा की जहां उन्होंने नोट किया:

वाशिंगटन में एक संघीय न्यायाधीश ने अब पुष्टि की है कि क्या संदेह किया गया है: कि कार्नेगी मेलन विश्वविद्यालय (सीएमयू) के सॉफ्टवेयर इंजीनियरिंग संस्थान के शोधकर्ताओं को 2014 में तोर को तोड़ने के लिए शोध करने के लिए संघीय सरकार द्वारा काम पर रखा गया था।.

अगले वर्ष, 2017 में, अधिक सबूत सामने आए कि एफबीआई यह कैसे देख सकता है कि आप टोर पर क्या कर रहे हैं.

ऐसे शोधकर्ता भी हैं, जिन्होंने 81% जंगली में टोर उपयोगकर्ताओं को डी-एनोनिज़म करने की अनुमति देते हुए हमलों को तैयार किया। यह लेख 2014 में कार्नेगी मेलन द्वारा किए गए शोध से पहले सामने आया था.

तोर हमला

और वहाँ अधिक है ...

2017 के कोर्ट केस से साबित होता है कि एफबीआई टोर यूजर्स को बेनामी करार दे सकता है

वह साधन जिसके द्वारा FBI Tor यूजर्स को डी-अनिमाइज करने में सक्षम है और उनके वास्तविक आईपी पते की खोज करें वर्गीकृत जानकारी बनी हुई है. 2017 के एक अदालत के मामले में, एफबीआई ने यह बताने से इनकार कर दिया कि यह कैसे करने में सक्षम था, जो अंततः टॉर नेटवर्क पर पीडोफाइल के कारण मुक्त हो गया। टेक टाइम्स से:

इस मामले में, FBI ने बेनामी टॉर वादों का उल्लंघन करने में कामयाबी हासिल की और डार्क वेब से सबूत इकट्ठा करने के लिए इस्तेमाल किए जाने वाले साधन एक संवेदनशील मामला बनाते हैं। तकनीक एफबीआई के लिए मूल्यवान है, इसलिए सरकार इस कोड का उपयोग स्रोत कोड को जारी करने के बजाय इस मामले में समझौता करेगी.

“सरकार को अब खुलासे के बीच चयन करना होगा वर्गीकृत जानकारी और इसके अभियोग को खारिज कर दिया, ”संघीय अभियोजक एनेट हेस ने शुक्रवार को एक अदालत में दाखिल किया.

बिल्ली थैले से बाहर है। एफबीआई (और संभवतः अन्य सरकारी एजेंसियां) टोर उपयोगकर्ताओं को डी-एनोनाइज करने में पूरी तरह से सक्षम साबित हुई हैं। ज्यादातर टॉर प्रमोटर इन अलग-अलग मामलों और स्पष्ट प्रभाव को नजरअंदाज करते हैं.

2. टॉर डेवलपर्स अमेरिकी सरकारी एजेंसियों के साथ सहयोग कर रहे हैं

कुछ टोर उपयोगकर्ता यह जानकर हैरान हो सकते हैं कि टोर डेवलपर्स अमेरिकी सरकार की एजेंसियों के साथ सीधे काम कर रहे हैं। आखिरकार, टॉर को अक्सर बिग ब्रदर के खिलाफ "अनाम" रहने में मदद करने के लिए एक घास-मूल गोपनीयता प्रयास के रूप में प्रचारित किया जाता है.

एक पत्रकार एफओआईए अनुरोधों के माध्यम से इस सहयोग को स्पष्ट करने में सक्षम था, जिससे कई दिलचस्प आदान-प्रदान हुए.

यहाँ एक ईमेल पत्राचार है जिसमें रोजर डिंगलडाइन के साथ सहयोग पर चर्चा की गई है DOJ (न्याय विभाग) और एफबीआई (संघीय जांच ब्यूरो), जबकि संदर्भित "पिछले दरवाजे" इन्सटॉल हो रहा है.

fbi tor ब्राउज़र

आप इस पत्राचार से अधिक विवरण यहां देख सकते हैं.

नीचे एक और एक्सचेंज में, Tor डेवलपर स्टीवन मर्डोक एक भेद्यता की खोज की जिस तरह से टोर टीएलएस एन्क्रिप्शन को संभाल रहा था। इस भेद्यता ने टॉर उपयोगकर्ताओं को डी-अनिमाइज़ करना आसान बना दिया, और इस तरह, यह सरकारी एजेंसियों के लिए मूल्यवान होगा। स्टीवन ने दस्तावेज को आंतरिक रखने का सुझाव दिया,

... कुछ भी जारी करने में देरी करना अच्छा हो सकता है जैसे good यह हमला बुरा है; मुझे उम्मीद है कि इसे ठीक करने से पहले किसी को इसका एहसास नहीं होगा '.

आठ दिन बाद, नीचे दिए गए ईमेल के आधार पर, रोजर डिंगलडाइन ने दो सरकारी एजेंटों को इस भेद्यता के बारे में सचेत किया:

टॉर सेफ है

जबकि इन मुद्दों की गंभीरता के रूप में असहमति है, एक बात स्पष्ट है.

टॉर डेवलपर्स अमेरिकी सरकार के साथ मिलकर काम कर रहे हैं.

एफओआईए दस्तावेजों को एकत्र करने वाले पत्रकार का यह भी सुझाव है कि, "टोर निजी तौर पर जनता को सचेत करने से पहले सुरक्षा कमजोरियों के लिए संघीय सरकार को सुझाव देते हैं।" ऐसा न करें वास्तव में इस बात से सहमत इस कथन या इस व्यक्ति द्वारा किए गए कुछ अन्य निष्कर्षों के साथ। बहरहाल, द बड़ा मुद्दा रहता है टॉर डेवलपर्स और अमेरिकी सरकारी एजेंसियों के बीच घनिष्ठ सहयोग.

आप यहाँ टोर डेवलपर्स और अमेरिकी सरकारी एजेंसियों के बीच कई आदान-प्रदान देख सकते हैं। (दस्तावेजों की बैकअप प्रति)

और अगर आप वास्तव में गोता लगाना चाहते हैं, तो यहां पूर्ण एफओआईए कैश देखें.

3. जब आप टॉर का उपयोग करते हैं, तो आप एक चमक स्टिक की तरह बाहर खड़े होते हैं

एल्डो किम से मिलें। वह हार्वर्ड का छात्र था जिसने मान लिया था कि बम की धमकियाँ भेजने पर टो उसे "गुमनाम" बना देगा.

तोर फेलजब आप टॉर का उपयोग करते हैं, तो आप भीड़ से बाहर खड़े होंगे - ठीक एल्डो किम की तरह.

किम को यह महसूस नहीं हुआ कि जब वह विश्वविद्यालय के नेटवर्क पर टोर से जुड़ा था, तो वह ऐसा करेगा एक च **** चमक छड़ी की तरह बाहर खड़े हो जाओ.

एफबीआई और हार्वर्ड में नेटवर्क प्रवेश आसानी से किम को इंगित करने में सक्षम थे क्योंकि वह उस समय के आसपास टॉर का उपयोग कर रहा था जब टॉर नेटवर्क के माध्यम से बम धमकी ईमेल भेजा गया था। आपराधिक शिकायत से:

हार्वर्ड विश्वविद्यालय यह निर्धारित करने में सक्षम था कि, ऊपर वर्णित ई-मेल संदेशों की प्राप्ति के लिए अग्रणी कई घंटों में, ELDO KIM ने हार्वर्ड के वायरलेस नेटवर्क का उपयोग करके टीओआर को एक्सेस किया।.

मामला समाप्त.

एल्डो किम सिर्फ कई लोगों में से एक है, जो झूठ में खरीदे गए लोगों के कई उदाहरण हैं जो टॉर कंबल ऑनलाइन गुमनामी प्रदान करते हैं - और बाद में इसकी कीमत चुकाई.

अगर टॉर नेटवर्क का उपयोग करने से पहले किम ने एक पुल या वीपीएन का उपयोग किया था, तो वह शायद इसके साथ दूर हो गया होगा (हम इसे नीचे चर्चा करेंगे).

4. कोई भी टोर नोड्स को संचालित कर सकता है और आपके डेटा और आईपी पते को एकत्र कर सकता है

टॉर के कई समर्थकों का तर्क है कि इसकी विकेंद्रीकृत प्रकृति एक प्रमुख लाभ है। जबकि विकेंद्रीकरण के वास्तव में फायदे हैं, जोखिम भी हैं। अर्थात्, कोई भी टोर नोड्स को संचालित कर सकता है जिसके माध्यम से आपके ट्रैफ़िक को रूट किया जा रहा है.

भोले-भाले Tor उपयोगकर्ताओं से डेटा एकत्र करने के लिए Tor नोड्स स्थापित करने वाले लोगों के कई उदाहरण हैं जिन्होंने सोचा कि वे सुरक्षित और सुरक्षित होंगे.

उदाहरण के लिए 22 वर्षीय स्वीडिश हैकर डैन एगरस्टैड को लें। एगरस्टेड ने दुनिया भर में कुछ टॉर नोड्स स्थापित किए और कुछ ही महीनों में बड़ी मात्रा में निजी डेटा एकत्र किए:

समय में, एगरस्टेड ने 1000 उच्च-मूल्य वाले ईमेल खातों तक पहुंच प्राप्त की। वह बाद में अपराधियों, जासूसों या सिर्फ जिज्ञासु किशोरों के लिए इंटरनेट पर संवेदनशील ईमेल लॉगिन और पासवर्ड के 100 सेट अंतर-सरकारी, गैर सरकारी संगठन और उच्च मूल्य वाले कॉर्पोरेट ईमेल पर उपयोग करने के लिए पोस्ट करेगा.

हर किसी के होठों पर सवाल था: उसने यह कैसे किया? उत्तर एक सप्ताह से अधिक समय बाद आया और कुछ हद तक विरोधी जलवायु था। 22 वर्षीय स्वीडिश सुरक्षा सलाहकार ने दुनिया भर के डेटा केंद्रों में पाँच कंप्यूटरों पर टोर - नामक मुफ्त, ओपन-सोर्स सॉफ़्टवेयर स्थापित किया था और उसकी निगरानी की। विडंबना यह है कि टोर को खुफिया एजेंसियों, निगमों और कंप्यूटर हैकरों को आभासी - और भौतिक लोगों के निर्धारण से रोकने के लिए डिज़ाइन किया गया है जो इसे पसंद करते हैं.

लोगों को लगता है कि वे केवल इसलिए संरक्षित हैं क्योंकि वे टोर का उपयोग करते हैं। न केवल उन्हें लगता है कि यह एन्क्रिप्टेड है, बल्कि वे यह भी सोचते हैं कि can कोई मुझे ढूंढ नहीं सकता ’.

यह नहीं मानने के लिए कि सरकारी एजेंसियां ​​अभी ऐसा कर रही हैं, वह बहुत भोली होगी.

इस मामले में टिप्पणी करते हुए, सुरक्षा सलाहकार सैम स्टोवर ने टो नोड्स के माध्यम से किसी को यातायात के जोखिम पर जोर दिया:

घरेलू, या अंतरराष्ट्रीय। । । यदि आप खुफिया जानकारी एकत्र करना चाहते हैं, तो निश्चित रूप से वहाँ डेटा होना चाहिए। (टोर का उपयोग करते समय) अगर चीन का कोई आदमी आपका सारा ट्रैफ़िक देख रहा है, या जर्मनी का कोई लड़का, या इलिनोइस का कोई लड़का देख रहा है तो आपको कुछ पता नहीं है। आप नहीं जानते.

वास्तव में, यह वही है कि विकिलिक्स की शुरुआत कैसे हुई। संस्थापक बस एक लाख से अधिक निजी दस्तावेजों को बंद करने के लिए टोर नोड्स की स्थापना करते हैं। वायर्ड के अनुसार:

विकीलीक्स, विवादास्पद व्हिसलब्लोइंग साइट, जो सरकार और निगमों के रहस्यों को उजागर करती है, संगठन के संस्थापक की एक नई प्रोफ़ाइल के अनुसार, इसके एक कार्यकर्ता द्वारा एक इंटरनेट ईवसड्रॉपिंग ऑपरेशन के माध्यम से प्राप्त दस्तावेजों के कैश के साथ बूटस्ट्रैप किया गया है।.

कार्यकर्ता ने एक लाख से अधिक दस्तावेजों को छीना, क्योंकि उन्होंने टॉर के माध्यम से इंटरनेट पर यात्रा की, जिसे "द ऑनियन राउटर" के रूप में भी जाना जाता है, जो एक परिष्कृत गोपनीयता उपकरण है जो उपयोगकर्ताओं को गुमनाम रूप से इंटरनेट के माध्यम से नेविगेट और दस्तावेज भेजने देता है।.

क्या सरकारें थोक डेटा संग्रह के लिए टोर नोड्स चला रही हैं?

एगरस्टेड यह भी सुझाव देता है कि टोर नोड्स को शक्तिशाली एजेंसियों (सरकारों) द्वारा विशाल संसाधनों के साथ नियंत्रित किया जा सकता है:

अपनी उत्पत्ति को छिपाने के लिए टॉर का उपयोग करने वाले हैकर्स के अलावा, यह प्रशंसनीय है कि खुफिया सेवाओं ने टॉर नेटवर्क से डेटा को सूँघने के लिए दुष्ट निकास नोड्स स्थापित किए थे।.

“अगर आप वास्तव में देखते हैं कि इन टोर नोड्स की मेजबानी कहां की जाती है और वे कितने बड़े हैं, इनमें से कुछ नोड्स में हर महीने हजारों डॉलर खर्च होते हैं केवल इसलिए होस्ट करने के लिए कि वे बहुत सारे बैंडविड्थ का उपयोग कर रहे हैं, वे भारी शुल्क वाले सर्वर और इतने पर हैं, ”एगरस्टेड कहते हैं। "कौन इसके लिए भुगतान करेगा और गुमनाम होगा?"

2014 में वापस, सरकारी एजेंसियों ने "ऑपरेशन Onymous" के रूप में जाना जाता है में कई अलग टोर रिले को जब्त कर लिया। टो प्रोजेक्ट ब्लॉग से:

पिछले कुछ दिनों में, हमने रिपोर्ट प्राप्त की और कहा कि सरकारी अधिकारियों द्वारा कई टोर रिले जब्त किए गए थे। हमें नहीं पता है कि सिस्टम क्यों जब्त किए गए थे, न ही हमें जांच के तरीकों के बारे में कुछ भी पता नहीं है जो उपयोग किए गए थे। विशेष रूप से, ऐसी रिपोर्टें हैं कि Torservers.net की तीन प्रणालियां गायब हो गईं और एक स्वतंत्र रिले ऑपरेटर द्वारा एक और रिपोर्ट है.

इस मामले पर टिप्पणी करते हुए, ARS Technica ने 2014 में नोट किया:

4 जुलाई को, टोर प्रोजेक्ट ने एक समूह की पहचान की टॉर रिले जो सक्रिय रूप से उपयोगकर्ताओं की गुमनामी को तोड़ने की कोशिश कर रहे थे नेटवर्क पर अपने ट्रैफ़िक से जुड़े टोर प्रोटोकॉल हेडर में परिवर्तन करके.

बदमाश रिले 30 जनवरी 2014 को स्थापित किए गए थे - ब्लेक बेंटहॉल के कथित तौर पर घोषणा करने के दो हफ्ते बाद ही उन्होंने सिल्क रोड 2.0 पर नियंत्रण कर लिया था और कुछ ही समय बाद होमलैंड सिक्योरिटी के अंडरकवर अधिकारी, जिन्होंने सिल्क रोड 2.0 में घुसपैठ की, को साइट एडमिनिस्ट्रेटर बनने के लिए भुगतान मिलना शुरू हो गया। टोर प्रोजेक्ट लीडर रोजर डिंगलडाइन ने जुलाई में लिखा था, "रिले में न केवल कुछ यूजर्स को डी-एनोलाइज किया जा सकता था, बल्कि उन्होंने" शायद यह जानने की कोशिश की कि छिपे हुए सर्विस डिस्क्रिप्टर को किसने प्रकाशित किया था। 30 ब्लॉग पोस्ट.

गुणवत्ता नियंत्रण नहीं!

यहां मूल मुद्दा यह है कि टोर रिले ऑपरेटरों को वीटो करने के लिए कोई वास्तविक गुणवत्ता नियंत्रण तंत्र नहीं है। न केवल रिले स्थापित करने के लिए कोई प्रमाणीकरण तंत्र नहीं है, बल्कि ऑपरेटर खुद भी गुमनाम रह सकते हैं.

यह मानते हुए कि कुछ टोर नोड्स डेटा संग्रह उपकरण हैं, यह मानना ​​भी सुरक्षित होगा कि कई अलग-अलग सरकारें डेटा संग्रह में शामिल हैं, जैसे कि चीनी, रूसी और अमेरिकी सरकारें.

इसे भी देखें: टो नेटवर्क एग्जिट नोड्स जो गुजरते हुए ट्रैफिक को सूँघते पाए जाते हैं

5. दुर्भावनापूर्ण टोर नोड्स मौजूद हैं

यदि सरकार द्वारा नियंत्रित टोर नोड्स पर्याप्त खराब नहीं हैं, तो आपको दुर्भावनापूर्ण टोर नोड्स पर भी विचार करना होगा.

2016 में शोधकर्ताओं के एक समूह ने "HOnions: Towards Detection and Identification of Misbehaving Tor HSDirs" नाम से एक पेपर प्रस्तुत किया, जिसमें बताया गया कि उन्होंने कैसे पहचान की 110 दुर्भावनापूर्ण टोर रिले:

पिछले एक दशक में टॉर जैसे बुनियादी ढांचा बहुत सफल और व्यापक रूप से इस्तेमाल किया गया। हालांकि, टॉर विभिन्न सीमाओं के साथ एक व्यावहारिक प्रणाली है और दुरुपयोग के लिए खुला है. टोर की सुरक्षा और गुमनामी इस धारणा पर आधारित है कि इसके अधिकांश बड़े हिस्से ईमानदार हैं और गलत व्यवहार नहीं करते हैं. विशेष रूप से छिपी सेवाओं की गोपनीयता छिपे हुए सेवा निर्देशिकाएँ (HSDirs) के ईमानदार संचालन पर निर्भर है। इस काम में हम पेश करते हैं, शहद प्याज (HOnions) की अवधारणा, दुर्व्यवहार और स्नोडिंग HSDirs का पता लगाने और पहचानने के लिए एक रूपरेखा। हमारी प्रणाली की तैनाती के बाद और 72 दिनों की अवधि के दौरान हमारे प्रयोगात्मक परिणामों के आधार पर, हम पहचानते हैं और पहचानते हैं कम से कम 110 ऐसे स्नूपिंग रिले हैं. इसके अलावा, हम बताते हैं कि उनमें से आधे से अधिक क्लाउड इन्फ्रास्ट्रक्चर पर होस्ट किए गए थे और आसान ट्रेसबैक को रोकने के लिए सीखा जानकारी के उपयोग में देरी कर रहे थे.

जब साजिश "सिद्धांत" षड्यंत्र तथ्य बन जाता है.

टीम द्वारा पहचाने गए दुर्भावनापूर्ण HSDirs ज्यादातर संयुक्त राज्य अमेरिका, जर्मनी, फ्रांस, यूनाइटेड किंगडम और नीदरलैंड में स्थित थे.

एचएसडीआईआर का मुद्दा टूटने के कुछ ही महीनों बाद, एक अलग शोधकर्ता ने एक दुर्भावनापूर्ण टोर नोड को फ़ाइल डाउनलोड में मैलवेयर इंजेक्ट करने की पहचान की.

टॉर मालवेयर

ITProPortal के अनुसार:

अधिकारी सलाह दे रहे हैं टॉर नेटवर्क के सभी उपयोगकर्ता मैलवेयर के लिए अपने कंप्यूटर की जांच करते हैं यह सामने आने के बाद कि एक रूसी हैकर एक शक्तिशाली वायरस फैलाने के लिए नेटवर्क का उपयोग कर रहा है। टॉर नेटवर्क में एक समझौता नोड द्वारा मैलवेयर फैला हुआ है.

... यह सामने आया है कि इनमें से एक निकास नोड को नेटवर्क पर डाउनलोड किए गए किसी भी प्रोग्राम को बदलने के लिए संशोधित किया गया था। इसने हमलावर को ऐसे कार्यक्रमों में अपना निष्पादन योग्य कोड डालने की अनुमति दी, और संभावित रूप से पीड़ितों के कंप्यूटर पर नियंत्रण रखना.

परिवर्तित नोड के कारण, कोई भी विंडोज़ निष्पादन योग्य डाउनलोड नेटवर्क पर मालवेयर में लिपटा हुआ था, और चिंता की बात यह है कि विंडोज अपडेट पर डाउनलोड की गई फाइलें भी प्रभावित हुई थीं.

अपने जोखिम पार इस्तेमाल करें.

टॉर नेटवर्क सुरक्षित नहीं है

यह सभी देखें:

ओनियनड्यूक एपीटी मालवेयर वितरित वाया दुर्भावनापूर्ण टोर एक्सिट नोड

6. टोर उपयोगकर्ताओं पर जासूसी करने के लिए कोई वारंट आवश्यक नहीं है

एक और दिलचस्प मामला टोर की खामियों को उजागर करता है, जो 2016 में आया था जब एफबीआई ने एक पीडोफाइल समूह का पर्दाफाश करने के लिए टोर को घुसपैठ करने में सक्षम किया था.

धड़ काट दिया गया

टेक टाइम्स के अनुसार:

अमेरिकी संघीय जांच ब्यूरो (FBI) अभी भी उन उपयोगकर्ताओं की जासूसी कर सकता है जो वेब पर गुमनाम रहने के लिए Tor ब्राउज़र का उपयोग करते हैं.

वरिष्ठ अमेरिकी जिला न्यायाधीश हेनरी कोक मॉर्गन, जूनियर ने फैसला सुनाया है कि अमेरिकी नागरिक कंप्यूटर प्रणाली को हैक करने के लिए एफबीआई को वारंट की आवश्यकता नहीं है। जिला जज द्वारा फैसला एफबीआई स्टिंग से संबंधित है जिसे ऑपरेशन पेसिफायर कहा जाता है, जिसने प्लेपेन नामक एक चाइल्ड पोर्नोग्राफी साइट को डार्क वेब पर लक्षित किया।.

आरोपी इन वेबसाइटों तक पहुंचने के लिए टॉर का इस्तेमाल करता था। ग्रीस, डेनमार्क, चिली और अमेरिका में कंप्यूटरों पर हैकिंग टूल की मदद से संघीय एजेंसी, ऑपरेशन के दौरान 1,500 पीडोफाइल को पकड़ने में सक्षम थी।.

हालांकि इस प्रकार के अपराधियों को बंद होते देखना बहुत अच्छा लगता है, लेकिन यह मामला एक गोपनीयता उपकरण के रूप में टोर की गंभीर कमजोरियों को भी उजागर करता है, जिस पर पत्रकारों, राजनीतिक असंतुष्टों, व्हिसलब्लोअर आदि द्वारा भरोसा किया जा सकता है।.

इस मामले में न्यायाधीश ने आधिकारिक रूप से फैसला सुनाया Tor उपयोगकर्ताओं के पास "गोपनीयता की एक उचित अपेक्षा" का अभाव है“उनके आईपी पते और पहचान को छिपाने में। यह अनिवार्य रूप से किसी भी अमेरिकी सरकारी एजेंसी के लिए दरवाजा खोलता है एक वारंट प्राप्त किए बिना टोर उपयोगकर्ताओं पर जासूसी या किसी भी कानूनी चैनल से गुजर रहा है.

यह निश्चित रूप से, एक गंभीर चिंता है जब आप समझते हैं कि पत्रकारों, कार्यकर्ताओं और व्हिसलब्लोअर को सरकारी एजेंसियों और सामूहिक निगरानी से छिपाने के लिए टॉर का उपयोग करने के लिए प्रोत्साहित किया जाता है.

अब टॉर के इतिहास और इसकी फंडिंग को देखते हुए इस सब को संदर्भ में रखें.

7. टोर अमेरिकी सरकार द्वारा (एक कारण के लिए) बनाया गया था

मैं पहले उल्लेख करना भूल गया, शायद कुछ ऐसा है जो आपको एक नई रोशनी में देखेगा. मैं गुमनामी प्रौद्योगिकी के निर्माण के लिए संयुक्त राज्य सरकार के लिए अनुबंध करता हूं उनके लिए और इसे तैनात करें। वे इसे बेनामी तकनीक के रूप में नहीं समझते हैं, हालांकि हम उस शब्द का उपयोग करते हैं। वे इसे सुरक्षा तकनीक मानते हैं. उन्हें इन तकनीकों की आवश्यकता है ताकि वे उन लोगों पर शोध कर सकें जिनकी वे रुचि रखते हैं, ताकि उनके पास अनाम टिप लाइनें हो सकें, ताकि वे दूसरे देशों के लोगों से उन चीजों को खरीद सकें जो यह समझती हैं कि वे क्या खरीद रहे हैं, वे कितना खरीद रहे हैं और यह कहां जा रहा है, इस तरह की चीज.

- रोजर डिंगलडाइन, टोर के सह-संस्थापक, 2004 भाषण

यह उद्धरण अकेले किसी भी तर्कसंगत व्यक्ति को टो नेटवर्क का उपयोग करने के लिए कभी नहीं आश्वस्त करना चाहिए, जब तक कि आप डार्क वेब पर सरकार के साथ कंधों को रगड़ना नहीं चाहते।.

टॉर का इतिहास 1990 के दशक का है जब नौसेना अनुसंधान कार्यालय तथा DARPA वाशिंगटन, डीसी में एक ऑनलाइन गुमनामी नेटवर्क बनाने के लिए काम कर रहे थे। इस नेटवर्क को "प्याज मार्ग" कहा जाता था और अंतिम गंतव्य से बाहर निकलने से पहले विभिन्न नोड्स पर ट्रैफ़िक को बाउंस किया जाता था.

2002 में, टॉर के अल्फा संस्करण को पॉल सिवरसन (ऑफिस ऑफ नेवल रिसर्च) द्वारा विकसित और जारी किया गया था, साथ ही रोजर डिंगलडाइन और निक मैथ्यूसन, जो दोनों DARPA के साथ अनुबंध पर थे। अमेरिकी सरकार के लिए काम करने वाली इस तीन-व्यक्ति टीम ने टॉर को आज जो कुछ भी है, उसमें विकसित किया.

ऊपर का उद्धरण 2004 के रोजर डिंगलडाइन के भाषण से लिया गया था, जिसे आप यहां सुन भी सकते हैं.

टोर को विकसित करने और सार्वजनिक उपयोग के लिए जारी किए जाने के बाद, यह अंततः अपने स्वयं के गैर-लाभकारी संगठन के रूप में बंद हो गया, इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (ईएफएफ) से मार्गदर्शन के साथ:

2004 के अंत में, टो तकनीक अंत में तैनाती के लिए तैयार होने के साथ, अमेरिकी नौसेना ने अपने अधिकांश टोर फंडिंग में कटौती की, इसे एक ओपन सोर्स लाइसेंस के तहत जारी किया और, अजीब तरह से, परियोजना को इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन को सौंप दिया गया.

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (ईएफएफ) आज टोर के सबसे बड़े प्रवर्तकों में से एक है, जिसने परियोजना के लिए ईएफएफ के गहरे संबंधों को देखते हुए आश्चर्य नहीं किया है.

8. टॉर अमेरिकी सरकार द्वारा वित्त पोषित है

यह कोई रहस्य नहीं है कि टोर को विभिन्न अमेरिकी सरकारी एजेंसियों द्वारा वित्त पोषित किया गया है.

अहम सवाल यह है कि क्या अमेरिकी सरकार की फंडिंग टॉर की स्वतंत्रता और गोपनीयता उपकरण के रूप में विश्वसनीयता को नकारात्मक रूप से प्रभावित करती है.

कुछ पत्रकारों ने टोर और अमेरिकी सरकार के बीच वित्तीय संबंधों की बारीकी से जांच की है:

टॉर ने हमेशा कहा था कि यह "विभिन्न प्रकार के स्रोतों" से वित्त पोषित है और किसी एक हित समूह के लिए निहारना नहीं है। लेकिन मैंने संख्याओं में कमी की और पाया कि इसके ठीक विपरीत सत्य था: किसी भी वर्ष में, टोर ने अपने बजट के 90 से 100 प्रतिशत के बीच संघीय सरकार की तीन सैन्य-इंटेल शाखाओं से आने वाले अनुबंधों और अनुदानों के माध्यम से आकर्षित किया: पेंटागन, राज्य विभाग और एक पुराने स्कूल CIA स्पिनऑफ़ संगठन ने BBG कहा.

सीधे शब्दों में कहें: वित्तीय आंकड़ों से पता चला है कि टोर ने इंडी-ग्राडरॉट विरोधी राज्य ओआरजी के लिए यह दावा नहीं किया था कि यह हो सकता है। यह एक सैन्य ठेकेदार था। यहां तक ​​कि सरकार का अपना आधिकारिक सैन्य ठेकेदार संदर्भ संख्या भी था.

यहाँ वर्षों से टोर प्रोजेक्ट के लिए कुछ अलग सरकारी फंडिंग स्रोत हैं:

ब्रॉडकास्टिंग बोर्ड ऑफ गवर्नर्स:

"ब्रॉडकास्टिंग बोर्ड ऑफ़ गवर्नर्स (BBG) [जिसे अब ग्लोबल मीडिया के लिए U.S. एजेंसी कहा जाता है], एक संघीय एजेंसी जो CIA से अलग हो गई थी और आज अमेरिका के विदेशी प्रसारण कार्यों की देखरेख करती है, ने टो को वित्त पोषित किया" $ 6.1 मिलियन 2015 से 2015 तक के वर्षों में। ”(स्रोत)

राज्य विभाग:

"राज्य विभाग ने टो को $ 3.3 मिलियन की निधि दी, जो कि ज्यादातर इसके शासन परिवर्तन शाखा के माध्यम से है - राज्य विभाग की" लोकतंत्र, मानवाधिकार और श्रम "डिवीजन।" (स्रोत)

पेंटागन:

“2011 से 2013 तक, पेंटागन ने टो को $ 2.2 मिलियन की निधि दी, अमेरिकी रक्षा विभाग / नौसेना के अनुबंध के माध्यम से - SRI इंटरनेशनल नामक एक रक्षा ठेकेदार के माध्यम से पारित किया गया। ”(स्रोत)

अनुदान को कहा जाता है: "नौसेना कमान, नियंत्रण, संचार, कंप्यूटर, खुफिया, निगरानी, ​​और टोही से संबंधित क्षेत्रों में बुनियादी और अनुप्रयुक्त अनुसंधान और विकास।"

हम यह भी देख सकते हैं कि मामले के बारे में टॉर परियोजना का क्या कहना है.

2005 में धन की याचना करते हुए, टोर ने दावा किया कि दानकर्ता परियोजना की दिशा को "प्रभावित" करने में सक्षम होंगे:

अब हम सक्रिय रूप से नए अनुबंध और फंडिंग की तलाश कर रहे हैं. टोर के प्रायोजकों को व्यक्तिगत ध्यान, बेहतर समर्थन, प्रचार (यदि वे चाहते हैं), और हमारे अनुसंधान और विकास की दिशा को प्रभावित करने के लिए!

ये लो। टॉर दावा दाताओं अनुसंधान और विकास की दिशा को प्रभावित करते हैं - एक तथ्य जो टॉर टीम भी स्वीकार करती है.

क्या आपको वास्तव में लगता है कि अमेरिकी सरकार एक उपकरण में लाखों डॉलर का निवेश करेगी जिसने अपनी शक्ति को बढ़ाया?

9. जब आप टॉर का उपयोग करते हैं, तो आप अमेरिकी सरकार को डरावना सामान बनाने में मदद करते हैं

संयुक्त राज्य अमेरिका की सरकार हर किसी के लिए केवल एक गुमनामी प्रणाली नहीं चला सकती है और फिर इसका उपयोग केवल स्वयं कर सकती है। क्योंकि तब हर बार इससे एक कनेक्शन आता था, लोग कहते थे, "ओह, यह है मेरी वेबसाइट को देखने वाला एक और सीआईए एजेंट,“यदि वे केवल नेटवर्क का उपयोग करने वाले लोग हैं। इसलिए आपको नेटवर्क का उपयोग करने वाले अन्य लोगों की आवश्यकता है इसलिए वे एक साथ मिश्रित होते हैं.

-रोगर डिंगलडाइन, टोर नेटवर्क के सह-संस्थापक, 2004 भाषण

इस कथन के निहितार्थ काफी गंभीर हैं.

जब आप Tor का उपयोग करते हैं, तो आप हैं सचमुच अमेरिकी सरकार की मदद करना. आपका ट्रैफ़िक CIA एजेंटों को छिपाने में मदद करता है जो टॉर का उपयोग भी कर रहे हैं, क्योंकि डिंगलडाइन और पत्रकार इशारा कर रहे हैं.

टो मूल रूप से अमेरिकी सरकार के लिए एक उपकरण है, और यह आज भी बना हुआ है:

टॉर का मूल - और वर्तमान - उद्देश्य सरकारी एजेंटों और मुखबिरों की ऑनलाइन पहचान को रोकना है जबकि वे इस क्षेत्र में हैं: खुफिया जानकारी इकट्ठा करना, स्टिंग ऑपरेशन स्थापित करना, मानव खुफिया संपत्ति को अपने संचालकों को वापस रिपोर्ट करने का एक तरीका देना - इस तरह की बात । यह जानकारी बाहर है, लेकिन यह बहुत अच्छी तरह से ज्ञात नहीं है, और यह निश्चित रूप से उन लोगों द्वारा जोर नहीं दिया गया है जो इसे बढ़ावा देते हैं.

आपने टो प्रमोटरों को यह चर्चा करते हुए कभी नहीं सुना होगा कि टोर नेटवर्क पर दूसरों को प्राप्त करने के लिए अमेरिकी सरकार के लिए यह कितना महत्वपूर्ण है। यह एक वर्जित विषय बना हुआ है जिसे टॉर अधिवक्ता केवल टालते हैं.

टॉर प्रोजेक्ट की वेबसाइट भी चर्चा करती है कि टॉर कैसा है सरकारी एजेंसियों द्वारा सक्रिय रूप से उपयोग किया जाता है विभिन्न प्रयोजनों के लिए:

अमेरिकी नौसेना की एक शाखा ओपन सोर्स इंटेलिजेंस सभा के लिए टॉर का उपयोग करती है, और इसकी एक टीम ने हाल ही में मध्य पूर्व में तैनात रहते हुए टॉर का इस्तेमाल किया। कानून प्रवर्तन अपने वेब लॉग में सरकारी आईपी पते को छोड़ने के बिना या स्टिंग ऑपरेशन के दौरान सुरक्षा के लिए वेब साइटों पर जाने या सर्वेक्षण के लिए टोर का उपयोग करता है.

Tor के एक और शुरुआती डेवलपर माइकल रीड ने बताया कि यह हमेशा से अमेरिकी सरकार के सैन्य और खुफिया अभियानों के लिए एक उपकरण रहा है:

ओनियन रूटिंग के आविष्कार के कारण जो मूल * प्रश्न * सामने आया था, "क्या हम एक ऐसी प्रणाली का निर्माण कर सकते हैं जो इंटरनेट पर द्वि-दिशात्मक संचार की अनुमति देता है जहां स्रोत और गंतव्य को मध्य-बिंदु द्वारा निर्धारित नहीं किया जा सकता है?" * PURPOSE * DoD / Intelligence उपयोग के लिए था (ओपन सोर्स इंटेलिजेंस इकट्ठा करना, आगे तैनात संपत्तियों को कवर करना, जो भी हो). दमनकारी देशों में असंतुष्टों की मदद नहीं करना। अपने इलेक्ट्रॉनिक ट्रैकों को कवर करने में अपराधियों की सहायता नहीं करना। बिट-टोरेंट उपयोगकर्ताओं की मदद नहीं करने से MPAA / RIAA अभियोजन से बचते हैं। एक 10 साल पुराने को एंटी-पोर्न फिल्टर को बायपास करने का तरीका नहीं। निश्चित रूप से, हम जानते थे कि वे प्रौद्योगिकी के लिए अन्य अपरिहार्य उपयोग होंगे, लेकिन यह उस समस्या के लिए अपरिहार्य था जिसे हम हल करने की कोशिश कर रहे थे (और यदि वे उपयोग हमें अधिक कवर देने जा रहे हैं ट्रैफ़िक को बेहतर तरीके से छिपाने के लिए जो हम नेटवर्क का उपयोग करना चाहते थे, वह सभी बेहतर... मैंने एक बार एक ध्वज अधिकारी से कहा था कि उसके चिराग को बहुत कुछ).

यहाँ एक और प्रारंभिक टॉर डेवलपर है जिसने फलियाँ उगाईं। तोर था के लिए कभी नहीं "असंतुष्टों दमनकारी देशों में ” या विभिन्न मदद करना गोपनीयता कार्यकर्ता मानवाधिकारों के लिए लड़ना, जो आज टोर को बढ़ावा देता है.

जैसे ही रोजर डिंगलडाइन ने इस खंड के शुरुआती उद्धरण में कहा, पॉल सिवरसन (टोर सह-संस्थापक) ने भी अन्य लोगों को टॉर का उपयोग करने के महत्व पर जोर दिया, जिससे सरकारी एजेंटों को अपना काम करने में मदद मिली और केवल टॉर उपयोगकर्ताओं के रूप में बाहर खड़े नहीं हुए।

यदि आपके पास एक ऐसा सिस्टम है जो केवल एक नेवी सिस्टम है, तो उसमें से कुछ भी पॉपिंग होता है, यह स्पष्ट रूप से नेवी का है. आपके पास एक ऐसा नेटवर्क होना चाहिए जो अन्य लोगों के लिए ट्रैफ़िक ले जाए भी.

टोर को कई अलग-अलग व्यक्तियों और समूहों द्वारा सरकारी निगरानी से लोगों की सुरक्षा के लिए एक जमीनी स्तर की परियोजना के रूप में ब्रांडेड किया जाता है। वास्तव में, हालांकि, यह सरकारी एजेंटों के लिए एक उपकरण है, जो इसे सैन्य और खुफिया अभियानों के लिए सचमुच उपयोग कर रहे हैं (उन लोगों की जासूसी करने वालों सहित जो सोचते हैं कि वे टो पर "गुमनाम" हैं).

सैन्य-निगरानी तंत्र के लिए टोर की उपयोगिता को निम्नलिखित उद्धरण में अच्छी तरह से समझाया गया है:

टॉर को सरकारी निगरानी से जनता की सुरक्षा के लिए नहीं, बल्कि बनाया गया था इंटेलीजेंस एजेंटों की ऑनलाइन पहचान को देखें क्योंकि वे ब्याज के क्षेत्रों में थे. लेकिन ऐसा करने के लिए, टॉर को जनता के लिए जारी करना पड़ा और यथासंभव विविध लोगों द्वारा एक समूह के रूप में इस्तेमाल किया गया: कार्यकर्ता, असंतुष्ट, पत्रकार, व्यामोह, किडी पोर्न स्कम, अपराधी और यहां तक ​​कि आतंकवादी भी - बड़े और भीड़ को भुनाया जा सकता है, एजेंटों के लिए सादा दृश्य में मिश्रण करना और छिपाना आसान होगा.

इन टोर डेवलपर्स और सह-संस्थापकों के अनुसार, जब आप टोर का उपयोग करते हैं तो आप अमेरिकी सरकारी एजेंटों की मदद कर रहे हैं टोर नेटवर्क पर वे जो कुछ भी कर रहे हैं। जो कोई भी निजता और मानवाधिकारों की वकालत करता है, वह ऐसा क्यों करना चाहता है?

Tor का उपयोग करते समय 10. IP पता लीक

Tor के साथ एक और आवर्ती समस्या IP पता लीक है - एक गंभीर मुद्दा जो टोर उपयोगकर्ताओं को अज्ञात करेगा, भले ही रिसाव संक्षिप्त हो।.

नवंबर 2017 में एक दोष का पता चला था जो टोर उपयोगकर्ताओं के वास्तविक आईपी पते को उजागर करता था यदि वे http: // या https: // के बजाय एक स्थानीय फ़ाइल-आधारित पते पर क्लिक करते थे, जैसे कि फ़ाइल: //।.

टॉर सेफ है

यह समस्या टोर के साथ एक बड़ी समस्या को दर्शाती है: यह केवल टो ब्राउज़र के माध्यम से यातायात को एन्क्रिप्ट करता है, जिससे अन्य सभी (नॉन-टॉर ब्राउजर) ट्रैफ़िक निकल रहे हैं.

एक वीपीएन के विपरीत जो आपके ऑपरेटिंग सिस्टम पर सभी ट्रैफ़िक को एन्क्रिप्ट करता है, टॉर नेटवर्क केवल टॉर के लिए कॉन्फ़िगर किए गए ब्राउज़र के माध्यम से काम करता है। (देखें VPN वीपीएन क्या है। एक अवलोकन के लिए गाइड।)

यह डिज़ाइन टोर उपयोगकर्ताओं को लीक करने के लिए संवेदनशील बनाता है जो कई अलग-अलग स्थितियों में उनकी पहचान को उजागर करेगा:

  • टोर टोरेंटिंग के दौरान कोई सुरक्षा प्रदान नहीं करता है और उपयोगकर्ता के आईपी पते को टोरेंट क्लाइंट के साथ लीक करेगा.
  • फ़ाइलों, जैसे PDF या अन्य दस्तावेज़ों तक पहुँचने पर Tor IP पते को लीक कर सकता है, जो कि प्रॉक्सी सेटिंग्स को बायपास कर देगा.
  • विंडोज उपयोगकर्ता विभिन्न प्रकार के लीक के लिए भी असुरक्षित हैं जो उपयोगकर्ता के वास्तविक आईपी पते को उजागर करेंगे.

विंडोज़ टोर

हालांकि, यह नोट करना महत्वपूर्ण है कि उपयोगकर्ता त्रुटि या ग़लतफ़हमी के कारण बार-बार डी-अनामकरण होता है। इसलिए दोष टोर के साथ झूठ नहीं है, बल्कि लोगों के साथ तोर का सही उपयोग नहीं कर रहा है.

डैन एगरजस्टैड ने इस मुद्दे पर जोर दिया जब उन्होंने कहा:

लोगों को लगता है कि वे केवल इसलिए संरक्षित हैं क्योंकि वे टोर का उपयोग करते हैं। न केवल उन्हें लगता है कि यह एन्क्रिप्टेड है, बल्कि वे यह भी सोचते हैं कि 'कोई मुझे ढूंढ नहीं सकता'। परंतु यदि आपने अपने कंप्यूटर को गलत तरीके से कॉन्फ़िगर किया है, जो संभवतः टोर का उपयोग करने वाले 50 प्रतिशत से अधिक लोग हैं, आप अभी भी उस व्यक्ति (दूसरी तरफ) को पा सकते हैं.

एक बार फिर, गैर-तकनीकी उपयोगकर्ता एक अच्छी वीपीएन सेवा का उपयोग करना बेहतर होगा जो सिस्टम-वाइड ट्रैफ़िक एन्क्रिप्शन और वीपीएन कनेक्शन ड्रॉप होने पर सभी ट्रैफ़िक को ब्लॉक करने के लिए एक प्रभावी किल स्विच प्रदान करता है।.

11. Tor का उपयोग करना आपको एक लक्ष्य बना सकता है

जैसा कि हमने ऊपर बम के खतरे के साथ देखा, एल्डो किम को निशाना बनाया गया था क्योंकि वह टो नेटवर्क पर था जब बम की धमकी भेजी गई थी.

अन्य सुरक्षा विशेषज्ञ भी टोर उपयोगकर्ताओं को केवल टोर का उपयोग करने के लिए लक्षित किए जाने के बारे में चेतावनी देते हैं.

इसके अलावा, अधिकांश वास्तव में दमनकारी स्थान वास्तव में टॉर की तलाश करते हैं और उन लोगों को लक्षित करते हैं। नेटफ्लिक्स और हुलु को देखने के लिए वीपीएन का उपयोग किया जाता है, लेकिन टोर का केवल एक उपयोग मामला है - अधिकारियों से बचने के लिए। कोई आवरण नहीं है। (यह मान रहा है कि इसका इस्तेमाल तोर बेनामी को तोड़ने में अक्षम देश में भी किया जा सकता है।)

कई मायनों में टोर एक वीपीएन की तुलना में जोखिम भरा हो सकता है:

  1. वीपीएन (आम तौर पर) सक्रिय रूप से दुर्भावनापूर्ण नहीं होते हैं
  2. वीपीएन अच्छा कवर प्रदान करते हैं जो टॉर बस नहीं कर सकते - "मैं इसका उपयोग हूलू वीडियो देखने के लिए कर रहा था" इससे बहुत बेहतर है - "मैं सिर्फ अवैध ड्रग्स ऑनलाइन खरीदने की कोशिश कर रहा था"

जैसा कि हमने पहले बताया था, वीपीएन को टो की तुलना में अधिक व्यापक रूप से उपयोग किया जाता है - और विभिन्न (वैध) कारणों से, जैसे कि वीपीएन के साथ नेटफ्लिक्स को स्ट्रीमिंग करना।.

तो शायद आपको अभी भी Tor का उपयोग करने की आवश्यकता है (या चाहते हैं?)। आप अधिक सुरक्षा के साथ ऐसा कैसे कर सकते हैं?

कैसे (अधिक) सुरक्षित रूप से टॉर का उपयोग करें

यह देखते हुए कि टॉर से छेड़छाड़ की जाती है और बुरे अभिनेता टोर उपयोगकर्ताओं के वास्तविक आईपी पते को देख सकते हैं, अतिरिक्त सावधानी बरतना समझदारी होगी। यह भी शामिल है टॉर नेटवर्क तक पहुंचने से पहले अपना असली आईपी एड्रेस छिपा लें.

अपने आईपी पते को छुपाने के लिए जब टॉर का उपयोग किया जाता है, बस एक वीपीएन सर्वर से कनेक्ट करें (आपके कंप्यूटर पर एक वीपीएन क्लाइंट के माध्यम से) और फिर टो को एक्सेस करें सामान्य (जैसे कि टो ब्राउज़र के माध्यम से)। यह आपके कंप्यूटर और टोर नेटवर्क के बीच एन्क्रिप्शन की एक परत जोड़ देगा, जिसमें वीपीएन सर्वर का आईपी पता आपके असली आईपी पते की जगह लेगा.

ध्यान दें: वीपीएन और टोर को मिलाने के अलग-अलग तरीके हैं। मैं हूँ केवल निम्नलिखित सेटअप की सिफारिश: आप > वीपीएन > टो > इंटरनेट (इसे "टोर ओवर वीपीएन" या "वीपीएन पर प्याज" भी कहा जाता है).

टॉर सेफ है

इस सेटअप के साथ, भले ही एक दुर्भावनापूर्ण अभिनेता एक टो सर्वर चला रहा था और सभी आईपी पते को लॉगिंग कर रहा था, आपका असली आईपी पता पीछे छिपा रहेगा वीपीएन सर्वर (यह मानकर कि आप बिना लीक वाले एक अच्छे वीपीएन का उपयोग कर रहे हैं).

यहाँ टो नेटवर्क से पहले एक सुरक्षित वीपीएन के माध्यम से अपने ट्रैफ़िक को रूट करने के लाभ हैं:

  1. तुम्हारी असली आईपी पता छिपा रहता है Tor नेटवर्क से (Tor यह नहीं देख सकता कि आप कौन हैं)
  2. तुम्हारी इंटरनेट प्रदाता (आईएसपी) या नेटवर्क एडमिन होगा आप टोर का उपयोग कर रहे हैं यह देखने में सक्षम नहीं है (क्योंकि आपके ट्रैफ़िक को एक वीपीएन सर्वर के माध्यम से एन्क्रिप्ट किया जा रहा है).
  3. आप के रूप में ज्यादा बाहर खड़ा नहीं है अन्य उपयोगकर्ताओं से क्योंकि वीपीएन टोर की तुलना में अधिक लोकप्रिय हैं.
  4. तुम हो भरोसा बांटना Tor और VPN के बीच। वीपीएन आपके आईपी पते को देख सकता है और टॉर आपके ट्रैफ़िक (आपके द्वारा देखी जाने वाली साइट) को देख सकता है, लेकिन न तो आपके आईपी पते और ब्राउज़िंग गतिविधियाँ दोनों होंगी.

वीपीएन के अविश्वास के लिए, कुछ मुट्ठी भर हैं सत्यापित कोई लॉग वीपीएन सेवा यह वास्तव में "कोई लॉग नहीं" साबित हुआ है.

आप एक वीपीएन के लिए एक सुरक्षित अनाम ईमेल खाते (अपनी पहचान से जुड़ा नहीं) के लिए साइन अप कर सकते हैं। सही मायने में विरोधाभास के लिए, आप बिटकॉइन या किसी अन्य अनाम भुगतान पद्धति से भी भुगतान कर सकते हैं। अधिकांश वीपीएन को पंजीकरण के लिए किसी भी नाम की आवश्यकता नहीं होती है, केवल खाता क्रेडेंशियल्स के लिए एक मान्य ईमेल पता। एक सुरक्षित अपतटीय क्षेत्राधिकार (14 आंखों के बाहर) में वीपीएन का उपयोग करना आपके खतरे के मॉडल के आधार पर भी अच्छा हो सकता है.

गुमनामी के उच्चतम स्तर की मांग करने वालों के लिए, आप कर सकते हैं लिनक्स वर्चुअल मशीनों के माध्यम से कई एकाधिक वीपीएन (वर्चुअलबॉक्स का उपयोग करके, जो कि FOSS है)। आप अपने कंप्यूटर पर अपने रूटर, वीपीएन 2 पर वीपी 1 का उपयोग कर सकते हैं, और फिर दो अलग-अलग वीपीएन सेवाओं के माध्यम से एन्क्रिप्शन की दो परतों के माध्यम से नियमित इंटरनेट (या टोर नेटवर्क) तक पहुंच सकते हैं। यह आपको अनुमति देता है विभिन्न वीपीएन सेवाओं पर भरोसा वितरित करें और सुनिश्चित करें कि वीपीएन में आपके आने वाले आईपी पते और ट्रैफ़िक दोनों नहीं हो सकते हैं। मल्टी-हॉप वीपीएन सेवाओं पर मेरे गाइड में इस पर अधिक चर्चा की गई है.

ध्यान दें: दावा है कि "वीपीएन पूरी तरह से, 100%, एक एकल बिंदु / इकाई है जिस पर आपको भरोसा करना चाहिए" गलत है। यह दावा इस टोर प्रमोटर का है जो संयोग से अमेरिकी सरकार के लिए काम करता है नेवल रिसर्च लैब.

जब आप चेन वीपीएन, आप ऐसा कर सकते हैं विश्वास वितरित करें दुनिया भर में विभिन्न वीपीएन सेवाओं और विभिन्न न्यायालयों में, सभी गुमनाम रूप से भुगतान किए गए हैं और आपकी पहचान से जुड़े नहीं हैं। तोर के साथ, आपने अपना सारा भरोसा द ऑनियन राउटर में डाल दिया ...

वीपीएन को जोड़ने के लाभों पर टोर प्रोजेक्ट सहमत है

टोर प्रोजेक्ट के लाभों पर भी सहमत है टोर के साथ एक वीपीएन का सही उपयोग, जैसा कि मैं ऊपर की सलाह देता हूं। टोर (संग्रहीत) से पहले वीपीएन का उपयोग करने के लाभों के बारे में टॉर प्रोजेक्ट के कुछ उद्धरण यहां दिए गए हैं:

  1. "आप अपने ISP आदि को यह देखने से रोक सकते हैं कि आप Tor का उपयोग कर रहे हैं"
  2. एक वीपीएन के माध्यम से टॉरिंग "एक अच्छा विचार हो सकता है कि आपके वीपीएन प्रदाता का नेटवर्क वास्तव में आपके स्वयं के नेटवर्क की तुलना में पर्याप्त सुरक्षित है।" [कोई सत्यापित नहीं लॉग वीपीएन एक इंटरनेट प्रदाता की तुलना में बहुत अधिक सुरक्षित है जिसमें आपका नाम, जन्म तिथि, आदि है। भुगतान विवरण, और आपके डेटा को एकत्र कर रहा है और निगरानी एजेंसियों के साथ साझा कर रहा है, जैसे कि यूएस इंटरनेट प्रदाताओं के साथ मामला।]
  3. “यहां एक और फायदा यह है कि यह टोर को यह देखने से रोकता है कि आप वीपीएन के पीछे कौन हैं। इसलिए यदि कोई व्यक्ति टोर को तोड़ने का प्रबंधन करता है और आईपी पते से सीखता है कि आपका ट्रैफ़िक कहां से आ रहा है, तो आप बेहतर होंगे। "

जबकि मैं आमतौर पर ऊपर दिए गए बिंदुओं से सहमत हूं, दुर्भाग्य से, टोर प्रोजेक्ट ने अपने लेख की शुरुआत में कुछ गलत जानकारी इस प्रकार दी, "अधिकांश वीपीएन / एसएसएच प्रदाता लॉग, एक पैसा निशान है, अगर आप वास्तव में गुमनाम भुगतान नहीं कर सकते हैं । "

ये बिंदु गलत हैं.

  • "अधिकांश वीपीएन / एसएसएच प्रदाता लॉग" - यह बिल्कुल सही नहीं है। कई नो-लॉग्स वीपीएन सेवाएं हैं और वीपीएन की एक छोटी संख्या भी है जो बिना किसी लॉग के सत्यापित हो जाती है, उपयोगकर्ता डेटा के लिए थर्ड-पार्टी ऑडिट, सर्वर बरामदगी, या कोर्ट सबपोनस से गुजरना.
  • "एक पैसा निशान है" - यह एक बहुत बड़ी गलत धारणा है जो उन लोगों द्वारा प्रचारित की जाती है जो यह नहीं जानते कि वे किस बारे में बात कर रहे हैं। एक "मनी ट्रेल" का वीपीएन की प्रभावशीलता या एन्क्रिप्शन पर कोई असर नहीं पड़ता है। वीपीएन अवैध नहीं हैं और मुख्यधारा के गोपनीयता उपकरण बन रहे हैं। यदि एक विरोधी जानता है कि आपके पास एक विशिष्ट वीपीएन सेवा के साथ सदस्यता है, तो इससे आपके वीपीएन की प्रभावशीलता पर शून्य असर पड़ता है। यहां तक ​​कि अगर विपक्षी के पास आपका उपयोगकर्ता नाम और पासवर्ड है, तो भी वीपीएन की प्रभावशीलता या एन्क्रिप्शन पर इसका कोई असर नहीं है (इसका मतलब है कि आपका विपक्षी मुफ्त में वीपीएन का उपयोग कर सकता है)। वीपीएन एन्क्रिप्शन गतिशील है और प्रत्येक कनेक्शन के साथ नया बातचीत किया है। और अगर आप "मनी ट्रेल्स" से चिंतित हैं तो गुमनाम भुगतान करें.
  • "वास्तव में गुमनाम रूप से भुगतान नहीं कर सकते" - यह फिर से गलत है, शायद लोगों को वीपीएन से दूर करने के लिए झूठ बोल रही है। अधिकांश वीपीएन अनाम भुगतान विकल्प प्रदान करते हैं, जैसे कि उपहार कार्ड या बिटकॉइन, कोई भी नाम आवश्यक नहीं है। आपको केवल एक वैध ईमेल की आवश्यकता है, और आप इस उद्देश्य के लिए एक अनाम / बर्नर ईमेल को आसानी से सेटअप कर सकते हैं जो आपकी पहचान से जुड़ा नहीं है। किया हुआ.

नोट: जबकि एफबीआई को साबित करने वाले विभिन्न मामले हैं जो टोर उपयोगकर्ताओं को आसानी से डी-अनिमाइज कर सकते हैं, एफबीआई (या किसी भी सरकारी एजेंसी) को साबित करने वाले किसी भी अदालत के मामले कभी भी वीपीएन उपयोगकर्ताओं को डी-एनोलाइज नहीं कर सकते हैं। कोई लीक के साथ अच्छा एन्क्रिप्शन है। इसके बजाय, हमने कुछ अलग-थलग मामलों को देखा है जहां एफबीआई ने वीपीएन पर उपयोगकर्ता डेटा लॉग करने के लिए दबाव डाला और अधिकारियों को एक विशिष्ट उपयोगकर्ता की पहचान करने के लिए यह प्रदान करता है, जैसे कि यूएस में आईपीवीनिशिंग लॉगिंग केस।.

Tor कमजोरियों और वीपीएन

ऐसे अन्य हमले हैं जो टॉर प्रोजेक्ट स्वीकार करता है कि टोर उपयोगकर्ताओं (संग्रहीत) को डी-एनोलाइज करेगा:

जैसा कि ऊपर उल्लेख किया गया है, यह एक पर्यवेक्षक के लिए संभव है जो आपके और या तो गंतव्य वेबसाइट या आपके टॉर एग्जिट नोड को आपके ट्रैफ़िक के समय को सहसंबंधित करने के लिए देख सकता है क्योंकि यह टॉर नेटवर्क में प्रवेश करता है और साथ ही यह बाहर निकलता है। टॉर ऐसे खतरे वाले मॉडल के खिलाफ बचाव नहीं करता है.

एक बार फिर, ए वीपीएन कर सकते हैं मदद करने के लिए डी-अनामीकरण के जोखिम को कम करें टोर सर्किट में गार्ड नोड को एक्सेस करने से पहले अपने स्रोत आईपी पते को छिपाकर.

संचार पर नोड्स से बाहर निकल सकते हैं? टोर प्रोजेक्ट से:

हां, बाहर निकलने वाले नोड को चलाने वाला लड़का वहां और बाहर आने वाले बाइट्स को पढ़ सकता है। Tor आपके ट्रैफ़िक की उत्पत्ति को बताता है, और यह Tor नेटवर्क के अंदर सब कुछ एन्क्रिप्ट करना सुनिश्चित करता है, लेकिन यह इंटरनेट पर सभी ट्रैफ़िक को जादुई रूप से एन्क्रिप्ट नहीं करता है.

हालाँकि, ए खराब टोर से निकलने वाले नोड के बारे में वीपीएन कुछ नहीं कर सकता है आपके ट्रैफ़िक पर उत्सुकता प्रकट करना, हालाँकि यह छिपाने में मदद करेगा कि आप कौन हैं (लेकिन आपका ट्रैफ़िक आपको दूर भी पहुंचा सकता है).

मैं अपने वीपीएन बनाम टोर तुलना में इन बिंदुओं पर अधिक चर्चा करता हूं.

टॉर पर निष्कर्ष

कोई भी गोपनीयता उपकरण आलोचना से ऊपर नहीं है.

टॉर के साथ की तरह, मैंने भी वीपीएन के साथ कई समस्याएं बताई हैं, जिनमें वीपीएन शामिल हैं जो लॉग, वीपीएन स्कैम और खतरनाक मुफ्त वीपीएन सेवाओं के बारे में झूठ बोल रहे थे। सभी गोपनीयता उपकरण पेशेवरों और विपक्षों के साथ आते हैं। नौकरी के लिए सबसे अच्छा उपकरण का चयन करना आपके खतरे के मॉडल और अनूठी जरूरतों को पूरा करता है.

दुर्भाग्य से, गोपनीयता समुदाय में कई लोगों के लिए, टॉर को अब कंबल गुमनामी के लिए एक अचूक उपकरण माना जाता है, और अन्यथा यह सुझाव देने के लिए कि आप "फैल FUD" हैं। यह दयनीय है.

समापन में, अधिक सुरक्षा और ऑनलाइन गुमनामी चाहने वाले नियमित उपयोगकर्ताओं के लिए, मैं टो से पूरी तरह से बचता हूँ। एक वीपीएन विभिन्न उपकरणों और ऑपरेटिंग सिस्टम के लिए सिस्टम-वाइड एन्क्रिप्शन, बहुत तेज़ गति और उपयोगकर्ता के अनुकूल क्लाइंट की पेशकश करेगा। यह आपके ISP को यह देखने से भी रोकेगा कि आप ऑनलाइन क्या हैं?.

इसके अतिरिक्त, वीपीएन अधिक मुख्यधारा हैं और इनके उपयोग के कई वैध (और कानूनी!) कारण हैं। टॉर की तुलना में, आप निश्चित रूप से एक वीपीएन के साथ खड़े नहीं होंगे.

जो लोग अभी भी टो नेटवर्क का उपयोग करना चाहते हैं, उनके लिए एक विश्वसनीय वीपीएन सेवा के माध्यम से ऐसा करने से आपके वास्तविक मेल पते को छुपाते समय सुरक्षा की एक अतिरिक्त परत जुड़ जाएगी।.

आगे की पढाई:

टॉर एंड इट्स डिसेंटेंट्स: प्रॉब्लम टू टोर यूज़ विद पैनेशिया

उपयोगकर्ता रूट किए गए: यथार्थवादी सलाहकारों द्वारा टो पर ट्रैफ़िक सहसंबंध

टो नेटवर्क एग्जिट नोड्स ट्रैफ़िक को सूँघते हुए पाए गए

बेनामी नेटवर्क के खिलाफ यातायात विश्लेषण की प्रभावशीलता पर फ्लो रिकॉर्ड का उपयोग करना

जज ने पुष्टि की कि कितने संदिग्ध हैं: फेड ने टॉर को तोड़ने के लिए सीएमयू को काम पर रखा था

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me