Tor dla jednych anonimowy za bardzo, dla drugich za mało, dla wszystkich – zbyt niebezpieczny?
Relacje między siecią anonimizującą Tor a specjalistamibezpieczeństwa stały się dość złożone. Jedni przedstawiają jąjako niezbędne narzędzie swojej pracy, inni jako kluczowezagrożenie dla organizacji i ich poufnych danych. Dla jednych jestzbyt niebezpieczna, gdyż zapewnia zbyt dużą anonimowość, dlainnych jest zbyt niebezpieczna, gdyż zapewnia anonimowośćniewystarczającą. Tymczasem sam Tor Project do tych kwestii się narazie nie odniósł – najwyraźniej jest zbyt zajęty poszukiwaniemnowego dyrektora wykonawczego.
Przedwczoraj jeden z najpopularniejszych elektronicznych bazaróww sieci Tor – serwis Agora – ogłosił, że kończy działalność.Powodem była troska o bezpieczeństwo użytkowników, niemożnośćzagwarantowania im pełnej anonimowości w świetle nowo odkrytychataków, pozwalających na ujawnienie realnego adresu IP serwerów,na których działają ukryte usługi Tora.
W podpisanej oficjalnym kluczem serwisu wiadomości, opublikowanejpóźniej jako wklejka wPastebin, administratorzy Agory informują o przeniesieniu swojegobazaru offline do czasu, gdy znajdą lepsze rozwiązanie. Naturazagrożenia nie jest dokładnie znana, wiadomo jedynie, żeodnotowano podejrzaną aktywność sieciową, sugerującą, żeniektóre z niedawno odkrytych ataków mogą być wykorzystane dopróby zdemaskowania lokalizacji serwerów.
Można jednak wywnioskować, że chodzi o niedawnozaprezentowany przez badaczy z MIT atak, wykorzystujący technikimaszynowego uczenia się do zidentyfikowania ukrytych usług Tora, zpewnością sięgającą 88%. Wówczas to deweloperzy Torastrywializowali zagrożenie, uznając, że testowany w warunkachlaboratoryjnych atak niekoniecznie miałby się sprawdzić w realnymdarknecie i zauważając, że proponowane maskowanie ruchu w Torzeteż nie jest rozwiązaniem, bo nie wiadomo, jak należałoby todobrze robić. Administratorzy Agory najwyraźniej nie chcieli jednakryzykować podzielenia losu Rossa Ulbrichta, twórcy pierwszegoukrytego bazaru Silk Road, skazanego w tym roku na dożywocie idmuchając na zimne, zdecydowali się zapaść pod ziemię.
Z zupełnie innych, wręcz przeciwstawnych powodów, Tor okazałsię niebezpieczny dla ekspertów firmy IBM z zespołu X-Force.Wydali oni właśnie raport,w którym zalecają firmom zaprzestanie korzystania z tego narzędziai zablokowanie jego ruchu w swoich sieciach korporacyjnych. Ma to byćzabezpieczeniem przed atakami typu ransomware i DDoS, przeprowadzanymcoraz częściej z wykorzystaniem Tora. To narzędzie anonimizująceczyni bowiem zbyt łatwym dla cyberprzestępców ukrycie swojejaktywności online, podrzucanie złośliwego oprogramowania iukrywanie jego źródeł pochodzenia.
Dlatego firmy powinny przygotować kompleksową politykękorporacyjną, określającą dopuszczalne sposoby wykorzystaniasieci firmowych, które zakazywałyby stosowania niezaakceptowanychszyfrowanych usług proxy lub osobiście subskrybowanych usługproxy, takich jak Tor. Firmy powinny także podjąć starania, byuniemożliwić pracowników używania niezatwierdzonych urządzeńzewnętrznych (np. dysków USB) i konfigurowania ich stanowiskroboczych tak, by można było na nich uruchomić alternatywnesystemy operacyjne, takie jak Tails.
Takie stanowisko jest zrozumiałe z punktu widzenia firmy –intencje użytkowników Tora nie mają tu znaczenia. Każda formaszyfrowanej komunikacji, która nie została usankcjonowana politykąkorporacyjną, to złe wieści dla organizacji, znak, że dziać sięmoże coś złego, że w sieci firmowej pojawiło się malware, lubmoże ktoś wyprowadza na zewnątrz firmowe tajemnice. ZdaniemX-Force i amerykańskich komentatorów, pracownik firmy nie ma prawado prywatności, swojego Tora powinien pozostawić przed drzwiamipracy.
Jest to jednak zarazem stanowisko naiwne, szczególnie dziś werze powszechnego przynoszenia do pracy swojego sprzętuelektronicznego. Zainteresowani prywatnością użytkownicy (niewnikajmy w powody ich zainteresowania) znajdą sposób na względnieanonimową komunikację i bez Tora, choćby za pomocą mniej znanegow korporacyjnym świecie I2P. W sytuacjach, gdzie kwestionowane jestbezpieczeństwo, zawsze bowiem chodzi o koszt ataku – być możenie ma bezpieczeństwa absolutnego, ale może być bezpieczeństwowystarczająco dobre do danego zastosowania, gdy wiemy, że naszpotencjalny oponent nie ma zasobów na przeprowadzenie bardzokosztownego ataku. Oczywiście, gdy naszym przeciwnikiem jestamerykańskie NSA i FBI, reakcja administratorów Agory jestcałkowicie zrozumiała.