Tor против VPN: так ли вы защищены, как думаете?

Я хотел бы обсудить использование [Tor] (https://www.torproject.org/download/), универсального лукового маршрутизатора, по сравнению с VPN.

Отказ от ответственности

Моя цель не в том, чтобы препятствовать использованию VPN. Даже если бы я хотел, я бы не смог ^^, но это не моя цель. Я просто не хочу, чтобы люди использовали его по неправильным причинам.

Является ли VPN правильным выбором для обеспечения конфиденциальности, возможно, анонимности?

Нет.

Это может быть дополнительный уровень безопасности, например, если вы подозреваете атаку MITM (человек посередине), которая часто происходит в небезопасных (я имею в виду общедоступных 🤭) средах.

Практическим примером может служить общедоступный Wi-Fi в аэропорту.

С другой стороны, может быть удобно получить доступ к контенту из другой страны, которая блокирует ваш доступ.

Однако даже эти преимущества не являются специфическими для технологии VPN, поскольку есть и другие способы.

Если ваша цель — исследовать темную сторону луны или обойти власти (возможно, противников правительства), вы не используете VPN, даже если некоторые провайдеры осмеливаются использовать эту чушь в качестве маркетингового аргумента:

На прошлой неделе стало ясно, что пределы допустимого для некоторых анонимных почтовых служб стали известны после разоблачений того, что провайдер услуг VPN HideMyAss.com, базирующийся в Соединенном Королевстве, передал информацию, которая привела к арест 23-летнего Коди Кретсингера в Финиксе.

[Источник: Darkreading] (https://www.darkreading.com/risk/lulzsec-suspect-learns-even-hidemyass-com-has-limits)

Я признаю, что это крайний пример, хотя. Если вам есть что скрывать, не обязательно хактивизм или преступная деятельность, но, например, порноистория или какой-то поиск в Интернете, вы не используете VPN.

VPN скрывает трафик от вашего интернет-провайдера, но не более того. Как я писал в другом посте, провайдеры VPN имеют строгие юридические обязанности, и некоторые из них могут регистрировать ваши действия и даже продавать ваш трафик.

Кроме того, использование VPN для конфиденциальности может вызвать любопытство. Тем не менее, это, вероятно, относится к любым мерам, которые вы принимаете для защиты своей жизни в наши дни.

VPN-трафик теперь систематически помечается почти всеми веб-платформами, и вам нужно решить больше CAPTCHA.

Не используйте VPN для шифрования интернет-трафика

Сторонники VPN часто объясняют, что сервис позволяет шифровать ваши данные, что делает вашу деятельность в Интернете более безопасной.

Не все провайдеры VPN используют новейшие протоколы, что иногда делает трафик более уязвимым, чем вы думаете. Кроме того, шифруется только соединение между вами и VPN-сервером (\~ безопасный туннель). Данные должны оставаться незашифрованными после того, как вы пройдете этот туннель, чтобы разрешить интернет-трафик.

Что такое Tor и каковы преимущества луковой маршрутизации?

Удивительно, как много люди думают о преступной деятельности, когда слышат о Tor. Хотя это, несомненно, один из аспектов проблемы, многие люди используют его по уважительным причинам, таким как свобода слова.

Tor — это луковый маршрутизатор, который состоит из оборачивания данных многоуровневым шифрованием с использованием нескольких случайных серверов ретрансляции. Каждый узел знает только путь к следующему ретранслятору. Теоретически никто из них не знает весь путь, особенно выходной узел, он же последний ретранслятор.

Он мощный и обеспечивает высокий уровень анонимности, но даже Tor не достигает «100%», которые рекламируют некоторые провайдеры VPN. Tor неоднократно взламывался несколькими трехбуквенными агентствами и международными организациями, такими как Европол, с использованием различных методов, таких как корреляционные атаки, но не только.

Кроме того, список выходных узлов общедоступен, поэтому многие веб-платформы блокируют любого, кто выходит из этих туннелей.

Вишенкой на торте является то, что ни VPN, ни Tor не защищают вас от вредоносных программ и других вирусов, которые вы можете загрузить, неосторожно нажав на вредоносные ссылки. Темная паутина — это не царство дьявола, но там много мошенничества, дезинформации и других электронных опасностей, что делает ее почти безопасным местом, если вы совершенно не знаете, что делаете.

Однако Tor создан для конфиденциальности, а VPN — нет.

Подождите, подождите, подождите... почему бы не использовать оба?

Это возможность. Действительно, некоторые люди подключаются к VPN-серверу перед использованием Tor. Это не решает всех проблем, но, по крайней мере, их интернет-провайдеры не знают, что они используют Tor.

Кроме того, это может помешать некоторым «плохим парням темной паутины» найти свой настоящий IP-адрес.

Обратите внимание, что использование VPN не обязательно, чтобы скрыть, что вы используете Tor. Луковый браузер имеет внутреннюю настройку для выбора моста Tor. Это выгодно пользователям в странах, где Tor заблокирован властями.

Однако Tor значительно медленнее из-за луковой маршрутизации, так что это не лучшая технология для всего.

Все дело в вашей модели угроз

OWASP определяет [моделирование угроз] (https://owasp.org/www-community/Threat_Modeling) как акт выявления, информирования и понимания угроз и их смягчения в контексте защиты чего-то ценного.

Это работает для приложений, но и для реальных людей. Есть определенные методы, которые вы должны применять в профессиональном контексте, но вы можете использовать простой здравый смысл, чтобы оценить свою личную ситуацию:

Что ты делаешь? Каковы или могут быть ваши противники?

Вы можете найти свою модель угроз и связанные с ними меры по снижению риска в соответствии с этими элементами.

Например, если вы подозреваете, что ваша семья, друзья или любовник интересуются вашими действиями, вам может потребоваться только ограничить свои учетные записи в социальных сетях (например, защищенные учетные записи Instagram или Twitter), защитить свой телефон и избегать использования слабых паролей.

Если у вас есть веские основания полагать, что власти следят за вашей деятельностью, но вы абсолютно не делаете ничего противозаконного, вам лучше использовать Tor и купить специальный телефон для звонков.

Однако это может заставить вас выглядеть еще более подозрительно, так что имейте в виду.

Исследователь безопасности или хактивист, вероятно, примет дополнительные меры безопасности, такие как использование специализированных операционных систем.

Некоторые могут даже купить специальное оборудование, возможно, за криптовалюту, не используя подключение к Интернету, которое в конечном итоге может указывать на личный адрес.

Однако это также может выглядеть довольно подозрительно (и немного параноидально).

В худшем случае, если вы занимаетесь очень опасной деятельностью (не обязательно преступной), которая может привести к серьезным неприятностям (например, предварительное расследование со стороны органов власти, возможно, государственных служб), то это может быть вопросом времени, прежде чем вы в конечном итоге пойманный.

Другими словами, есть случаи, когда смягчения последствий нет.

Как настроить и безопасно использовать Tor

Важно помнить, что Tor не препятствует сбору данных или снятию отпечатков пальцев браузера. Это может быть полезно для всего, что не требует учетной записи пользователя (без аутентификации).

Прежде чем вы начнете, есть несколько возможных конфигураций, и в зависимости от того, куда вы идете, вам может потребоваться установить максимальный уровень безопасности, что означает блокировку всех видов сценариев (без JavaScript). В противном случае вы можете подвергаться риску, даже если будете маршрутизировать свой трафик через Tor.

Опять же, в зависимости от вашего плана, вы можете принять дополнительные меры безопасности. Например, не используйте браузер tor непосредственно в вашей операционной системе. Вместо этого используйте виртуальные машины или, что еще лучше, другую операционную систему (например, Linux).

Лучше всего использовать живой USB-ключ, карту micro SD или внешний накопитель. После этого установите Tor Browser и просмотрите настройки конфиденциальности, чтобы установить самый безопасный режим (без JavaScript). Я бы также заставил Tor использовать только HTTPS, так как я не знаю, зачем мне посещать веб-сайт без https.

После этого никогда не раскрывайте личную информацию о себе и не используйте псевдонимы или изображения, которые могут привести к вам, куда бы вы ни пошли. Не нажимайте необдуманно на любую ссылку.

Не делайте ничего, кроме проверки электронной почты или запуска поиска Google в обычном браузере.

Tor не является решением для защиты от вредоносных программ, поэтому, если ваша машина уже заражена, например, кейлоггером, ваши действия вообще не будут конфиденциальными.

Однако это даже не самый безопасный способ. Специальные дистрибутивы Linux и операционные системы, такие как Tails, изолируют ваши действия и предотвращают классические атаки, анонимизируя конфиденциальные входные данные, такие как нажатия клавиш.

Вы также получите множество дополнительных функций для защиты вашей конфиденциальности. Если вы объедините его с установкой в ​​режиме реального времени, ваши действия будут стерты при отключении питания.

Заключение

100% анонимности не существует, используете ли вы Tor или VPN. У обоих есть свои преимущества и недостатки, но вы можете комбинировать их использование, чтобы добавить дополнительный уровень безопасности.

К сожалению, ни Tor, ни VPN не предотвращают неправомерное использование (например, вы подключаетесь к своей учетной записи Twitter во время подключения к VPN) и вредоносных атак. Однако провайдеры VPN могут предлагать для этого дополнительные услуги.

Короче говоря, лучше всего, если вы сможете подумать о своей модели угроз, чтобы выбрать подходящую стратегию для вашей конфиденциальности.

• Впервые опубликовано [здесь] (https://blog.julien-maury.dev/en/vpn-tor/)*