Anatómia Toru: Ako "cibuľové" vrstvy skutočne fungujú (a kde môžu zlyhať)

Sieť Tor je srdcom a dušou anonymného internetu. Pre milióny ľudí – od novinárov pracujúcich v nebezpečných regiónoch, cez aktivistov bojujúcich proti autoritárskym režimom, až po bežných používateľov chrániacich si súkromie a aktérov z podsvetia – predstavuje digitálny štít, ktorý sľubuje ochranu pred všadeprítomným sledovaním. Väčšina ľudí pozná základný princíp: vaša komunikácia sa nejako magicky "odráža" cez niekoľko počítačov po svete, čím sa skryje vaša identita. Tento zjednodušený pohľad však skrýva komplexnú realitu plnú potenciálnych rizík, útočných vektorov a tenkých hraníc, na ktorých sa rozhoduje o úspechu či zlyhaní anonymity. Skutočný profesionál v operačnej bezpečnosti (OpSec) sa nepýta len "Ako Tor funguje?", ale kladie si oveľa dôležitejšiu otázku: "Kde a ako môže zlyhať?". Dnes rozpitváme anatómiu Toru a jeho cibuľových vrstiev a posvietime si na jeho slabiny – od zraniteľných výstupných uzlov až po najobávanejší útok, ktorý sa snažia použiť aj tie najmocnejšie spravodajské služby sveta.

Ako sa stávate duchom: Trik s tromi uzlami a vrstveným šifrovaním

Základná mágia Toru spočíva v koncepte cibuľového smerovania, ktorý, ako sme si povedali v našom archeologickom spise o zrode Toru, tak vznikol v laboratóriách amerického námorníctva. Keď spustíte Tor Browser a zadáte adresu webovej stránky, váš počítač si vytvorí zašifrovaný, trojstupňový "okruh" cez tri náhodne vybrané typy serverov (uzlov), ktoré prevádzkujú dobrovoľníci po celom svete. Predstavte si, že posielate list v troch obálkach, pričom každá je adresovaná inému poštárovi. Každý poštár môže otvoriť len tú svoju, vonkajšiu obálku, aby zistil, komu má list poslať ďalej, no nikdy nevidí finálnu adresu ani pôvodného odosielateľa.

1. Vstupný uzol (Entry/Guard Node): Toto je vaša prvá a najdôležitejšia brána do siete Tor. Tento uzol (pozná vašu skutočnú IP adresu), ale vďaka vrstvenému šifrovaniu vie, kto ste ale nevie, kam na internete smerujete. Vaša požiadavka je zašifrovaná trikrát a vstupný uzol vidí len to, že má dáta poslať ďalšiemu, strednému uzlu. Aby sa zvýšila bezpečnosť pred útokmi, kde by útočník mohol ovládať veľkú časť siete, váš Tor klient si zvyčajne vyberie niekoľko "strážnych" (guard) uzlov a používa ich dlhodobo, typicky niekoľko mesiacov. Tým sa minimalizuje šanca, že sa pri každom novom pripojení náhodne pripojíte na škodlivý vstupný uzol.
2. Stredný uzol: Tento uzol je len obyčajným preposielačom v strede reťazca. Je to najbezpečnejšia pozícia, pretože neprichádza do styku s citlivými informáciami. Jeho jedinou úlohou je rýchlo a bezpečne dešifrovať jednu vrstvu a preposlať zašifrovanú komunikáciu ďalej. Tieto uzly tvoria drvivú väčšinu siete.Nevie, odkiaľ dáta pôvodne prišli (vidí len IP adresu vstupného uzla), ani kam finálne smerujú (vidí len IP adresu výstupného uzla).
3. Výstupný uzol (Exit Node): Toto je najdôležitejší, ale zároveň najrizikovejší a najzraniteľnejší bod celého reťazca. Výstupný uzol je miestom, kde vaša komunikácia opúšťa anonymnú sieť Tor a vstupuje do bežného, "čistého" internetu. Tento uzol dešifruje finálnu vrstvu vašej komunikácie a pošle ju na cieľovú webovú stránku (napr. na www.google.com). Znamená to, že tento uzol (vidí len IP adresu stredného uzla), ale nevie, kto ste ale vidí presne to kam idete. A čo je najdôležitejšie: ak vaša komunikácia nie je dodatočne šifrovaná (cez protokol HTTPS), operátor výstupného uzla môže čítať všetku vašu komunikáciu v čistej podobe, vrátane prihlasovacích mien, hesiel, čísel kreditných kariet a súkromných správ. Práve preto je prvé OpSec pravidlo pri používaní Toru: Nikdy neverte výstupnému uzlu a vždy sa uistite, že komunikujete cez zabezpečené HTTPS spojenie (symbol zámku v prehliadači).

Slabiny v brnení: Najčastejšie útočné vektory

Hoci je architektúra Toru robustná, nie je to magický plášť neviditeľnosti. Existujú sofistikované útoky a bežné chyby, ktorých cieľom je prelomiť jeho anonymitu.

• Škodlivé výstupné uzly: ktokoľvek, vrátane hackerov, korporácií alebo spravodajských služieb, si môže vytvoriť vlastný výstupný uzol a čakať na nezašifrovanú prevádzku. Cez neho potom môžu monitorovať komunikáciu, kradnúť heslá (tzv. "password sniffing") alebo pomocou techniky "SSL stripping" donútiť váš prehliadač komunikovať cez nezabezpečené HTTP, aj keď stránka podporuje HTTPS.
• De-anonymizácia cez zraniteľnosti v prehliadači: Najčastejším a najúspešnejším spôsobom odhalenia nie je prelomenie siete Tor ako takej, ale útok na koncový bod – váš prehliadač musí mať poslednú a aktuálnu verziu Tor Browsera. Ak Tor Browser obsahuje bezpečnostnú dieru (ako v prípade NIT a prípadu Playpen, ktorému sme sa venovali), útočník môže pomocou škodlivého kódu (JavaScript, WebRTC) na webovej stránke prinútiť váš prehliadač, aby odhalil vašu skutočnú IP adresu. Preto je kriticky dôležité mať vždy a nikdy nemeniť jeho bezpečnostné nastavenia, ak neviete presne, čo robíte. 
• Ľudský faktor (OpSec zlyhanie): Najväčšou slabinou ste však stále vy. Ak sa v Tor Browseri prihlásite do svojho bežného Facebookového alebo Gmail účtu, práve ste prepojili svoju anonymnú session s reálnou identitou. Ak použijete rovnakú prezývku na Dark Webe ako na bežnom internete, alebo ak stiahnete a otvoríte podozrivý dokument (.pdf, .docx), ktorý môže obsahovať škodlivý kód volajúci "domov", žiadna technológia vás neochráni.

Svätý grál útokov: Časová korelácia a boj o infraštruktúru

Najobávanejším a technicky najnáročnejším útokom na Tor, o ktorom sa vie, že ho skúšajú štátni aktéri, je tzv. útok časovou koreláciou (end-to-end timing correlation attack). Predstavte si, že mocný aktér (ako napríklad NSA) dokáže sledovať veľkú časť internetovej prevádzky po celom svete. Ak tento aktér zároveň prevádzkuje (alebo má pod kontrolou) vstupný uzol, do ktorého vstupujete, a zároveň aj výstupný uzol, z ktorého vaša požiadavka vystupuje, môže vykonať nasledujúce:

1. Zaznamená si presný čas a veľkosť dátových paketov, ktoré od vás (z vašej IP adresy) vstupujú do jeho "Guard" uzla.
2. Zároveň si zaznamená presný čas a veľkosť paketov, ktoré vystupujú z jeho "Exit" uzla smerom k cieľovej stránke.
3. Hoci sú dáta zašifrované, zostávajú veľmi podobné, aj po prechode sieťou. Pomocou pokročilej štatistickej analýzy a porovnaním týchto dvoch dátových tokov dokáže s vysokou pravdepodobnosťou spárovať vstup a výstup a spojiť tak vás s cieľovou stránkou, aj bez dešifrovania samotnej komunikácie.

Tento útok je extrémne zložitý, nákladný a vyžaduje si obrovské zdroje a schopnosť monitorovať veľkú časť globálnej siete. Práve preto je hrozbou spájanou najmä so štátnymi spravodajskými službami a je to jeden z hlavných dôvodov, prečo sa vedie tichá "Vojna o uzly"– snaha ovládnuť čo najväčší počet uzlov v sieti, aby sa zvýšila pravdepodobnosť, že obeť použije práve tie ich.

Tor nie je magický plášť neviditeľnosti, ktorý vás ochráni pred všetkým. Je to neuveriteľne silný a robustný nástroj, no ako každý nástroj, má svoje limity a vyžaduje si znalého, disciplinovaného a opatrného používateľa. Pochopenie jeho slabín nie je dôvodom na strach, ale prvým a najdôležitejším krokom k jeho správnemu a bezpečnému používaniu. Pretože v digitálnom tieni nerozhoduje len sila vášho štítu, ale aj vaša vedomosť o tom, kde presne sa v ňom nachádzajú praskliny.