diskusi.tech (beta) Community

loading...
Cover image for Apakah Tor Lebih Aman Dan Dapat Dipercaya?

Apakah Tor Lebih Aman Dan Dapat Dipercaya?

ghostimmortal profile image ghostimmortal ・25 min read

Ada banyak informasi yang salah yang dipromosikan di berbagai kalangan privasi tentang Tor. Artikel ini akan memeriksa beberapa fakta tentang Tor dan menilai apakah itu adalah alat privasi sempurna yang dibuat oleh beberapa orang.

Ada paduan suara yang berkembang dari orang-orang yang membabi buta merekomendasikan Tor kepada siapa pun yang mencari anonimitas online. Rekomendasi ini sering mengabaikan banyak bukti yang menunjukkan bahwa Tor bukanlah "alat privasi" yang dibuatnya.

Tidak ada alat privasi di atas kritik atau pengawasan, dan masing-masing memiliki pro dan kontra. Sayangnya, Tor telah mengumpulkan pengikut seperti kultus dalam beberapa tahun terakhir di antara orang-orang yang berpura-pura itu sempurna. Kritik jujur terhadap Tor sering dipenuhi dengan tuduhan "FUD" dan serangan ad-hominem, agar tidak mengganggu Groupthinkkolektif.

Jangankan fakta bahwa jaringan Tor adalah tempat nongkrong populer bagi pedofil dan pengedar narkoba – bersama dengan penegakan hukum yang menarik jenis ini. Sekarang, Tor dipasarkan sebagai semacam alat privasi akar rumput yang akan melindungi Anda dari pengawasan pemerintah dan berbagai aktor jahat.

Menurut Roger Dingledine (co-founder Tor) dan pengembang tor utama lainnya, membuat orang (di luar pemerintah AS) untuk secara luas mengadopsi Tor sangat penting bagi kemampuan pemerintah AS untuk menggunakan Tor untuk tujuannya sendiri. Dalam tujuan ini, mereka sebagian besar telah berhasil dengan Tor dipromosikan secara luas di berbagai kalangan privasi.

Tetapi apakah Tor benar-benar alat privasi yang aman dan dapat dipercaya?

Berikut fakta-faktanya.

1. Tor dikompromikan (dan tidak anonim)

Bahwa pemerintah dapat mende-anonim pengguna Tor adalah titik terkenal lain yang telah diakui selama bertahun-tahun.

Pada tahun 2013 Washington Post memecahkan sebuah artikel yang mengutip laporan bahwa lembaga pemerintah AS telah menemukan cara untuk mende-anonim pengguna Tor pada "skala luas". Dari Washington Post:

Sejak 2006, menurut sebuah makalah penelitian 49 halaman berjudul hanya "Tor," agensi telah bekerja pada beberapa metode yang, jika berhasil, akan memungkinkan NSA untuk melepaskan lalu lintas anonim dalam "skala luas" – secara efektif dengan menonton komunikasi saat mereka masuk dan keluar dari sistem Tor, daripada mencoba mengikuti mereka di dalam. Salah satu jenis serangan, misalnya, akan mengidentifikasi pengguna dengan perbedaan menit dalam waktu jam di komputer mereka.

Ada juga laporan dari lembaga pemerintah bekerja sama dengan peneliti untuk "istirahat" atau entah bagaimana mengeksploitasi Tor untuk de-anonim pengguna:

Kemudian pada bulan Juli, pembicaraan yang sangat diantisipasi di konferensi peretasan Black Hat tiba-tiba dibatalkan. Alexander Volynkin dan Michael McCord, akademisi dari Carnegie Mellon University (CMU), berjanji untuk mengungkapkan bagaimana kit seharga $ 3.000 dapat membuka kedok alamat IP layanan tersembunyi Tor serta pengguna mereka.

Deskripsinya memiliki kemiripan yang mengejutkan dengan serangan yang telah didokumentasikan oleh Proyek Tor awal bulan itu. Metode Volynkin dan McCord akan deanonymize pengguna Tor melalui penggunaan kerentanan baru-baru ini diungkapkan dan*"beberapa server yang kuat."* Selain itu, pasangan itu mengklaim bahwa mereka telah menguji serangan di alam liar.

Untuk perangkat keras senilai $ 3.000, tim dari Carnegie Mellon ini dapat secara efektif "membuka kedok" pengguna Tor. Dan ini terjadi pada tahun 2015.

Pada tahun 2016, kasus pengadilan membawa lebih banyak informasi ke cahaya tentang bagaimana pemerintah federal AS menyewa insinyur perangkat lunak untuk secara efektif memecahkan Tor dan de-anonymize pengguna.

Alt Text

ARS Technica juga membahas kasus ini pada bulan Februari 2016 di mana mereka mencatat:

Seorang hakim federal di Washington sekarang telah mengkonfirmasi apa yang telah diduga kuat:bahwa peneliti Carnegie Mellon University (CMU) di Software Engineering Institute dipekerjakan oleh pemerintah federal untuk melakukan penelitian untuk membobol Tor pada tahun 2014.

Tahun berikutnya, pada tahun 2017, lebih banyak bukti muncul menunjukkan bagaimana FBI dapat melihat apa yang Anda lakukan di Tor.

Ada juga peneliti yang merancang serangan yang memungkinkan mereka untuk tidak menganonimkan 81% pengguna Tor di alam liar. Artikel ini keluar pada tahun 2014, sebelum penelitian Carnegie Mellon dilakukan.

Alt Text

Kasus pengadilan 2017 membuktikan FBI dapat mende-anonim pengguna Tor

Cara FBI mampu mende-anonim pengguna Tor dan menemukan alamat IP asli mereka tetap informasi rahasia. Dalam kasus pengadilan 2017, FBI menolak untuk membocorkan bagaimana hal itu dapat melakukan ini, yang pada akhirnya menyebabkan pelaku pelecehan anak di jaringan Tor bebas. Dari Tech Times:

Dalam hal ini, FBI berhasil melanggar anonimitas janji Tor dan sarana yang digunakan untuk mengumpulkan bukti dari web gelap merupakan masalah sensitif. Teknik ini sangat berharga bagi FBI,sehingga pemerintah lebih suka berkompromi dengan kasus ini daripada merilis kode sumber yang digunakannya.

"Pemerintah sekarang harus memilih antara pengungkapan informasi rahasia dan pemecatan dakwaannya," kata jaksa federal Annette Hayes dalam pengajuan pengadilan pada hari Jumat.

Kucing itu keluar dari tas. FBI (dan mungkin lembaga pemerintah lainnya) telah terbukti sepenuhnya mampu de-anonimisasi pengguna Tor. Sebagian besar promotor Tor mengabaikan kasus-kasus yang berbeda ini dan implikasi yang jelas.

2. Pengembang Tor bekerja sama dengan lembaga pemerintah AS

Beberapa pengguna Tor mungkin terkejut mengetahui sejauh mana pengembang Tor bekerja secara langsung dengan lembaga pemerintah AS. Tor sering dipromosikan sebagai upaya privasi akar rumput untuk membantu Anda tetap "anonim" melawan Big Brother.

Seorang jurnalis dapat mengklarifikasi kerja sama ini melalui permintaan FOIA, yang mengungkapkan banyak pertukaran menarik.

Berikut adalah salah satu korespondensi email di mana Roger Dingledine membahas kerja sama dengan DOJ (Departemen Kehakiman) dan FBI (Biro Investigasi Federal), sementara juga merujuk*"backdoors"*yang diinstal.

Alt Text

Anda dapat melihat detail lebih lanjut dari korespondensi ini di sini.

Dalam pertukaran lain di bawah ini, pengembang Tor Steven Murdoch menemukan kerentanan dengan cara Tor menangani enkripsi TLS. Kerentanan ini membuatnya lebih mudah untuk mende-anonim pengguna Tor, dan dengan demikian, itu akan berharga bagi lembaga pemerintah. Mengetahui masalah yang bisa ditimbulkannya, Steven menyarankan untuk menjaga dokumen tetap internal,

... Mungkin baik untuk menunda pelepasan sesuatu seperti 'serangan ini buruk; Saya harap tidak ada yang menyadarinya sebelum kita memperbaikinya."

Delapan hari kemudian, berdasarkan email di bawah ini, Roger Dingledine memberi tahu dua agen pemerintah tentang kerentanan ini:

Alt Text

Meskipun ada ketidaksepakatan mengenai keseriusan masalah ini, satu hal tetap jelas.

Pengembang Tor bekerja sama dengan pemerintah AS.

Wartawan yang mengumpulkan dokumen FOIA juga menunjukkan bahwa, "Tor secara pribadi memberi tip kepada pemerintah federal terhadap kerentanan keamanan sebelum memperingatkan publik." Saya tidak benar-benar setuju dengan pernyataan ini atau beberapa kesimpulan lain yang dibuat oleh orang ini. Meskipun demikian, masalah besar tetap merupakan kerja sama yang erat antara pengembang Tor dan lembaga pemerintah AS.

Anda dapat melihat banyak pertukaran antara pengembang Tor dan lembaga pemerintah AS di sini. (Salinandokumen cadangan.)

Dan jika Anda benar-benar ingin menyelam, lihat cache FOIA lengkap di sini.

3. Ketika Anda menggunakan Tor, Anda menonjol seperti tongkat cahaya

Bertemu Eldo Kim. Dia adalah mahasiswa Harvard yang menganggap Tor akan membuatnya "anonim" ketika mengirim ancaman bom.

Alt Text

Kim tidak menyadari bahwa ketika dia terhubung ke Tor di jaringan universitas, dia akan menonjol seperti tongkat cahaya f *** ing.

Alt Text

FBI dan admin jaringan di Harvard dapat dengan mudah menentukan Kim karena dia menggunakan Tor sekitar waktu email ancaman bom dikirim melalui jaringan Tor. Dari pengaduan pidana:

Universitas Harvard dapat menentukan bahwa, dalam beberapa jam menjelang penerimaan pesan email yang dijelaskan di atas, ELDO KIM mengakses TOR menggunakan jaringan nirkabel Harvard.

Kasus ditutup.

Eldo Kim hanyalah salah satu dari banyak, banyak contoh orang yang telah membeli kebohongan bahwa Tor menyediakan anonimitas online selimut – dan kemudian membayar harganya.

Seandainya Kim menggunakan jembatan atau VPN sebelum mengakses jaringan Tor, dia mungkin akan lolos begitu saja (kita akan membahas ini lebih lanjut di bawah).

4. Siapa pun dapat mengoperasikan node Tor dan mengumpulkan data dan alamat IP Anda

Banyak pendukung Tor berpendapat bahwa sifat desentralisasinya adalah manfaat utama. Meskipun memang ada keuntungan untuk desentralisasi, ada juga risiko. Yaitu, siapa pun dapat mengoperasikan node Tor di mana lalu lintas Anda sedang diarahkan.

Ada banyak contoh orang yang menyiapkan node Tor untuk mengumpulkan data dari pengguna Tor yang mudah tertipu yang mengira mereka akan aman dan terjamin.

Ambil contoh Dan Egerstad, seorang hacker Swedia berusia 22 tahun. Egerstad menyiapkan beberapa node Tor di seluruh dunia dan mengumpulkan sejumlah besar data pribadi hanya dalam beberapa bulan:

Pada waktunya, Egerstad memperoleh akses ke 1000 akun email bernilai tinggi. Dia kemudian akan memposting 100 set login email sensitif dan kata sandi di internet untuk penjahat, mata-mata atau hanya remaja yang ingin tahu untuk digunakan untuk mengintip antar-pemerintah, LSM dan email perusahaan bernilai tinggi.

Pertanyaan di bibir semua orang adalah: bagaimana dia melakukannya? Jawabannya datang lebih dari seminggu kemudian dan agak anti-klimaks. Konsultan keamanan Swedia berusia 22 tahun itu hanya menginstal perangkat lunak open-source gratis – yang disebut Tor – pada lima komputer di pusat data di seluruh dunia dan memantaunya. Ironisnya, Tor dirancang untuk mencegah badan-badan intelijen, perusahaan dan hacker komputer dari menentukan virtual - dan fisik - lokasi orang-orang yang menggunakannya.

Orang-orang berpikir mereka dilindungi hanya karena mereka menggunakan Tor. Mereka tidak hanya berpikir itu dienkripsi, tetapi mereka juga berpikir 'tidak ada yang bisa menemukan saya'.

Untuk tidak menganggap lembaga pemerintah melakukan ini sekarang akan sangat naif.

Mengomentari kasus ini, konsultan keamanan Sam Stover menekankan risiko seseorang mengintip lalu lintas melalui node Tor:

Domestik, atau internasional . . . Jika Anda ingin melakukan pengumpulan intelijen, pasti ada data yang bisa didapat di sana. (Saat menggunakan Tor) Anda tidak tahu apakah beberapa orang di China mengawasi semua lalu lintas Anda, atau beberapa pria di Jerman, atau seorang pria di Illinois. Anda tidak tahu.

Bahkan, begitulah Wikileaks memulai. Para pendiri hanya mengatur node Tor untuk menyedot lebih dari satu juta dokumen pribadi. Menurut Wired:

WikiLeaks, situs whistleblowing kontroversial yang mengekspos rahasia pemerintah dan perusahaan, bootstrapped sendiri dengan cache dokumen yang diperoleh melalui operasi penyadapan internet oleh salah satu aktivis, menurut profil baru pendiri organisasi.

Aktivis itu menyedot lebih dari satu juta dokumen saat mereka melakukan perjalanan melintasi internet melalui Tor, juga dikenal sebagai "The Onion Router," alat privasi canggih yang memungkinkan pengguna menavigasi dan mengirim dokumen melalui internet secara anonim.

Apakah pemerintah menjalankan node Tor untuk pengumpulan data massal?

Egerstad juga menyarankan node Tor dapat dikendalikan oleh lembaga yang kuat (pemerintah) dengan sumber daya yang luas:

Selain peretas yang menggunakan Tor untuk menyembunyikan asal-usul mereka, masuk akal bahwa dinas intelijen telah menyiapkan node keluar nakal untuk mengendus data dari jaringan Tor.

"Jika Anda benar-benar melihat ke mana node Tor ini di-host dan seberapa besar mereka, beberapa node ini berharga ribuan dolar setiap bulan hanya untuk menjadi tuan rumah karena mereka menggunakan banyak bandwidth, mereka adalah server tugas berat dan sebagainya," kata Egerstad. "Siapa*yang akan membayar untuk ini dan menjadi anonim?"*

Kembali pada tahun 2014, lembaga pemerintah menyita sejumlah relay Tor yang berbeda dalam apa yang dikenal sebagai "Operasi Onymous". Dari blog Tor Project:

Selama beberapa hari terakhir, kami menerima dan membaca laporan yang mengatakan bahwa beberapa relay Tor disita oleh pejabat pemerintah. Kami tidak tahu mengapa sistem disita, kami juga tidak tahu apa-apa tentang metode penyelidikan yang digunakan. Secara khusus, ada laporan bahwa tiga sistem Torservers.net menghilang dan ada laporan lain oleh operator relay independen.

Mengomentari kasus ini, ARS Technica mencatat pada tahun 2014:

Pada tanggal 4 Juli, Proyek Tor mengidentifikasi sekelompok relay Tor yang secara aktif mencoba untuk memecahkan anonimitas pengguna dengan membuat perubahan pada header protokol Tor yang terkait dengan lalu lintas mereka melalui jaringan.

Relay nakal didirikan pada tanggal 30 Januari 2014 - hanya dua minggu setelah Blake Benthall diduga mengumumkan bahwa ia telah mengambil alih Silk Road 2.0 dan tak lama setelah petugas rahasia Homeland Security yang menyusup ke Silk Road 2.0 mulai dibayar untuk menjadi administrator situs. Relay tidak hanya bisa mende-anonim beberapa pengguna, tetapi mereka juga "mungkin mencoba untuk mempelajari siapa yang menerbitkan deskriptor layanan tersembunyi, yang akan memungkinkan penyerang untuk mempelajari lokasi layanan tersembunyi itu," pemimpin proyek Tor Roger Dingledine menulis dalam posting blog 30 Juli.

Tidak ada kontrol kualitas!

Masalah mendasar di sini adalah tidak ada mekanisme kontrol kualitas nyata untuk memeriksa operator relay Tor. Tidak hanya tidak ada mekanisme otentikasi untuk menyiapkan relay, tetapi operator itu sendiri juga dapat tetap anonim.

Dengan asumsi bahwa beberapa node Tor adalah alat pengumpulan data,juga akan aman untuk mengasumsikan bahwa banyak pemerintah yang berbeda terlibat dalam pengumpulan data, seperti pemerintah Cina, Rusia, dan AS.

Lihat pula: Node keluar jaringan Tor ditemukan mengendus lalu lintas yang lewat

5. Node Malicious Tor memang ada

Jika node Tor yang dikendalikan pemerintah tidak cukup buruk, Anda juga harus mempertimbangkan node Tor yang berbahaya.

Pada tahun 2016 sekelompok peneliti mempresentasikan sebuah makalah berjudul"HOnions: Towards Detection and Identification of Misbehaving Tor HSDirs",yang menggambarkan bagaimana mereka mengidentifikasi 110 relay Tor berbahaya:

Selama dekade terakhir infrastruktur privasi seperti Tor terbukti sangat sukses dan banyak digunakan. Namun, Tor tetap menjadi sistem praktis dengan berbagai keterbatasan dan terbuka untuk penyalahgunaan. Keamanan dan anonimitas Tor didasarkan pada asumsi bahwa sebagian besar relaynya jujur dan tidak berperilaku buruk. Khususnya privasi layanan tersembunyi tergantung pada operasi jujur Direktur Layanan Tersembunyi (HSDirs). Dalam karya ini kami memperkenalkan, konsep bawang madu (HOnions), kerangka kerja untuk mendeteksi dan mengidentifikasi perilaku buruk dan mengintip HSDirs. Setelah penyebaran sistem kami dan berdasarkan hasil eksperimen kami selama periode 72 hari, kami mendeteksi dan mengidentifikasi setidaknya 110 relay pengintaian tersebut. Selain itu, kami mengungkapkan bahwa lebih dari setengah dari mereka di-host pada infrastruktur cloud dan menunda penggunaan informasi yang dipelajari untuk mencegah traceback yang mudah.

Ketika "teori" konspirasi menjadi fakta konspirasi.

HSDirs berbahaya yang diidentifikasi oleh tim sebagian besar berlokasi di Amerika Serikat, Jerman, Prancis, Inggris dan Belanda.

Hanya beberapa bulan setelah masalah HSDir pecah, seorang peneliti yang berbeda mengidentifikasi node Tor berbahaya yang menyuntikkan malware ke dalam unduhan file.

Alt Text

Menurut ITProPortal:

Pihak berwenang menyarankan semua pengguna jaringan Tor untuk memeriksa komputer mereka untuk malware setelah muncul bahwa seorang hacker Rusia telah menggunakan jaringan untuk menyebarkan virus yang kuat. Malware ini disebarkan oleh node yang dikompromikan di jaringan Tor.

... Telah muncul bahwa salah satu node keluar ini telah dimodifikasi untuk mengubah program apa pun yang diunduh melalui jaringan. Hal ini memungkinkan penyerang untuk menempatkan kode executable sendiri dalam program tersebut, dan berpotensi mengendalikan komputer korban.

Karena node yang diubah, setiap Windows executable yang dapat diunduh melalui jaringan dibungkus dengan malware,dan yang mengkhawatirkan bahkan file yang diunduh melalui Pembaruan Windows terpengaruh.

Gunakan dengan risiko Anda sendiri.

Alt Text

Lihat juga:

Malware APT OnionDuke Didistribusikan Melalui Node Exit Tor Berbahaya

6. Tidak ada surat perintah yang diperlukan untuk memata-matai pengguna Tor

Kasus menarik lainnya yang menyoroti kekurangan Tor datang dari 2016 ketika FBI mampu menyusup ke Tor untuk menghancurkan kelompok pedofil lain.

Alt Text

Menurut Tech Times:

Biro Investigasi Federal AS (FBI) masih dapat memata-matai pengguna yang menggunakan browser Tor untuk tetap anonim di web.

Hakim Senior Pengadilan Distrik AS Henry Coke Morgan, Jr. telah memutuskan bahwa FBI tidak memerlukan surat perintah untuk meretas sistem komputer warga negara AS. Putusan oleh hakim distrik berkaitan dengan sengatan FBI yang disebut Operasi Pacifier, yang menargetkan situs pornografi anak yang disebut PlayPen di dark web.

Terdakwa menggunakan Tor untuk mengakses situs web ini. Badan federal, dengan bantuan alat hacking pada komputer di Yunani, Denmark, Chili dan AS, mampu menangkap 1.500 pedofil selama operasi.

Meskipun sangat bagus untuk melihat jenis penjahat ini ditutup, kasus ini juga menyoroti kerentanan parah Tor sebagai alat privasi yang dapat dipercaya oleh wartawan, pembangkang politik, whistleblower, dll.

Hakim dalam kasus ini secara resmi memutuskan bahwa pengguna Tor tidak memiliki "harapan privasi yang masuk akal"dalam menyembunyikan alamat IP dan identitas mereka. Ini pada dasarnya membuka pintu bagi setiap lembaga pemerintah AS yang dapat memata-matai pengguna Tor tanpa mendapatkan surat perintah atau melalui saluran hukum apa pun.

Ini, tentu saja, adalah perhatian serius ketika Anda mempertimbangkan bahwa wartawan, aktivis, dan whistleblower didorong untuk menggunakan Tor untuk bersembunyi dari lembaga pemerintah dan pengawasan massal.

Sekarang mari kita menempatkan ini semua ke dalam konteks dengan melihat sejarah Tor dan itu pendanaan.

7. Tor diciptakan oleh pemerintah AS (karena suatu alasan)

Saya lupa menyebutkan sebelumnya, mungkin sesuatu yang akan membuat Anda melihat saya dalam cahaya baru. Saya kontrak untuk Pemerintah Amerika Serikat untuk membangun teknologi anonimitas bagi mereka dan menyebarkannya. Mereka tidak menganggapnya sebagai teknologi anonimitas, meskipun kami menggunakan istilah itu. Mereka menganggapnya sebagai teknologi keamanan. Mereka membutuhkan teknologi ini sehingga mereka dapat meneliti orang-orangyang mereka minati, sehingga mereka dapat memiliki garis tip anonim, sehingga mereka dapat membeli barang-barang dari orang-orang tanpa negara lain mencari tahu apa yang mereka beli, berapa banyak yang mereka beli dan ke mana arahnya, hal semacam itu.

Roger Dingledine, salah satu pendiri Tor, pidato 2004

Kutipan ini saja harus meyakinkan setiap orang yang rasional untuk tidak pernah menggunakan jaringan Tor, kecuali tentu saja Anda ingin menggosok bahu dengan hantu pemerintah di Dark Web.

Sejarah Tor kembali ke tahun 1990-an ketika Kantor Penelitian Angkatan Laut dan DARPA bekerja untuk menciptakan jaringan anonimitas online di Washington, DC. Jaringan ini disebut "onion routing" dan memantul lalu lintas di node yang berbeda sebelum keluar ke tujuan akhir.

Pada tahun 2002, versi Alpha dari Tor dikembangkan dan dirilis oleh Paul Syverson (Kantor Naval Research), serta Roger Dingledine dan Nick Mathewson, yang keduanya pada kontrak dengan DARPA. Tim tiga orang ini, yang bekerja untuk pemerintah AS, mengembangkan Tor menjadi seperti sekarang ini.

Kutipan di atas diambil dari pidato tahun 2004 oleh Roger Dingledine, yang juga dapat Anda dengarkan di sini.

Setelah Tor dikembangkan dan dirilis untuk penggunaan umum, akhirnya dipisahkan sebagai organisasi nirlabanya sendiri, dengan panduan yang berasal dari Electronic Frontier Foundation (EFF):

Pada akhir tahun 2004, dengan teknologi Tor akhirnya siap untuk penyebaran, Angkatan Laut AS memotong sebagian besar dana Tor-nya, merilisnya di bawah lisensi open source dan, anehnya, proyek tersebut diserahkan kepada Electronic Frontier Foundation.

Electronic Frontier Foundation (EFF) tetap menjadi salah satu promotor terbesar Tor saat ini, yang tidak mengherankan mengingat hubungan mendalam EFF dengan proyek tersebut.

8. Tor didanai oleh pemerintah AS

Bukan rahasia lagi bahwa Tor didanai oleh berbagai lembaga pemerintah AS.

Pertanyaan kuncinya adalah apakah pendanaan pemerintah AS berdampak negatif terhadap independensi dan kepercayaan Tor sebagai alat privasi.

Beberapa wartawan telah meneliti dengan cermat hubungan keuangan antara Tor dan pemerintah AS:

Tor selalu menyatakan bahwa itu didanai oleh "berbagai sumber" dan tidak terikat pada satu kelompok kepentingan. Tapi saya menghitung angka-angka dan menemukan bahwa kebalikannya adalah benar: Pada tahun tertentu, Tor menarik antara 90 hingga 100 persen dari anggarannya melalui kontrak dan hibah yang berasal dari tiga cabang militer-intel pemerintah federal: Pentagon, Departemen Luar Negeri dan organisasi spin-off CIA sekolah tua yang disebut BBG.

Sederhananya: data keuangan menunjukkan bahwa Tor bukan organisasi anti-negara akar rumput indie yang diklaimnya. Itu adalah kontraktor militer. Bahkan memiliki nomor referensi kontraktor militer resminya sendiri dari pemerintah.

Berikut adalah beberapa sumber pendanaan pemerintah yang berbeda untuk Proyek Tor selama bertahun-tahun:

Dewan GubernurPenyiaran :

"Dewan Penyiaran Gubernur (BBG) [sekarang disebut Badan Media Global AS],sebuah badan federal yang dipisahkan dari CIA dan hari ini mengawasi operasi penyiaran asing Amerika, mendanai Tor hingga *$ 6,1 juta** pada tahun-tahun dari 2007 hingga 2015."* (sumber)

Departemen Luar Negeri:

"Departemen Luar Negeri mendanai Tor hingga $ 3,3 juta, sebagian besar melalui lengan perubahan rezimnya – divisi "Demokrasi, Hak Asasi Manusia dan Tenaga Kerja" Departemen Luar Negeri. (sumber)

Pentagon:

"Dari 2011 hingga 2013, **Pentagon mendanai Tor hingga $ 2,2 juta,melalui kontrak Departemen Pertahanan / Angkatan Laut AS – melewati kontraktor pertahanan bernama SRI International." (sumber)

Hibah ini disebut: "Penelitian dan Pengembangan Dasar dan Terapan di Bidang yang Berkaitan dengan Komando Angkatan Laut, Kontrol, Komunikasi, Komputer, Intelijen, Pengawasan, dan Pengintaian."

Kita juga bisa melihat apa yang dikatakan proyek Tor tentang masalah ini.

Ketika meminta dana pada tahun 2005, Tor mengklaim bahwa donor akan dapat "mempengaruhi" arah proyek:

Kami sekarang secara aktif mencari kontrak dan pendanaan baru. Sponsor Tor mendapatkan perhatian pribadi, dukungan yang lebih baik, publisitas (jika mereka menginginkannya), dan dapat mempengaruhi arah penelitian dan pengembangan kami!

Di sana Anda memilikinya. Tor mengklaim donor mempengaruhi arah penelitian dan pengembangan – sebuah fakta yang bahkan diakui oleh tim Tor.

Apakah Anda benar-benar berpikir pemerintah AS akan menginvestasikan jutaan dolar ke dalam alat yang menghambat kekuatannya?

9. Ketika Anda menggunakan Tor, Anda membantu pemerintah AS melakukan hal-hal seram

Pemerintah Amerika Serikat tidak bisa begitu saja menjalankan sistem anonimitas untuk semua orang dan kemudian menggunakannya sendiri saja. Karena setiap kali koneksi datang dari sana orang akan berkata, "Oh, itu agen CIA lain yang melihat situs web saya,"jika itu adalah satu-satunya orang yang menggunakan jaringan. Jadi Anda perlu memiliki orang lain yang menggunakan jaringan sehingga mereka berbaur bersama.

Roger Dingledine, salah satu pendiri Tor Network, pidato 2004

Implikasi dari pernyataan ini cukup serius.

Ketika Anda menggunakan Tor, Anda benar-benar membantu pemerintah AS. Lalu lintas Anda membantu menyembunyikan agen CIA yang juga menggunakan Tor, seperti yang ditunjukkan Dingledine dan wartawan.

Tor pada dasarnya adalah alat bagi pemerintah AS,dan tetap demikian hari ini:

Tujuan asli dan saat ini Tor adalah untuk menyelubungi identitas online agen dan informan pemerintah saat mereka berada di lapangan: mengumpulkan intelijen, menyiapkan operasi sengatan, memberi aset intelijen manusia cara untuk melaporkan kembali kepada penangan mereka – hal semacam itu. Informasi ini ada di luar sana, tetapi tidak terlalu dikenal, dan tentu saja tidak ditekankan oleh mereka yang mempromosikannya.

Anda tidak akan pernah mendengar promotor Tor mendiskusikan betapa pentingnya bagi pemerintah AS untuk mendapatkan orang lain di jaringan Tor. Ini tetap menjadi topik tabu yang hanya dihindari oleh pendukung Tor.

Situs web Proyek Tor juga membahas bagaimana Tor secara aktif digunakan oleh lembaga pemerintah untuk tujuan yang berbeda:

Cabang Angkatan Laut AS menggunakan Tor untuk pengumpulan intelijen open source, dan salah satu timnya menggunakan Tor saat dikerahkan di Timur Tengah baru-baru ini. Penegak hukum menggunakan Tor untuk mengunjungi atau mengawasi situs web tanpa meninggalkan alamat IP pemerintah di log web mereka, dan untuk keamanan selama operasi sengatan.

Michael Reed, pengembang awal Tor lainnya, menjelaskan bagaimana hal itu selalu menjadi alat untuk operasi militer dan intelijen pemerintah AS:

Yang asli * PERTANYAAN * berpose yang mengarah pada penemuan Onion Routing adalah, "Dapatkah kita membangun sistem yang memungkinkan untuk komunikasi dua arah melalui Internet di mana sumber dan tujuan tidak dapat ditentukan oleh titik tengah?" **PURPOSE* adalah untuk penggunaan DoD / Intelligence (pengumpulan intelijen open source, yang mencakup aset yang dikerahkan ke depan, apa pun).* Tidak membantu para pembangkang di negara-negara represif. Tidak membantu penjahat dalam menutupi jejak elektronik mereka. Tidak membantu pengguna bit-torrent menghindari penuntutan MPAA / RIAA. Tidak memberi anak berusia 10 tahun cara untuk memotong filter anti-porno. Tentu saja, kami tahu itu akan menjadi kegunaan lain yang tidak dapat dihindari untuk teknologi, tetapi itu tidak penting untuk masalah yang kami coba selesaikan (dan jika penggunaan itu akan memberi kami lebih banyak lalu lintas penutup untuk menyembunyikan dengan lebih baik apa yang ingin kami gunakan jaringan untuk, semua lebih baik... Saya pernah mengatakan kepada seorang petugas bendera yang banyak kecewa).

Berikut adalah pengembang Tor awal lainnya yang menumpahkan kacang. Tor tidak pernah dimaksudkan untuk "pembangkang di negara-negara represif" atau membantu berbagai aktivis privasi yang memperjuangkan hak asasi manusia, begitulah cara Tor dipromosikan hari ini.

Seperti yang ditegaskan Roger Dingledine dalam kutipan pembukaan untuk bagian ini, Paul Syverson (co-founder Tor) juga menekankan pentingnya membuat orang lain menggunakan Tor, sehingga membantu agen pemerintah melakukan pekerjaan mereka dan tidak menonjol sebagai satu-satunya pengguna Tor:

Jika Anda memiliki sistem yang hanya sistem Angkatan Laut, apa pun yang muncul dari itu jelas dari Angkatan Laut. Anda harus memiliki jaringan yang membawa lalu lintas untuk orang lain juga.

Tor dicap oleh banyak individu dan kelompok yang berbeda sebagai proyek akar rumput untuk melindungi orang dari pengawasan pemerintah. Pada kenyataannya, bagaimanapun, itu adalah alat untuk agen pemerintah yang benar-benar menggunakannya untuk operasi militer dan intelijen (termasuk memata-matai mereka yang berpikir mereka "anonim" di Tor).

Utilitas Tor untuk aparat pengawasan militer dijelaskan dengan baik dalam kutipan berikut:

Tor diciptakan bukan untuk melindungi masyarakat dari pengawasan pemerintah, melainkan, untuk menyelubungi identitas online agen intelijen saat mereka mengintip bidang-bidang yang menarik. Tetapi untuk melakukan itu, Tor harus dibebaskan ke publik dan digunakan oleh sekelompok orang yang beragam mungkin: aktivis, pembangkang, jurnalis, paranoia, sampah porno kiddie, penjahat dan bahkan calon teroris – semakin besar dan aneh kerumunan, semakin mudah bagi agen untuk bercampur dan bersembunyi di depan mata.

Menurut pengembang dan co-founder Tor ini, ketika Anda menggunakan Tor, Anda membantu agen pemerintah AS dalam melakukan apa pun yang mereka lakukan di jaringan Tor. Mengapa ada orang yang mengadvokasi privasi dan hak asasi manusia ingin melakukan itu?

10. Kebocoran alamat IP saat menggunakan Tor

Masalah berulang lainnya dengan Tor adalah kebocoran alamat IP - masalah serius yang akan mende-anonim pengguna Tor, bahkan jika kebocorannya singkat.

Pada bulan November 2017 ditemukan cacat yang mengekspos alamat IP asli pengguna Tor jika mereka mengklik alamat berbasis file lokal, seperti file://., daripada http:// atau https://.

apakah tor aman

Masalah ini menggambarkan masalah yang lebih besar dengan Tor: itu hanya mengenkripsi lalu lintas melalui browser Tor,sehingga meninggalkan semua lalu lintas (non-Tor browser) lainnya terbuka.

Tidak seperti VPN yang mengenkripsi semua lalu lintas pada sistem operasi Anda, jaringan Tor hanya berfungsi melalui browser yang dikonfigurasi untuk Tor. (Lihat panduan'apa itu VPN'untuk ikhtisar.)

Desain ini membuat pengguna Tor rentan terhadap kebocoran yang akan mengekspos identitas mereka dalam berbagai situasi:

  • Tor tidak menawarkan perlindungan saat torrent dan akan membocorkan alamat IP pengguna dengan klien torrent.
  • Tor dapat membocorkan alamat IP saat mengakses file, seperti PDF atau dokumen lainnya, yang kemungkinan akan melewati pengaturan proxy.
  • Pengguna Windows juga rentan terhadap berbagai jenis kebocoran yang akan mengekspos alamat IP asli pengguna.

tor jendela

Penting untuk dicatat, bagaimanapun, bahwa seringkali de-anonimisasi adalah karena kesalahan pengguna atau kesalahan konfigurasi. Oleh karena itu menyalahkan tidak terletak pada Tor itu sendiri, melainkan dengan orang-orang yang tidak menggunakan Tor dengan benar.

Dan Eggerstad menekankan masalah ini juga ketika ia menyatakan:

Orang-orang berpikir mereka dilindungi hanya karena mereka menggunakan Tor. Mereka tidak hanya berpikir itu dienkripsi, tetapi mereka juga berpikir 'tidak ada yang bisa menemukan saya'. Tetapi jika Anda telah mengkonfigurasi komputer Anda salah, yang mungkin lebih dari 50 persen orang yang menggunakan Tor memiliki,Anda masih dapat menemukan orang (di) sisi lain.

Sekali lagi, pengguna non-teknis akan lebih baik menggunakan layanan VPN yang baik yang menyediakan enkripsi lalu lintas di seluruh sistem dan sakelar pembunuh yang efektif untuk memblokir semua lalu lintas jika koneksi VPN turun.

11. Menggunakan Tor dapat membuat Anda menjadi target

Seperti yang kita lihat di atas dengan tipuan ancaman bom, Eldo Kim menjadi sasaran karena dia berada di jaringan Tor ketika ancaman bom dikirim.

Pakar keamanan lainnya juga memperingatkan tentang pengguna Tor yang menjadi sasaran hanya karena menggunakan Tor.

Selain itu, sebagian besar tempat yang benar-benar represif benar-benar mencari Tor dan menargetkan orang-orang itu. VPN digunakan untuk menonton Netflix dan Hulu, tetapi Tor hanya memiliki satu kasus penggunaan – untuk menghindari pihak berwenang. Tidak ada penutup. (Ini mengasumsikan itu digunakan untuk menghindari bahkan di negara yang tidak mampu melanggar anonimitas Tor.)

Dalam banyak hal Tor bisa lebih berisiko daripada VPN:

  1. VPN (biasanya) tidak aktif berbahaya
  2. VPN memberikan perlindungan yang baik bahwa Tor tidak bisa – "Saya menggunakannya untuk menonton video Hulu" jauh lebih baik daripada – "Saya hanya mencoba membeli obat-obatan terlarang secara online"

Seperti yang telah kami tunjukkan di sini sebelumnya, VPN lebih banyak digunakan daripada Tor - dan untuk berbagai alasan (sah), seperti streaming Netflix dengan VPN.

Jadi mungkin Anda masih perlu (atau ingin?) untuk menggunakan Tor. Bagaimana Anda bisa melakukannya dengan lebih aman?


Cara (lebih) menggunakan Tor dengan aman

Mengingat bahwa Tor dikompromikan dan aktor yang buruk dapat melihat alamat IP sebenarnya dari pengguna Tor, akan lebih bijaksana untuk mengambil tindakan pencegahan ekstra. Ini termasuk menyembunyikan alamat IP asli Anda sebelum mengakses jaringan Tor.

Untuk menyembunyikan alamat IP Anda saat mengakses Tor, cukup sambungkan ke server VPN (melalui klien VPN di komputer Anda) dan kemudian akses Tor seperti biasa (seperti melalui browser Tor). Ini akan menambahkan lapisan enkripsi antara komputer Anda dan jaringan Tor, dengan alamat IP server VPN menggantikan alamat IP asli Anda.

Catatan:Ada berbagai cara untuk menggabungkan VPN dan Tor. Saya hanya merekomendasikan pengaturan berikut: Anda > VPN > Tor > Internet (juga disebut "Tor over VPN" atau "Onion over VPN").

apakah tor aman

Dengan pengaturan ini, bahkan jika aktor jahat menjalankan server Tor dan mencatat semua alamat IP yang menghubungkan, alamat IP asli Anda akan tetap tersembunyi di balik server VPN (dengan asumsi Anda menggunakan VPN yang baik tanpa kebocoran).

Berikut adalah manfaat routing lalu lintas Anda melalui VPN yang aman sebelum jaringan Tor:

  1. Alamat IP asli Anda tetap tersembunyi dari jaringan Tor (Tor tidak dapat melihat siapa Anda)
  2. Penyedia internet (ISP) atau admin jaringan Anda tidak akan dapat melihat Anda menggunakan Tor (karena lalu lintas Anda dienkripsi melalui server VPN).
  3. Anda tidak akan menonjol banyak dari pengguna lain karena VPN lebih populer daripada Tor.
  4. Anda mendistribusikan kepercayaan antara Tor dan VPN. VPN dapat melihat alamat IP Anda dan Tor dapat melihat lalu lintas Anda (situs yang Anda kunjungi), tetapi tidak akan memiliki alamat IP dan aktivitas penjelajahan Anda.

Bagi siapa pun yang tidak mempercayai VPN, ada beberapa layanan VPN tanpa log yang diverifikasi yang telah terbukti benar-benar "tidak ada log".

Anda dapat mendaftar untuk VPN dengan akun email anonim yang aman (tidak terhubung ke identitas Anda). Untuk yang benar-benar paranoid, Anda juga dapat membayar dengan Bitcoin atau metode pembayaran anonim lainnya. Sebagian besar VPN tidak memerlukan nama untuk pendaftaran, hanya alamat email yang valid untuk kredensial akun. Menggunakan VPN di yurisdiksi lepas pantai yang aman (di luar 14 Mata)mungkin juga baik, tergantung pada model ancaman Anda.

Bagi mereka yang mencari tingkat anonimitas tertinggi, Anda dapat merantai beberapa VPN melalui mesin virtual Linux (menggunakan Virtualbox, yaitu FOSS). Anda juga dapat menggunakan VPN1 di router Anda, VPN2 di komputer Anda, dan kemudian mengakses internet biasa (atau jaringan Tor) melalui dua lapisan enkripsi melalui dua layanan VPN terpisah. Ini memungkinkan Anda untuk mendistribusikan kepercayaan di berbagai layanan VPN dan memastikan VPN tidak dapat memiliki alamat IP dan lalu lintas masuk Anda. Ini dibahas lebih lanjut dalam panduan saya tentang layanan VPN multi-hop.

Catatan:Klaim bahwa "VPN sepenuhnya, 100%, satu titik / entitas yang harus Anda percayai" adalah salah. Klaim ini datang dari promotor Tor ini yang kebetulan bekerja untuk Naval Research Labpemerintah AS.

Ketika Anda merantai VPN,Anda dapat mendistribusikan kepercayaan di berbagai layanan VPN dan yurisdiksi yang berbeda di seluruh dunia, semuanya dibayar secara anonim dan tidak terkait dengan identitas Anda. Dengan Tor saja, Anda menaruh semua kepercayaan Anda pada The Onion Router ...

Tor Project setuju dengan manfaat menambahkan VPN

Proyek Tor juga menyetujui manfaat menggunakan VPN dengan *benar* dengan Tor,seperti yang saya sarankan di atas. Berikut adalah beberapa kutipan dari Proyek Tor tentang manfaat menggunakan VPN sebelum Tor (diarsipkan):

  1. "Mungkin mencegah ISP Anda dll dari melihat bahwa Anda menggunakan Tor"
  2. Routing Tor melalui VPN "bisa menjadi ide yang bagus dengan asumsi jaringan penyedia VPN Anda sebenarnya cukup aman daripada jaringan Anda sendiri." [VPN tanpa log yang diverifikasi jauh lebih aman daripada penyedia internet yang memiliki nama, tanggal lahir, rincian pembayaran, dan mengumpulkan data Anda dan membagikannya dengan agen pengawasan,seperti halnya dengan penyedia internet AS.]
  3. "Keuntungan lain di sini adalah mencegah Tor melihat siapa Anda di belakang VPN. Jadi jika seseorang berhasil memecahkan Tor dan mempelajari alamat IP lalu lintas Anda berasal, ... Maka kamu akan lebih baik."

Sementara saya umumnya setuju dengan poin di atas, sayangnya, Proyek Tor juga menyatakan beberapa informasi yang salah di awal artikel mereka sebagai berikut, "Sebagian besar penyedia VPN / SSH log, ada jejak uang, jika Anda tidak dapat membayar benar-benar anonim."

Poin-poin ini tidak benar.

  • "Sebagian besar log penyedia VPN / SSH" – Ini sama sekali tidak benar. Ada banyak layanan VPN tanpa log dan juga sejumlah kecil VPN yang diverifikasi tidak ada log, setelah menjalani audit pihak ketiga, penyitaan server, atau panggilan pengadilan untuk data pengguna.
  • "Ada jejak uang" – Ini adalah kesalahpahaman besar yang dipromosikan oleh orang-orang yang tidak tahu apa yang mereka bicarakan. "Jejak uang" tidak ada hubungannya dengan efektivitas atau enkripsi VPN. VPN tidak ilegal dan menjadi alat privasi utama. Jika musuh tahu Anda memiliki langganan dengan layanan VPN tertentu, ini tidak ada hubungannya dengan efektivitas VPN Anda. Bahkan jika musuh memiliki nama pengguna dan kata sandi Anda, ini masih tidak ada hubungannya dengan efektivitas atau enkripsi VPN (itu hanya berarti musuh Anda dapat menggunakan VPN secara gratis). Enkripsi VPN bersifat dinamis dan dinegosiasikan baru dengan setiap koneksi. Dan jika Anda khawatir tentang "jejak uang" maka bayar secara anonim.
  • "Tidak bisa membayar benar-benar anonim" – Ini lagi-lagi salah, mungkin terang-terangan berbohong untuk menakut-nakuti orang dari VPN. Sebagian besar VPN menawarkan opsi pembayaran anonim, seperti kartu hadiah atau Bitcoin, tanpa nama yang diperlukan. Anda hanya memerlukan email yang valid, dan Anda dapat dengan mudah mengatur email anonim / pembakar untuk tujuan ini yang tidak terhubung ke identitas Anda. Selesai.

Catatan: Meskipun ada berbagai kasus yang membuktikan FBI dapat dengan mudah mende-anonim pengguna Tor, tidak pernah ada kasus pengadilan (yang pernah saya lihat) yang membuktikan FBI (atau lembaga pemerintah) dapat mende-anonim pengguna VPN, dengan asumsi ada enkripsi yang baik tanpa kebocoran. Sebaliknya, kami telah melihat beberapa kasus terisolasi di mana FBI menekan VPN untuk mencatat data pengguna dan memberikan ini kepada pihak berwenang untuk mengidentifikasi pengguna tertentu, seperti dengan kasus penebangan IPVanish di AS.

Kerentanan tor dan VPN

Ada serangan lain yang diakui Oleh Proyek Tor akan mende-anonim pengguna Tor(diarsipkan):

Seperti disebutkan di atas, adalah mungkin bagi pengamat yang dapat melihat Anda dan situs web tujuan atau simpul keluar Tor Anda untuk menghubungkan timing lalu lintas Anda saat memasuki jaringan Tor dan juga saat keluar. Tor tidak membela terhadap model ancaman seperti itu.

Sekali lagi, VPN dapat membantu mengurangi risiko de-anonimisasi dengan menyembunyikan alamat IP sumber Anda sebelum mengakses simpul penjaga di sirkuit Tor.

Bisakah keluar node menguping komunikasi? Dari Proyek Tor:

Ya, orang yang menjalankan node keluar dapat membaca byte yang masuk dan keluar sana. Tor menganonimkan asal lalu lintas Anda, dan itu memastikan untuk mengenkripsi segala sesuatu di dalam jaringan Tor, tetapi tidak secara ajaib mengenkripsi semua lalu lintas di seluruh Internet.

Namun, VPN tidak dapat melakukan apa pun tentang node keluar Tor yang buruk yang menguping lalu lintas Anda, meskipun itu akan membantu menyembunyikan siapa Anda (tetapi lalu lintas Anda juga dapat memberi Anda pergi).

Saya membahas poin-poin ini lebih banyak dalam perbandingan VPN vs Tor saya.

Kesimpulan tentang Tor

Tidak ada alat privasi yang di atas kritik.

Sama seperti dengan Tor, saya juga telah menunjukkan banyak masalah dengan VPN, termasuk VPN yang tertangkap berbohong tentang log, penipuanVPN, dan layanan VPN gratisyang berbahaya. Semua alat privasi dilengkapi dengan pro dan kontra. Memilih alat terbaik untuk pekerjaan itu semuanya bermuara pada model ancaman dan kebutuhan unik Anda.

Sayangnya, bagi banyak orang di komunitas privasi, Tor sekarang dianggap sebagai alat yang sempurna untuk anonimitas selimut, dan mempertanyakan dogma ini berarti Anda "menyebarkan FUD". Ini menyedihkan.

Sebagai penutup, untuk pengguna reguler yang mencari lebih banyak keamanan dan anonimitas online, saya hanya akan menghindari Tor sama sekali. VPN akan menawarkan enkripsi di seluruh sistem, kecepatan yang jauh lebih cepat, dan klien yang mudah digunakan untuk berbagai perangkat dan sistem operasi. Ini juga akan mencegah ISP Anda melihat apa yang Anda lakukan secara online.

Selain itu, VPN lebih utama dan ada banyak alasan yang sah (dan legal!) untuk menggunakannya. Dibandingkan dengan Tor, Anda pasti tidak akan menonjol sebanyak dengan VPN.

Bagi mereka yang masih ingin mengakses jaringan Tor, melakukannya melalui layanan VPN yang andal akan menambahkan lapisan perlindungan tambahan sambil menyembunyikan alamat IP asli Anda.

Discussion

pic
Editor guide