Tor hâlâ güvenli mi?

 (blog.torproject.org)
1 puan yazan GN⁺ 2024-09-19 | 1 yorum | WhatsApp'ta paylaş

Tor hâlâ güvenli mi?

Sorumlu açıklama

  • Yakın tarihli bir araştırma haberinde, eski Ricochet uygulamasını kullanan bir Tor kullanıcısının Onion Service'inin anonimliğinin kaldırıldığı bir olay bildirildi
  • Tor kullanıcıları, Tor Browser üzerinden web'e hâlâ güvenli ve anonim biçimde erişebilir
  • Kullanıcıların çoğu için Tor hâlâ en iyi gizlilik koruma çözümüdür
  • Ricochet-Refresh sürüm 3.0.12'den itibaren Vanguards-lite ve vanguards eklentileri eklenerek bu tür saldırılar önlenebilir

Daha fazla bilgi talebi

  • Chaos Computer Club (CCC), olayla ilgili belgelere erişebildi ancak Tor Project'e yalnızca sınırlı bilgi verildi
  • Tor Project, olay hakkında ek bilgi talep ediyor; böylece kullanıcıları korumak için en iyi önlemleri alabilir
  • Bilgilerin e-posta yoluyla paylaşılması isteniyor (security@torproject.org)

Sağlıklı bir ağ

  • Onion Services yalnızca Tor ağı içinden erişilebilir
  • Son birkaç yılda exit düğümü sayısı önemli ölçüde arttı ve 2019-2021 arasındaki saldırılar eski Ricochet uygulamasında gerçekleşti
  • Tor Browser kullanıcıları, bağlantı sürelerini kısa tutarsa 'timing' analizine karşı daha az savunmasız olur
  • Ağ sağlığı ekibi, kötü niyetli relay'leri tespit edip kaldırmak için bir süreç uyguluyor
  • Tor topluluğu ve relay operatörleriyle yürütülen diyalog sayesinde relay çeşitliliği sorununu çözmeye çalışıyor

Sizin nasıl yardımcı olabileceğiniz

  • Tor ağının donanım, yazılım ve coğrafi çeşitliliğini sağlamak için bant genişliği ve relay bağışında bulunulması öneriliyor
  • Tor yazılımını güncel tutmak ve Tor Project'in resmî kanallarında paylaşılan yönergeleri izlemek önemlidir
  • Tor, internet kullanıcılarının kitlesel ölçekte izlenmesini zorlaştıran merkeziyetsiz bir internet modeli sunan az sayıdaki alternatiften biridir

GN⁺ özeti

  • Bu yazı, eski Ricochet uygulamasını kullanan bir Tor kullanıcısının anonimliğinin kaldırılmasıyla ilgili araştırma haberine yanıt olarak yazıldı
  • Tor, kullanıcıların çoğu için hâlâ en iyi gizlilik koruma çözümüdür ve en güncel yazılım sürümünü kullanmak önemlidir
  • Tor ağının sağlığını korumak ve sürdürmek için bant genişliği ve relay bağışları gereklidir
  • Tor, merkeziyetsiz bir internet modeli sunarak kitlesel gözetimi zorlaştırır

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-19
Hacker News görüşleri

  • Tor düğümü işletmeye dair şüphe: Bir kişinin 1000 Tor düğümü çalıştırıp tüm logları kaydetmesi hâlinde belirli bir kullanıcıyı bulabileceği görüşü

    • Maliyetin aylık $5000’ın altında olacağı tahmin ediliyor
    • Belirli bir kullanıcı doğrudan hedeflenemese de, sonuçta tüm düğümlerin kendi düğümleri olduğu durumlar bulunabilir

  • Tor kullanımını engellemenin en iyi saldırı yöntemi olması: Tor’un güvenli olmadığını insanlara kabul ettirmeye çalışanların niyetlerinden şüphe etmek gerektiği görüşü

  • NDR raporu: NDR, zamanlama saldırısı üzerinden 'giriş sunucusunu' tespit edebildiğini iddia ediyor

    • Ayrıntı az olsa da, bu yöntemle daha önce tutuklamalar yapıldığını öne sürüyor

  • Tor acemisinin sorusu: Ulusal güvenlik kurumlarının düğümleri değiştirerek trafiği kendi kontrollerindeki başka düğümlere yönlendirip yönlendiremeyeceğine dair soru

  • Federal kurumların Tor düğümü işletmesi: Federal kurumlar yeterince fazla exit node işleterek Tor kullanımını riskli hâle getirebilir

    • Yasa dışı bir faaliyet planlıyorsanız Tor kullanmaktan kaçınmak daha iyi olabilir

  • Tor’un meşru kullanımıyla ilgili ilgi: Tor’un baskıcı rejimlerde vatandaşların web kullanımının izlenmesini zorlaştırmak için tasarlandığının anlaşıldığı görüşü

    • Tor’un kullanım amacı hakkında ciddi bir soru

  • CCC ile Tor Project arasındaki bilgi paylaşımı sorunu: CCC’nin neden bilgiyi Tor Project bakımcılarıyla paylaşmadığına dair soru

  • Guard discovery saldırısı: Saldırganın Tor istemcisinin guard relay’ini tespit edebildiği bir saldırı yöntemi

    • Hidden service protocol, guard discovery saldırıları için bir vektör sağlıyor

  • Tor kullanıcılarının kimliğini açığa çıkarma yöntemi: Genellikle zero-day exploit’lerle hedeflenen cihazlara saldırılarak yapılıyor

    • Tor Project, geniş çaplı anonimlik bozma saldırılarına dair güvenilir kanıt olmadığını savunuyor

  • Tor ve VPN hakkında mutlak ifadelerin verimsizliği: Her şey tehdidin bağlamına bağlı

    • Tehdit bir ulus-devlet aktörü ise, Tor dâhil hiçbir şey onların öğrenmek istemedikleri bilgileri elde etmelerini engelleyemez
    • Bazı ulus-devlet aktörleri Tor giriş/çıkış yönlendiricileri işletip trafik analizi yapabilir
    • Tor bazı insanlar için güvenli olabilirken, başkaları için bir risk işareti olabilir