"Cebulowy ruter" przeciw cenzurze internetu w Rosji. Czyli pora na Tora. I na Snowflake!

UWAGA: Tekst został zaktualizowany 29 marca. Dodaliśmy na końcu rozbudowane odpowiedzi na pytania Czytelników dotyczące ograniczeń i zagrożeń związanych ze stosowania Tora i rozszerzenia Snowflake

Roskomnadzor (rosyjski regulator rynku medialnego, w tym mediów społecznościowych i internetu, w istocie cenzor sieci) wprowadził utrudnienia w korzystaniu z popularnych sieci społecznościowych. Pisałem o tym w OKO.press:

Państwowy cenzor zdecydował też o blokowaniu VPN-ów, z których Rosjanie i Rosjanki zaczęli masowo korzystać w celu obchodzenia cenzury. W odpowiedzi Twitter uruchomił usługę sieci Tor. Co to oznacza?

Sieć Tor pojawia się ostatnio w mediach coraz częściej w kontekście cenzury Internetu w Rosji. Sam też o niej wspominałem w poprzednich tekstach na ten temat. Szerokim echem odbiła się zwłaszcza informacja o tym, że Twitter uruchomił własną usługę tej sieci.

To ciekawe o tyle, że dotychczas Tor w polskich (i nie tylko polskich) mediach występował zwykle w jednoznacznie negatywnej roli złowróżbnego "darknetu", rzekomo pełnego złośliwego oprogramowania i cyberprzestępców (niepoprawnie przy tym nazywanych "hakerami").

Wyjaśnijmy więc, czym jest sieć Tor, czym się różni od VPNów, i jak korzystać z niej na co dzień. Oraz czemu warto mieć taką możliwość.

Czym jest sieć Tor?

Tor to tak zwana sieć wirtualna — "sieć w sieci", z której korzystać można tylko przy pomocy odpowiedniego oprogramowania.

Nazwa to skrót z angielskiego: "The Onion Router" ("router cebulowy"). Odnosi się do metody szyfrowania i anonimizacji połączeń. Połączenie nawiązywane jest przy pomocy kilku przekaźników sieci Tor, a wysyłane informacje szyfrowane są "na cebulkę", w taki sposób, aby żaden z nich nie miał pełnej informacji o tym, kto się z kim tak naprawdę próbuje połączyć. Dokładniej wyjaśniam to niżej w tekście.

Z Tora można korzystać przy łączeniu się ze zwykłymi usługami w Internecie (np. w celu obejścia ich blokady); istnieją też specjalne usługi (tzw. "ukryte usługi", od ang. "hidden services"; ich adresy kończą się na .onion) dostępne tylko poprzez Tora.

Te ukryte usługi czynią z Tora rodzaj darknetu. Choć brzmi to groźnie, jest to po prostu techniczny termin oznaczający sieci usług w Internecie dostępne wyłącznie przy pomocy specjalnego oprogramowania. Innymi przykładami darknetów są GNUnet, i2p, oraz… dowolne korporacyjne VPN-y dające osobom zatrudnionym dostęp do wewnętrznych usług danej firmy.

Tor w praktyce

Adres Twittera w sieci Tor to:

https://twitter3e4tixl4xyajtrzo62zg5vztmjuricljdp2c5kshju4avyoid.onion/

Adres kończący się na .onion oznacza, że jest to usługa dostępna tylko w sieci Tor. Żeby go odwiedzić, konieczna jest przeglądarka Tora (zbudowana na bazie przeglądarki Firefox). Można ją pobrać stąd. Wersje mobilne dostępne są w sklepach z aplikacjami (F-Droid, Google Play, AppStore).

To wszystko, czego potrzebujemy, by móc korzystać z Tora.

Jak najbardziej możemy też wchodzić na zwyczajne strony internetowe (jak https://oko.press) za pomocą przeglądarki Tor: nasze połączenia z nimi będą niemal tak samo anonimowe i bezpieczne, jak połączenia z usługami .onion, specjalnie uruchomionymi w tej sieci.

Warto przeglądarkę Tora zainstalować zawczasu; gdy zaczyna się cenzura Internetu, strona projektu Tor zwykle bardzo szybko zostaje zablokowana.

Oto kilka innych usług dostępnych pod adresami .onion:

• Facebook: https://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion
• ProtonMail: https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion
• BBC: https://www.bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
• Radio Wolna Europa: https://www.rferlo2zxgv23tct66v45s5mecftol5vod3hf4rqbipfp46fqu2q56ad.onion/
• Fundacja Panoptykon: http://pnptntqi2yh3jnb2nn7iegiueeaangbqijijtqhnlcomih6gukkmwsid.onion/

Uważni dostrzegą, że ostatni link zaczyna się na http:// zamiast https://. W przypadku adresów .onion nie ma to większego znaczenia, cała komunikacja z usługami sieci Tor jest szyfrowana.

Tor dba o to, by niemal niemożliwe było ustalenie, kto z kim się komunikuje, na podstawie samej analizy ruchu (jak to działa wyjaśniam poniżej). Oczywiście nie chroni nas to, jeśli sami podamy swoje dane usłudze, z którą się łączymy. Warto mieć to na uwadze!

Kto go używa?

Na co dzień sieć Tor jest regularnie wykorzystywana przez dziennikarki i dziennikarzy (na przykład odegrał istotną rolę przy Panama Papers) oraz sygnalistki i sygnalistów (jak Chelsea Manning).

Jest niezbędny dla utrudniającego identyfikację źródeł dziennikarskich narzędzia SecureDrop, używanego m.in. przez brytyjskiego "The Guardian" czy amerykański "Washington Post".

Tor jest kluczowym narzędziem dla osób zaangażowanych w aktywizm. Na jego bazie powstają również narzędzia bezpiecznej, anonimowej komunikacji — jak OnionShare, czy komunikator Briar (o którym wspominałem w poprzednich tekstach).

Jeśli jesteśmy w jakikolwiek sposób zaangażowani politycznie czy aktywistycznie (albo po prostu na wszelki wypadek), warto pobrać przeglądarkę Tor i Briara już dziś.

Co dziś szczególnie ważne, około 15 proc. wszystkich osób korzystających z Tora jest z Rosji. Dziennie przekłada się to na 300 tys. Rosjan i Rosjanek uzyskujących dzięki niemu dostęp do niefiltrowanego Internetu.

Jak każde narzędzie, Tor bywa też używany w niecnych celach. Korzystają z niego na przykład siatki cyberprzestępców. Nie uzasadnia to jednak bezkrytycznie negatywnej narracji, często widocznej w przekazach medialnych dotyczących tej sieci.

Ta narracja miewa realne konsekwencje: kilka lat temu maile Fundacji Panoptykon nie były doręczane m.in. do ówczesnego Ministerstwa Gospodarki czy do kancelarii premiera, właśnie z powodu nadgorliwości kogoś, kto uznał, że uruchomienie przez Panoptykon przekaźnika sieci Tor to wystarczający powód do zablokowania ich adresu IP jako "niebezpiecznego". Nie było po temu, rzecz jasna, żadnych podstaw.

Blokowanie

Czy to oznacza, że Tora da się zablokować? Technicznie rzecz biorąc, byłoby to możliwe, gdyby dało się ustalić wszystkie adresy IP wszystkich przekaźników sieci Tor i na bieżąco aktualizować tę listę.

W praktyce jest to niemal niewykonalne: pełna lista adresów IP przekaźników zwyczajnie nie jest nigdzie dostępna, a nowe przekaźniki uruchamiane są przez osoby chcące pomóc w utrzymaniu tej sieci niemal non-stop. Najwięcej powodzenia w blokowaniu Tora mają Chiny, ale nawet tam da się, przy odrobinie dobrej woli, z niego korzystać.

Również Roskomnadzor podejmuje próby blokowania sieci Tor. Sami możemy jednak to zadanie znacznie utrudnić, instalując w przeglądarce, z której korzystamy na co dzień, rozszerzenie Snowflake (Płatek śniegu).

Snowflake działa jak bardzo uproszczony przekaźnik sieci Tor, z którego korzystać mogą inni użytkownicy tej sieci (oczywiście oznacza to niewielki dodatkowy ruch, więc ostrożnie, jeśli płacimy za każdy megabajt).

Wszystkich nas nie zablokują!

Do działania Tor potrzebuje rzecz jasna działającego połączenia z globalną siecią. To kolejny powód, dla którego odcinanie Rosji od internetu wydaje się złym pomysłem.

Jak działa Tor?

By móc zrozumieć jak działa sieć Tor, trzeba się na moment zatrzymać nad podstawami działania internetu. Siłą rzeczy opis poniżej jest mocno uproszczony.

Gdy oprogramowanie, z którego korzystamy (np. przeglądarka internetowa), łączy się z jakąś usługą w sieci (np. stroną internetową, którą chcemy odwiedzić), wysyła do niej pakiety danych. W dużym uproszczeniu można o nich myśleć jak o listach w kopertach lub paczkach pocztowych: zawierają adres odbiorcy, przesyłane dane i adres zwrotny.

Usługa odbiera list, odczytuje dane (np. informację o tym, jaką dokładnie stronę nasza przeglądarka chce otworzyć), i na adres zwrotny wysyła paczki zawierające dane, o które poprosiliśmy.

Podczas doręczania takiego listu czy paczki, adresy nadawcy i odbiorcy muszą być dostępne dla każdej osoby zaangażowanej w proces doręczania. W przeciwnym wypadku doręczenie nie jest możliwe.

Nie inaczej jest w przypadku pakietów danych w internecie: każdy zawiera adres nadawcy i odbiorcy, a każde urządzenie sieciowe na trasie doręczenia (od naszego domowego routera, przez urządzenia naszego dostawcy Internetu, i tak dalej aż do urządzeń obsługujących sieć usługi, z którą się komunikujemy) musi móc oba te adresy łatwo odczytać, by pakiet został dostarczony.

Cenzor na poczcie

Skoro urządzenia sieciowe mogą te adresy odczytać, mogą też śledzić nasze poczynania w Sieci: widzą nasz adres nadawcy, widzą adres usługi, z którą się komunikujemy, i mają informację o tym, kiedy dane połączenie zostało nawiązane.

Mało tego, mogą też wybiórczo odmawiać doręczenia niektórych pakietów. I oto mamy cenzurę w Internecie: jeśli cenzorskie urządzenie jak rosyjski SORM (Система Оперативно-Розыскных Мероприятий, dosł. System Operacyjno-Poszukiwawczy Wydarzeń), czyli system informatyczny FSB Federacji Rosyjskiej monitorujący aktywność telefoniczną i internetową, chiński Wielki Firewall, czy brytyjski system filtrowania internetu jest po drodze naszego pakietu, może po prostu odmówić doręczenia, jeśli adres odbiorcy to np. taka czy inna sieć społecznościowa, czy inna usługa zakazana.

VPN: koperta w kopercie

A może ukryć adres odbiorcy? Trzeba to jednak zrobić tak, by nasze pakiety mogły mimo wszystko być doręczone.

Możemy umieścić nasz list (z danymi, naszym adresem zwrotnym, i prawdziwym adresem docelowym) w dodatkowej kopercie, zaadresowanej do kogoś, komu ufamy. Jeśli ten ktoś mieszka gdzieś, gdzie cenzura prewencyjna nie została wprowadzona, może wysłać nasz list za nas, a potem odesłać nam odpowiedź.

Nasz urząd pocztowy nie będzie miał jak zobaczyć prawdziwego adresu docelowego, a nasze paczki będą doręczane bez cenzury.

Tak (w ogromnym uproszczeniu) działają VPN-y i najróżniejsze serwery pośredniczące (proxy). Mają jednak dwa podstawowe problemy:

• Po pierwsze, usługodawcy VPN i serwery pośredniczące mają dostęp do pełnej informacji o tym, kto z jaką usługą próbuje się połączyć; ich operatorzy często twierdzą, że nie zapisują tych informacji i nie udostępniają ich potem nikomu, ale mamy na to tylko ich słowo.
• Po drugie, nasz cenzor może po prostu… blokować adresy VPN-ów (tak, jak robi to Roskomnadzor w Rosji). Nigdy nie będzie to w pełni skuteczne, ale wcale nie musi: wystarczy, że utrudni to korzystanie z nich na tyle, że ludzie się zniechęcą.

Tor: jeszcze więcej kopert!

Tor idzie o krok dalej. Spośród tysięcy przekaźników tej sieci, uruchomionych i zarządzanych przez aktywistki i aktywistów na całym świecie (na przykład za pomocą rozszerzenia Snowflake), dla każdego nawiązywanego połączenia wybiera trzy losowe.

Po czym wysyłane pakiety szyfruje "na cebulkę" (stąd nazwa), w taki sposób, że pierwszy z wybranych przekaźników zna tylko adres nadawcy i adres drugiego z nich; drugi zna tylko adres pierwszego i trzeciego; trzeci zna tylko adres drugiego z nich, i adres odbiorcy.

To rozwiązuje oba problemy wspomniane wcześniej:

• Nikt na drodze naszych pakietów nie ma pełnej informacji o tym, kto się z kim komunikuje.
• Trudno blokować wszystkie adresy przekaźników Tora, ponieważ nikt nie ma ich pełnej listy, a nowe są wciąż uruchamiane przez niezależne od siebie osoby.

To tak, jakby wybrać trzy losowe urzędy pocztowe na świecie, i trzy odpowiednio zaadresowane koperty włożyć jedna w drugą. Żaden z tych urzędów nie ma pełnego obrazu tego, kto jest faktycznym nadawcą, i kto jest faktycznym odbiorcą, ale przesyłka zostanie ostatecznie doręczona

Szyfrowanie zaś dba o to, by metaforyczne koperty mogły być otwarte tylko przez ich adresatów.

Czas więc na Tora.

AKTUALIZACJA 29 marca 2022

ODPOWIEDZI NA PYTANIA CZYTELNIKÓW

W komentarzach pojawiły się świetne, warte odpowiedzi pytania. Więc odpowiadam!

Uwaga: poniższe odpowiedzi są siłą rzeczy uproszczone i kierowane do osób, które nie mają specyficznych wymagań i zagrożeń. Jeśli jesteś dziennikarką, aktywistą, prawniczką, lub wybierasz się w podróż w miejsca, gdzie sam fakt korzystania z Tora może być poważnym zagrożeniem, koniecznie skonsultuj swoje potrzeby i zagrożenia z kimś, kto może się im bliżej przyjrzeć i doradzić w Twojej konkretnej sytuacji. Dobrym pierwszym punktem kontaktu może być Cert NGO lub lokalny hakerspejs.

W skrócie: jeśli ufamy bezpieczeństwu naszych przeglądarek, Snowflake raczej nie stworzy zagrożenia.

Pełniejsza odpowiedź:

Przede wszystkim, Snowflake nie jest pełnym przekaźnikiem. Jego zadanie polega tylko na ułatwieniu połączenia z pełnym przekaźnikiem w sytuacji, w której Tor jest blokowany. Ponieważ wykorzystywany jest tylko na początku łańcuszka połączeń, adres IP osoby, u której Snowflake jest uruchomiony, ma niezmiernie nikłe szanse pojawienia się w kontekście cyberprzestępstwa: po stronie ewentualnie atakowanej usługi pojawi się tylko adres ostatniego przekaźnika. Na tym w końcu polega cały pomysł na Tora.

Jeśli uruchomimy Snowflake, dostęp do informacji o naszym adresie IP będzie miał tylko projekt Tor, konkretne osoby korzystająca z naszego "płatka śniegu", by połączyć się z pierwszym przekaźnikiem, i dany pierwszy przekaźnik.

W kwestii bezpieczeństwa: każde oprogramowanie ma błędy, czasem poważne. Dotyczy to również Snowflake i innych narzędzi związanych z projektem Tor. Są to jednak ważne, popularne projekty, ich kod źródłowy jest dostępny, i wiele osób z pewnością błędów w nim szuka. Można mieć uzasadnioną nadzieję, że najpoważniejsze problemy już dawno zostały naprawione.

Poza tym, Snowflake działa jako rozszerzenie (w zasadzie bez żadnych uprawnień) w przeglądarce, a przeglądarki mocno starają się dbać o bezpieczeństwo i rozdzielenie dostępu do danych między różnymi stronami, rozszerzeniami i otwartymi tabami. Jeśli więc ufamy przeglądarce na tyle, żeby otwierać różne losowe linki w tym samym oknie, w którym mamy otwarte ważne dla nas usługi (bankowość internetowa, poczta elektroniczna, itp.), możemy spokojnie uruchomić Snowflake.

Jeśli jednak przeglądarkom nie ufamy aż tak bardzo, ogólnie dobrą praktyką jest używanie jednej przeglądarki (np. Firefoksa) do bardzo ważnych dla nas usług (i tylko do nich), a innej przeglądarki (np. Chromium) do losowych stron, newsów, memów itp. Ja tak robię. Snowflake'a mam uruchomionego w przeglądarce "do losowych rzeczy".

Przy okazji: Snowflake można uruchomić nawet bez instalacji rozszerzenia, po prostu wchodząc na tę stronę i go włączając. Działać wtedy będzie tak długo, jak długo będziemy mieli otwartego taba z tą stroną (nawet w tle).

W skrócie: jeśli ufamy, że Tor skutecznie chroni anonimowość korzystających z niego osób, VPN jest na ogół zbędny; jeśli sieci Tor nie ufamy, VPN nic nie wnosi.

Pełniejsza odpowiedź:

Zakładam, że mówimy o używaniu Tora przez VPN. W pewnym uproszczeniu, by móc nadzorować sieć Tor (poza sytuacją, w której oprogramowanie ją tworzące miałoby poważne, zasadnicze błędy!) w sposób w miarę rzetelny, konieczne byłoby mieć kontrolę nad ponad połową wszystkich przekaźników. Tego typu możliwość chciałaby mieć niejedna służba, autorytarna bądź nie.

Nawet więc przy założeniu, że tylko dwie służby (np. amerykańska i rosyjska) próbowałyby taką kontrolę uzyskać, po prostu... wchodziłyby sobie w drogę (służby raczej się takim dostępem nie podzielą). Im więcej przekaźników uruchomi jedna z nich, tym więcej musi uruchomić druga, by próbować uzyskać te ponad 50%. W dodatku wiele z przekaźników uruchomionych i kontrolowanych jest przez aktywistki i aktywistów, więc zadanie jest jeszcze trudniejsze!

Dla mnie to wystarcza, by uznać sieć Tor za godną zaufania. W takim wypadku VPN jest na ogół zwyczajnie zbędny. Jeśli zaś sieć Tor godna zaufania nie jest, VPN w niczym nam nie pomoże — jego operator wie przecież, kto z kim się łączy (nawet jeśli twierdzi, że tego nie zapisuje), a służbom łatwiej przekonać go do udostępnienia takich informacji, niż próbować uzyskać kontrolę nad siecią Tor.

Jedyną sytuacją, w której używanie Tora przez VPN może mieć sens, to jeśli próbujemy ukryć, że w ogóle z Tora korzystamy. W większości przypadków nie ma jednak po temu dobrych powodów (Tor stara się maskować jako inne rodzaje połączeń).

Dla porządku, używanie VPNa przez sieć Tor to też (w większości przypadków) bardzo kiepski pomysł.

Używamy przecież wtedy naszej metody "trzech kopert", ale w środku wkładamy kopertę czwartą, zaadresowaną do naszego dostawcy VPN, która zawiera nasze dane (bo inaczej dostawca odmówi usługi) i informację o tym, z jakim adresem ostatecznie chcemy się połączyć. Innymi słowy, nasz dostawca VPN i tak wie wszystko o połączeniu (nie wie tylko, jaki w danej chwili jest nasz prawdziwy adres IP, ale to nieistotne: wie, że łączymy się my!), a odpowiednie służby mogą potencjalnie tę informację od niego uzyskać.

Tor Project oczywiście odnosi się do tych kwestii.

1. Czym pod względem bezpieczeństwa i użytkowania różnią się domeny .onion od zwykłych?

W skrócie: połączenia do adresów .onion nigdy nie opuszczają sieci Tor, co usuwa pewne zagrożenia związane z tzw. przekaźnikami wyjściowymi.

Pełniejsza odpowiedź:

Gdy łączymy się przez sieć Tora ze zwykłymi usługami (czyli takimi, które nie używają adresów .onion), gdzieś nasze pakiety muszą wyjść z sieci Tor do zwykłego Internetu. To zadanie tzw. "przekaźników wyjściowych" (ang. "exit nodes"). Nie wszystkie przekaźniki sieci Tor są skonfigurowane do bycia przekaźnikami wyjściowymi.

W naszej kopertowej analogii to ten trzeci, ostatni urząd pocztowy na drodze naszej koperty.

Przekaźnik wyjściowy ma potencjalnie największy dostęp do danych i metadanych. Nie ma naszego adresu IP (o to dba architektura sieci Tor), ale musi przecież mieć dostęp do informacji, z kim się łączymy, i do zawartości pakietów, które wysyłamy. Jeśli taki przekaźnik jest "złośliwy", może zbierać dostępne mu dane albo wręcz modyfikować treść połączenia.

Ten problem był znacznie poważniejszy kilka lat temu, gdy połączenia HTTPS nie były jeszcze tak rozpowszechnione. Dziś HTTPS w dużej mierze uniemożliwia przekaźnikom wyjściowym podglądanie i modyfikowanie treści połączeń (w przypadku połączeń ze stronami internetowymi). Nadal są one jednak w pewnym sensie uprzywilejowane względem pozostałych przekaźników.

Mało tego, jeśli przekaźnik wyjściowy z którego korzystamy w danym momencie, uruchomiony jest gdzieś, gdzie pewne strony są blokowane, nie wejdziemy przez niego na te strony nawet przez Tora (to jak cenzor w tym ostatnim urzędzie pocztowym). Łatwo oczywiście możemy nawiązać nowe połączenie (co automatycznie zmieni też przekaźnik wyjściowy, z którego korzystamy), ale jest to pewna niedogodność.

W przypadku usług uruchomionych na adresach .onion nasze połączenie nigdy nie opuszcza sieci Tor. Ostatni przekaźnik jest po prostu serwerem docelowym. Znikają wszystkie zagrożenia i niedogodności związane z przekaźnikami wyjściowymi, bo po prostu... nie są w tym połączeniu w ogóle używane.