论文部分内容阅读
出于各自不同的目的,警察、间谍和各种不同领域的研究人员都尝试终结互联网的匿名网络,甚至Tor(The Onion Router,洋葱路由器)网络也受到了越来越多的压力,但是只要使用正确的工具,我们仍然可以保持匿名,保护自己的隐私。
近10年来,Tor网络已经成为许多人在互联网上隐藏自己真实身份的主要武器。人们这样做的原因是多方面的,有需要保持匿名的政治活动家和像爱德华·斯诺登这样的举报人,也有只是不希望被各种广告跟踪机制追踪而泄漏个人信息的普通人。不过,不可否认,Tor网络同时也为走私犯、毒贩和贩卖儿童色情制品的人提供了匿名保护,为他们进行犯罪活动提供了便利。这导致Tor网络的名声严重受损,并最终危及其实体的可靠性。
执法机构正不断提升他们的技术能力,希望能够更有效地追查隐藏在网络背后的罪犯。在安全研究人员的支持下努力规避或破坏Tor的匿名化机制。
匿名化服务的目标是隐藏用户的IP地址,从而达到隐藏用户真实身份和物理位置的目的。对于Tor网络来说,隐藏IP地址的操作是网络自身完成的:当用户想要建立与某一目标(例如一个网站或一个聊天对象)的连接时,将通过其他几个Tor电脑中转连接,其结构与洋葱类似,洋葱皮层层包裹着真正的客户端,而每一个Tor节点就像是洋葱的一层皮,因而,从外部观察,完全无法看到真正的客户端,除非把洋葱皮层层剥开,因而,Tor网络称为“洋葱路由器”(The Onion Router)。在Tor的洋葱结构中,作为洋葱皮层的节点是随机选择的,并且每一个节点只知道上一层和下一层的IP地址,也不知道自己在整个结构中的位置。因此,不仅外部无法窥探Tor内部的信息,也没有任何参与者能够跟踪Tor连接的完整路径,因而用户能够有效隐藏自己的IP地址,匿名使用互联网。
除了隐藏用户的IP地址之外,Tor网络还可以隐藏整个网站。这种所谓的“隐藏服务”网站只能通过Tor网络访问,这对于外部来说是完全不可见的。最知名的隐藏服务站点是称为“丝绸之路”(Silk Road)的在线市场,它好比是一个提供非法商品和服务的亚马逊。2013年9月,美国联邦调查局(Federal Bureau of Investigation,简称FBI)设法确定丝绸之路的运营商并删除其网站,但仅仅过去两个月,该网站的原管理人员随即推出丝绸之路2.0,FBI在2014年11月再度出手,与美国的代理商合作,联手国际刑警组织和欧洲司法部门(欧盟司法当局),一举破获了414个非法的Tor网站,其中包括丝绸之路的继任者。
如此规模的清理行动导致Tor网络的可靠性备受质疑,更重要的是,Tor项目的组织者对于这些质疑的处理方式同样令人不安。虽然他们在自己的博客中声称,这些隐藏服务的网站会被清理,是由于网站的服务器配置过于草率,但是被清理网站的数量和被查获的节点似乎表明,Tor网络本身受到了攻击。Tor项目的组织者在自己的博客中只是轻描淡写地说,从隐藏服务的运营商那里收到的信息显示存在这种可能性。然而,明显地,组织者并不知道存在哪些攻击的可能性以及哪几种攻击可能已经开始发挥作用。
美国国家安全局特别关注Tor用户
印度教授Sambuddho Chakravarty发表论文介绍了一种通过流量分析识别Tor身份的方法,在实验室环境下识别Tor用户的身份,他的团队识别率高达81%。研究人员使用思科公司免费的流量分析工具NetFlow进行分析,要找出哪些Tor用户访问某个网站,研究人员需要修改用户与服务器端的通讯数据,并通过NetFlow数据找出哪些客户端正出现类似的修改。据研究人员介绍,攻击Tor网络的人只要足够强,即可用这个方法对匿名化网络进行攻击。然而,为了使用这种数据分析的方式成功攻击Tor网络,攻击者必须通过中央实体进行操作,例如通过供应商和网络节点进行大规模的监视。众所周知,这正是目前美国国家安全局(National Security Agency,简称NSA)正在做的事情,虽然目前还没有证据表明,美国情报机构已经可以破解Tor网络,但是已经泄露的NSA文件证明,NSA对于互联网的匿名服务极端反感。在被曝光的NSA间谍软件XKeyscore源代码中,甚至为每一个使用Tor的用户打上极端分子的标签,而且只要我们通过Google搜索一下相关的软件,就会被打上该标签。
此外,试图彻底使Tor网络瘫痪的攻击者,同时还对匿名化设施发起了攻击。2014年圣诞节前夕,Tor组织者报告,对网络目录服务器的大举进攻已经蓄势待发。这些服务器中包含Tor所有活动节点的列表,没有这些服务器,所有Tor用户都无法连接到网络,类似的攻击将有效地使Tor网络瘫痪。不过,截至本文发稿时,类似的攻击暂时还没有大规模地展开。
不过,不论Tor网络是否安全可靠,有一件事是可以肯定的:对Tor网络的攻击将变得越来越频繁。此外,用户将不得不面对的一个事实是,使用Tor网络将可能成为NSA关注的对象。不过,如果我们不希望这样,也并不一定要放弃自己匿名上网的权利,因为我们还可以有另外一个很好的选择:虚拟专用网络(Virtual private networks,简称VPN)。VPN服务可以隐藏用户上网的真实IP地址,不同于Tor,这两种服务是完全不同的,Tor的主要目的是保护用户的匿名性,而VPN主要用于保护数据的安全传输,匿名基本上只能够算是一个副产品。
VPN最初主要用于建立企业网络的安全连接,其目标是确保在家工作的雇员也可以安全地访问企业内部网络中的数据。因为敏感的企业数据如果直接通过互联网传输,则将可能被截获。为了避免类似的情况发生,必须为雇员提供一个特殊的安全访问点,即所谓的VPN网关,以供雇员登录到企业网络。虽然连接是通过互联网建立的,但是该雇员的电脑在登录后将成为企业内部网络的一部分,因而,该连接将受到严密的保护。 VPN服务和软件采用同样的原理工作,唯一的区别是,我们将连接到互联网(而不是企业内部网络)上的VPN网关服务器。从用户的角度来说,他们将可以使用VPN服务器的IP地址访问互联网,可以有针对性地绕过堵塞或者被封锁的网络。此外,VPN客户端上的所有应用程序都能以匿名的方式访问互联网,而不仅仅只是浏览器。
VPN服务的信任问题
对于匿名化服务,速度是我们必须考虑的一个关键因素:用户与访问目标之间并不是直接连接的,必须通过至少一个额外的节点进行路由,排除用户与访问目标之间的网络线路堵塞的特殊情况,速度下降是在所难免的。那么有没有办法可以解决这个问题呢?理论上讲,由于VPN服务连接的数据只需要流经一台服务器,而不是流经几台电脑(在使用Tor网络的情况下是这样),因而在VPN服务器带宽足够大的情况下,VPN应该比Tor网络更快。
但是,VPN服务相对于Tor网络来说有一个缺点,那就是对于VPN服务器来讲用户并不是匿名的。因此,从保持匿名的角度出发,首先,VPN运营商会不会透露用户的真实身份是关键。所以一些运营商采取对连接和数据不进行记录的方法,确保用户能够获得真正的匿名服务。我们必须访问VPN提供商的网站,了解他们所采取的保护措施,确定供应商是否能够提供真正匿名化的服务。此外,如果我们使用自己的真实姓名登录到Facebook或Google的服务,那么无论是VPN服务还是Tor网络都无法保护我们。如果想以匿名的方式使用服务,例如电子邮箱,那么首先必须以匿名的方式注册邮箱。
接下来,我们将告诉大家如何使用VPN服务,其中的服务和软件只是作为范例,这些服务和软件国内部分地区或许无法使用,但是其他VPN服务和软件的使用方法通常是相差无几的。
正确使用VPN
VPN服务可以很好地替代Tor,下面,CHIP将简单地介绍如何使用常见的VPN服务。
1、启动VPN客户端
比较受欢迎的VPN服务通常为各种客户端配备软件,以国外常用的免费VPN服务CyberGhost为例,该服务为包括Windows和各种移动设备系统提供软件,下载并安装Windows版本的软件,启动软件主界面将显示我们当前的真实IP地址,并通过地图显示我们的物理位置。热门的VPN服务在世界各地都有服务器,通常,默认设置下客户端软件将自动检测我们的位置,并分配一个速度最快的服务器供我们使用。成功连接服务器,地图将转到服务器所在的位置以及服务器的IP地址。
2、选择国家和IP地址
如果希望利用VPN服务来避免互联网线路堵塞,或者让自己访问其他互联网服务时拥有特定国家的IP地址,那么我们可以在主界面左下方单击“Simulated country”按钮,然后从列表中选择我们需要的国家,指定CyberGhost使用该国家的服务器,客户端将自动连接到这个国家最快的服务器。不过,如果需要的话,我们也可以单击主界面右下方的“Simulated IP address”按钮,从这个国家可以使用的服务器IP地址中挑选一个。
3、可能出现的问题
由于在使用VPN服务的情况下,我们的电脑访问任何互联网站点显示的IP地址都将是VPN服务器的IP地址,所以某些网络服务可能因而出现异常,甚至无法正常工作。例如,对于一些安全性要求比较高的网络服务,服务器将可能会因为账户使用的IP地址与平常不同而被要求重新验证,此外,自动登录功能也可能会停止工作。不过,如果出现无法解决的问题,则只需简单地单击VPN客户端的主界面下方的黄色开关按钮中断与VPN服务器的连接即可。
4、禁止广告追踪
即使我们的IP地址已经被隐藏,浏览器仍然可以通过硬件和软件进行标记和跟踪,因此许多VPN客户端软件也提供禁止广告跟踪的功能,要激活该功能,可以在VPN客户端软件右下角单击齿轮符号打开设置对话框,单击切换到“Privacy Control”选项卡,通过“Anti Fingerprinting”禁止跟踪功能。除此之外,浏览器上的社交网络插件等工具也存在跟踪用户的操作,为了防止这种情况发生,可以通过“Content Blocker”清除此类插件以及对一些相关网站进行限制。
近10年来,Tor网络已经成为许多人在互联网上隐藏自己真实身份的主要武器。人们这样做的原因是多方面的,有需要保持匿名的政治活动家和像爱德华·斯诺登这样的举报人,也有只是不希望被各种广告跟踪机制追踪而泄漏个人信息的普通人。不过,不可否认,Tor网络同时也为走私犯、毒贩和贩卖儿童色情制品的人提供了匿名保护,为他们进行犯罪活动提供了便利。这导致Tor网络的名声严重受损,并最终危及其实体的可靠性。
执法机构正不断提升他们的技术能力,希望能够更有效地追查隐藏在网络背后的罪犯。在安全研究人员的支持下努力规避或破坏Tor的匿名化机制。
匿名化服务的目标是隐藏用户的IP地址,从而达到隐藏用户真实身份和物理位置的目的。对于Tor网络来说,隐藏IP地址的操作是网络自身完成的:当用户想要建立与某一目标(例如一个网站或一个聊天对象)的连接时,将通过其他几个Tor电脑中转连接,其结构与洋葱类似,洋葱皮层层包裹着真正的客户端,而每一个Tor节点就像是洋葱的一层皮,因而,从外部观察,完全无法看到真正的客户端,除非把洋葱皮层层剥开,因而,Tor网络称为“洋葱路由器”(The Onion Router)。在Tor的洋葱结构中,作为洋葱皮层的节点是随机选择的,并且每一个节点只知道上一层和下一层的IP地址,也不知道自己在整个结构中的位置。因此,不仅外部无法窥探Tor内部的信息,也没有任何参与者能够跟踪Tor连接的完整路径,因而用户能够有效隐藏自己的IP地址,匿名使用互联网。
除了隐藏用户的IP地址之外,Tor网络还可以隐藏整个网站。这种所谓的“隐藏服务”网站只能通过Tor网络访问,这对于外部来说是完全不可见的。最知名的隐藏服务站点是称为“丝绸之路”(Silk Road)的在线市场,它好比是一个提供非法商品和服务的亚马逊。2013年9月,美国联邦调查局(Federal Bureau of Investigation,简称FBI)设法确定丝绸之路的运营商并删除其网站,但仅仅过去两个月,该网站的原管理人员随即推出丝绸之路2.0,FBI在2014年11月再度出手,与美国的代理商合作,联手国际刑警组织和欧洲司法部门(欧盟司法当局),一举破获了414个非法的Tor网站,其中包括丝绸之路的继任者。
如此规模的清理行动导致Tor网络的可靠性备受质疑,更重要的是,Tor项目的组织者对于这些质疑的处理方式同样令人不安。虽然他们在自己的博客中声称,这些隐藏服务的网站会被清理,是由于网站的服务器配置过于草率,但是被清理网站的数量和被查获的节点似乎表明,Tor网络本身受到了攻击。Tor项目的组织者在自己的博客中只是轻描淡写地说,从隐藏服务的运营商那里收到的信息显示存在这种可能性。然而,明显地,组织者并不知道存在哪些攻击的可能性以及哪几种攻击可能已经开始发挥作用。
美国国家安全局特别关注Tor用户
印度教授Sambuddho Chakravarty发表论文介绍了一种通过流量分析识别Tor身份的方法,在实验室环境下识别Tor用户的身份,他的团队识别率高达81%。研究人员使用思科公司免费的流量分析工具NetFlow进行分析,要找出哪些Tor用户访问某个网站,研究人员需要修改用户与服务器端的通讯数据,并通过NetFlow数据找出哪些客户端正出现类似的修改。据研究人员介绍,攻击Tor网络的人只要足够强,即可用这个方法对匿名化网络进行攻击。然而,为了使用这种数据分析的方式成功攻击Tor网络,攻击者必须通过中央实体进行操作,例如通过供应商和网络节点进行大规模的监视。众所周知,这正是目前美国国家安全局(National Security Agency,简称NSA)正在做的事情,虽然目前还没有证据表明,美国情报机构已经可以破解Tor网络,但是已经泄露的NSA文件证明,NSA对于互联网的匿名服务极端反感。在被曝光的NSA间谍软件XKeyscore源代码中,甚至为每一个使用Tor的用户打上极端分子的标签,而且只要我们通过Google搜索一下相关的软件,就会被打上该标签。
此外,试图彻底使Tor网络瘫痪的攻击者,同时还对匿名化设施发起了攻击。2014年圣诞节前夕,Tor组织者报告,对网络目录服务器的大举进攻已经蓄势待发。这些服务器中包含Tor所有活动节点的列表,没有这些服务器,所有Tor用户都无法连接到网络,类似的攻击将有效地使Tor网络瘫痪。不过,截至本文发稿时,类似的攻击暂时还没有大规模地展开。
不过,不论Tor网络是否安全可靠,有一件事是可以肯定的:对Tor网络的攻击将变得越来越频繁。此外,用户将不得不面对的一个事实是,使用Tor网络将可能成为NSA关注的对象。不过,如果我们不希望这样,也并不一定要放弃自己匿名上网的权利,因为我们还可以有另外一个很好的选择:虚拟专用网络(Virtual private networks,简称VPN)。VPN服务可以隐藏用户上网的真实IP地址,不同于Tor,这两种服务是完全不同的,Tor的主要目的是保护用户的匿名性,而VPN主要用于保护数据的安全传输,匿名基本上只能够算是一个副产品。
VPN最初主要用于建立企业网络的安全连接,其目标是确保在家工作的雇员也可以安全地访问企业内部网络中的数据。因为敏感的企业数据如果直接通过互联网传输,则将可能被截获。为了避免类似的情况发生,必须为雇员提供一个特殊的安全访问点,即所谓的VPN网关,以供雇员登录到企业网络。虽然连接是通过互联网建立的,但是该雇员的电脑在登录后将成为企业内部网络的一部分,因而,该连接将受到严密的保护。 VPN服务和软件采用同样的原理工作,唯一的区别是,我们将连接到互联网(而不是企业内部网络)上的VPN网关服务器。从用户的角度来说,他们将可以使用VPN服务器的IP地址访问互联网,可以有针对性地绕过堵塞或者被封锁的网络。此外,VPN客户端上的所有应用程序都能以匿名的方式访问互联网,而不仅仅只是浏览器。
VPN服务的信任问题
对于匿名化服务,速度是我们必须考虑的一个关键因素:用户与访问目标之间并不是直接连接的,必须通过至少一个额外的节点进行路由,排除用户与访问目标之间的网络线路堵塞的特殊情况,速度下降是在所难免的。那么有没有办法可以解决这个问题呢?理论上讲,由于VPN服务连接的数据只需要流经一台服务器,而不是流经几台电脑(在使用Tor网络的情况下是这样),因而在VPN服务器带宽足够大的情况下,VPN应该比Tor网络更快。
但是,VPN服务相对于Tor网络来说有一个缺点,那就是对于VPN服务器来讲用户并不是匿名的。因此,从保持匿名的角度出发,首先,VPN运营商会不会透露用户的真实身份是关键。所以一些运营商采取对连接和数据不进行记录的方法,确保用户能够获得真正的匿名服务。我们必须访问VPN提供商的网站,了解他们所采取的保护措施,确定供应商是否能够提供真正匿名化的服务。此外,如果我们使用自己的真实姓名登录到Facebook或Google的服务,那么无论是VPN服务还是Tor网络都无法保护我们。如果想以匿名的方式使用服务,例如电子邮箱,那么首先必须以匿名的方式注册邮箱。
接下来,我们将告诉大家如何使用VPN服务,其中的服务和软件只是作为范例,这些服务和软件国内部分地区或许无法使用,但是其他VPN服务和软件的使用方法通常是相差无几的。
正确使用VPN
VPN服务可以很好地替代Tor,下面,CHIP将简单地介绍如何使用常见的VPN服务。
1、启动VPN客户端
比较受欢迎的VPN服务通常为各种客户端配备软件,以国外常用的免费VPN服务CyberGhost为例,该服务为包括Windows和各种移动设备系统提供软件,下载并安装Windows版本的软件,启动软件主界面将显示我们当前的真实IP地址,并通过地图显示我们的物理位置。热门的VPN服务在世界各地都有服务器,通常,默认设置下客户端软件将自动检测我们的位置,并分配一个速度最快的服务器供我们使用。成功连接服务器,地图将转到服务器所在的位置以及服务器的IP地址。
2、选择国家和IP地址
如果希望利用VPN服务来避免互联网线路堵塞,或者让自己访问其他互联网服务时拥有特定国家的IP地址,那么我们可以在主界面左下方单击“Simulated country”按钮,然后从列表中选择我们需要的国家,指定CyberGhost使用该国家的服务器,客户端将自动连接到这个国家最快的服务器。不过,如果需要的话,我们也可以单击主界面右下方的“Simulated IP address”按钮,从这个国家可以使用的服务器IP地址中挑选一个。
3、可能出现的问题
由于在使用VPN服务的情况下,我们的电脑访问任何互联网站点显示的IP地址都将是VPN服务器的IP地址,所以某些网络服务可能因而出现异常,甚至无法正常工作。例如,对于一些安全性要求比较高的网络服务,服务器将可能会因为账户使用的IP地址与平常不同而被要求重新验证,此外,自动登录功能也可能会停止工作。不过,如果出现无法解决的问题,则只需简单地单击VPN客户端的主界面下方的黄色开关按钮中断与VPN服务器的连接即可。
4、禁止广告追踪
即使我们的IP地址已经被隐藏,浏览器仍然可以通过硬件和软件进行标记和跟踪,因此许多VPN客户端软件也提供禁止广告跟踪的功能,要激活该功能,可以在VPN客户端软件右下角单击齿轮符号打开设置对话框,单击切换到“Privacy Control”选项卡,通过“Anti Fingerprinting”禁止跟踪功能。除此之外,浏览器上的社交网络插件等工具也存在跟踪用户的操作,为了防止这种情况发生,可以通过“Content Blocker”清除此类插件以及对一些相关网站进行限制。