Реабилитация Тора Разработчик сервиса сетевой анонимности рассказал, зачем нужно скрывать свои данные в интернете

В конце апреля власти Японии рекомендовали запретить в стране сервис сетевой анонимности Tor. С подобными инициативами неоднократно выступали и отечественные законодатели. Противники Tor, как правило, аргументируют свои соображения тем, что к анонимности в Сети стремятся сплошь сомнительные люди: наркоторговцы, педофилы и другие подобные личности. О том, что такое Tor, как он работает и для чего используется, «Лента.ру» поговорила с активным сторонником сетевой анонимности и разработчиком соответствующего ПО — человеком, который представился Максимом Каммерером.

«Лента.ру»: Что такое Tor и как он работает?

Максим Каммерер: Сеть Tor — это система маршрутизаторов, в которой пользователь соединяется с сетевыми ресурсами через цепочку прокси, каждый из которых «видит» лишь предшествующий и последующий маршрутизатор в цепочке. Как правило, такая цепочка состоит из трех узлов, каждому из них в отдельности неизвестны адреса IP пользователя и ресурса одновременно. Кроме того, программное обеспечение для сети Tor на компьютере пользователя заранее шифрует содержимое соединения для каждого из прокси в цепочке (отсюда понятие «луковой маршрутизации»), поэтому непосредственно пользовательский трафик виден только выходному узлу — если он, конечно, не шифруется на уровне приложения (что происходит, например, в защищенном протоколе https).

Другими словами, для перехватчика трафика в конкретном узле Сети (скажем, через систему «СОРМ-2») нет возможности узнать, кто обращается к конкретному ресурсу (анонимность), или наоборот — к какому ресурсу обращается конкретный пользователь (антицензура), а также неизвестно содержимое передаваемой информации (за исключением отрезка между выходным узлом Tor и сетевым сервером при использовании незащищенного протокола).

Но это не предел. Tor позволяет пользователям держать на своем компьютере так называемые «скрытые сервисы» — ресурсы с доменом в виртуальной зоне «.onion». Такие ресурсы доступны только через сеть Tor, и их местоположение неизвестно — пользователь и ресурс «.onion» создают цепочки к какому-либо узлу сети Tor, через который и общаются дальше.

Действительно ли Tor обеспечивает полную анонимность и стопроцентную защиту от прослушки?

Разумеется, нет — это невозможно. При использовании любых технических средств для обеспечения собственной безопасности необходимо четко определять их возможности и ограничения, а также класс атак («модель угроз»). Несколько примеров:

* Анонимность и псевдонимность — разные понятия. Ведя прослушку конкретного сайта, вы можете различать пользователей по особенностям браузера, по используемому лексикону, по загружаемым файлам и так далее. Затем можно провести корреляцию между активностью пользователя в обычной сети и в Tor. Пакет Tor Browser Bundle частично нивелирует разницу между пользователями.

* Защита от прослушки действует только между компьютером пользователя и используемым выходным узлом сети Tor. Если пользователь сглупил и открыл документ в письме от «доброжелателя», то читать свою почту ему скоро придется уже на пару с майором госбезопасности Прониным.

* Для так называемого глобального перехватчика (обычно подразумевается Агентство национальной безопасности США) не составит труда перехватить трафик в нескольких ключевых маршрутизаторах глобальной сети или в паре десятков узлов сети Tor и на основании этой информации воссоздать цепочки прокси для большинства пользователей, тем самым сведя на нет их анонимность.

* Если вы персона VIP, то вам взломают компьютер, используя одну из атак 0-day (которые сейчас оптом скупаются у взломщиков ПО спецслужбами многих стран за баснословные суммы), подгонят под окна квартиры «Газель» с оборудованием TEMPEST для удаленного считывания информации на экране и нажатий клавиатуры, взломают используемый в Tor шифр RSA-1024, Анна Чапман лично постучится в дверь и незаметно вставит флешку в ноутбук... Опять же, терморектальный криптоанализ никто не отменял.

Для чего используется Tor и насколько значительную часть пользователей составляют обычные люди, стремящиеся к анонимности в Сети?

Точно определить состав пользователей сети Tor невозможно — именно из-за принципов ее работы. Тем не менее из проводившегося некоторыми участниками сети анализа нешифрованного трафика на выходных узлах известно, что в подавляющем большинстве доступ совершается к самым обычным сайтам. Соответственно, логично предположить, что большинство пользователей используют Tor с банальной целью обхода государственной или корпоративной цензуры, из чувства здоровой паранойи, из энтузиазма или из принципа. Многим людям неприятно, например, что системный администратор на работе может видеть, на какие сайты они заходят. Настроить шифрованный тоннель через домашний компьютер они редко сумеют, а вот запустить Tor Browser Bundle — запросто.

Соответствуют ли действительности популярные утверждения, что Tor используется бандитами, наркоторговцами и педофилами?

И да, и нет. На странице проекта Tor заинтересованный человек прочтет радужные мечты пропонентов по поводу пользователей сети, в стиле стихотворения «Родное» из фильма «Брат 2». Таков американский менталитет — американцы любят выдавать желаемое за действительное, а к проявлениям политически некорректной реальности относятся с неприязнью. С другой стороны, утверждения таких активистов, как Сергей Жук, например (лидер антипедофильской организации «Охотники за головами» — прим. «Ленты.ру»), про якобы 99 процентов пользователей с противозаконными целями в сети Tor — абсолютно голословны.

Реальность несколько сложнее. Большинство пользователей сети Tor, как было сказано выше, используют ее для доступа к глобальной Сети, и доля криминала среди них невелика. Просто потому, что у Tor есть много недостатков по сравнению, например, с цепочкой анонимных VPN: медленная скорость, блокировка адресов выходных узлов различными сервисами, меняющийся адрес IP выходного узла и так далее. Но в сети Tor есть также скрытая сеть ресурсов «.onion», которая и является проблематичной с точки зрения законности и порядка. Из-за того, что доступ к такому «скрытому сервису» требует установки Tor пользователем, он привлекает (кроме энтузиастов) в основном людей, которые не могут держать ресурс в глобальной сети — ввиду его незаконности в большинстве стран мира. На данный момент это в основном наркоторговцы и педофилы (например, Silk Road, OPVA).

Но здесь стоит заметить следующее: сеть скрытых ресурсов невелика, и реальность легко меняется. Совсем недавно оборот наркотиков в «.onion» был ничтожен. Создатели аукциона Silk Road увидели в криптовалюте Bitcoin необходимый катализатор гениального бизнес-плана (привилегированные подростки могут побороться с «системой» и покурить «травку» в один присест), и сейчас, по всей видимости, посетители Silk Road затмили даже педофилов, а заодно дают валюте Bitcoin якобы ненужное ей обеспечение — оборотом черного рынка наркотиков (в чем есть доля иронии, так как такой рынок не существовал бы без регуляции, против которой и выступают энтузиасты криптовалюты).

Поэтому борцам с сетью Tor и такого рода «некошерными» ресурсами я могу лишь посоветовать создать свой, более законный ресурс в сети «.onion», который привлечет реальных пользователей. Не ради денег, но ради славы и почета. Например, замечательный ресурс gigapedia (позже известный как library.nu) канул в Лету, а он ведь предоставлял тысячам исследователей и студентов доступ к так необходимым им научным книгам и статьям (особенно в странах третьего мира). Что мешает создать такой же ресурс в скрытой сети? Конечно, это не так гламурно, как борьба с педофилией, но зато от него будет реальная польза для науки и прогресса.

Существует версия, что Tor разрабатывался американскими спецслужбами. Можете как-то это прокомментировать?

Tor не разрабатывался американскими спецслужбами. Такая версия проистекает, по всей видимости, из непонимания процесса поддержки научно-технических исследований военными организациями в США. Tor был разработан исследователем Полом Сиверсоном (Paul Syverson), сотрудником Исследовательской лаборатории ВМС США (US NRL), вместе с Роджером Динглдайном и Ником Мэтьюсоном (Roger Dingledine, Nick Mathewson). NRL за свою историю разработала много полезных технологий — например, систему спутниковой навигации GPS. Пол смог убедить руководство, что для эффективной защиты коммуникаций для ВМС и других государственных структур методом «луковой маршрутизации» соответствующие сети должны предоставлять сервис произвольным пользователям (а не только военным), должны давать таким пользователям возможность функционировать в качестве узлов сети и должны быть реализованы через свободное программное обеспечение, чтобы дать пользователям уверенность в отсутствии «закладок». Пол сказал — Пол сделал. «История стала легендой, легенда — фарсом. А потом уже и анекдотов насочиняли».

Известно ли о случаях, когда представители подобных ведомств проявляли интерес к дистрибутивам Tor?

Интерес всегда есть. Вот, к примеру, снапшот избранной аналитики сайта моего дистрибутива Liberté Linux (включающего в себя Tor в качестве центрального компонента) с доменами тех представителей спецслужб, которые поленились установить AdBlock или использовать тот же Tor для доступа к сайту (более детальная статистика не ведется). В США можно отметить Агентство национальной безопасности (NSA), Разведывательное управление Минобороны (DIA), ЦРУ, ФБР (домен cjis). В России — ФСБ и друзья из радиочастотного центра. Понятно, что каждый визит в отдельности ничего не значит, но, как сказал Чукча в известном анекдоте: «Однако, тенденция».

Тем не менее нет необходимости переоценивать интерес спецслужб к таким проектам, как Tor. Количество людей, использующих эту сеть и интересных при этом спецслужбам, скорее всего, невелико. Можно сравнить, например, с проектом Cryptocat: обычная реализация протокола для шифрованного чата, но зато в браузере — зашел на сайт, и уже можно готовить теракт (с точки зрения тех же спецслужб). Неудивительно, что автора (впечатлительного канадского студента родом из Ливана) слегка припугнули, оставив неизгладимое впечатление не только у него, но и у всех тех, кто имел несчастье наблюдать за разворачивающейся драмой в реальном времени.

Кроме того, важно помнить, что в том же США есть много ведомств, цели которых могут различаться даже внутри одного и того же ведомства. Так, для американского правительства имеет высокий приоритет поддержка разного рода диссидентских настроений в определенных регионах (переворот гораздо дешевле, чем военная интервенция). Поэтому на данный момент проекты, так или иначе связанные с обходом цензуры (в Сети, мобильной связи и так далее), получают широкую поддержку. Например, проект Tor в прошлом открыто финансировался американским государственным ведомством BBG, которое проще всего охарактеризовать как пропагандистское крыло ЦРУ. BBG, опять же, спонсирует отделение «Радио „Свобода“» в Азии, которое в свою очередь спонсирует OTF (Фонд свободных технологий). Понятно, что до конца цепочки доходит совсем немного — крошки с барского стола. Бюджет OTF на 2012-й год, например — 6.8 миллиона долларов. Проект Cryptocat, кстати, тоже проспонсировали — хороший пример амбивалентности: одни дают деньги, другие пугают.

Известно, что Wikipedia и родственные проекты запрещают доступ анонимных пользователей через Tor. Чего они опасаются и оправданны ли эти опасения?

Такие запреты появляются, как правило, в результате злоупотреблений пользователями сайта возможностью редактировать или добавлять новое содержимое и характерны для открытых прокси любого вида. Обычного посетителя, в случае нарушения тех или иных правил, можно заблокировать по адресу IP, и обход такого блока, как правило, относительно трудоемок (а если посетитель настаивает, то можно забанить подсеть и так далее). С сетью Tor такой подход не работает, поэтому (сразу или постепенно) блокируются все выходные узлы.

Я бы не сказал, что полностью запрещать доступ через Tor целесообразно (а тем более доступ для простого просмотра содержимого сайта). Проблему необходимо решать другим способом, потому что она возникнет в любом случае, с проникновением протокола IPv6, с его огромным пространством адресов, в наши дома и вычислительные устройства. В проекте Tor также работают над проблемой и пытаются ее решить, например, методологией «proof-of-work» — доказательством проделанной работы, аналогично системе Bitcoin.

Для чего вообще нужна анонимность обычным пользователям Сети, тем, кому, как предполагается, нечего скрывать?

Проблема в том, что «нечего скрывать» — совсем не то же самое, что полная подконтрольность всей активности пользователя в Сети государственным органам, в которых работают самые обычные дураки, руководствующиеся криво написанными другими дураками законами. Если таким дуракам что-то не понравится, придется тратить здоровье, время и деньги для того, чтобы доказывать свою невиновность, причем с негарантированным результатом. Зачем рисковать, если можно воспользоваться простым техническим средством, которое поддерживают другие — на этот раз умные — люди?

Кроме того, вместе с анонимностью мы получаем и устойчивость к сетевой цензуре на государственном уровне. Зачем рядовому гражданину думать, какой сайт сегодня запретит депутат Пупкин? Это же не Пупкина дело, тем более если Пупкин никогда и не узнает о том, куда сегодня гражданин сходил по своим сетевым делам. Гражданин же не лезет Пупкину в личную жизнь.

Какие еще существуют способы обеспечить безопасное и анонимное пребывание в интернете?

Есть, например, проект I2P, но он ориентирован на реализацию скрытой сети (аналогичной «.onion»). Можно выходить в Сеть, используя расходные мобильные модемы и SIM-карты в случайных местах, но это весьма затратный и трудоемкий процесс, при котором очень трудно избежать корреляции местоположений при последующем анализе, не говоря уже об идентификации пользователя по параметрам, обсуждавшимся выше. Часто использующийся вариант — анонимная покупка VPN (например, через Bitcoin или отсылание наличных по почте). Иногда даже из таких VPN организуется цепочка. Проблема сервисов VPN в том, что они выдадут адрес IP пользователя по первому же запросу уполномоченных органов, вне зависимости от содержимого пользовательского соглашения.

Чем объясняются попытки законодателей запретить подобные сервисы?

Законодатели хотят иметь возможность отслеживать и прослушивать любого пользователя Сети с целью проведения уголовного расследования, а часто и подавления оппозиции в авторитарных режимах (Бахрейн, Сирия, Россия и так далее).

Есть ли примеры стран, в которых властям удалось поставить анонимный доступ в интернет вне закона?

Насколько мне известно, стран, запрещающих использование ПО, аналогичного Tor, на данный момент нет. Обычно анонимизирующие и обходящие цензуру сервисы не запрещаются (что малоэффективно), а блокируются технически. Но, например, в Южной Корее граждане обязаны идентифицировать себя при постинге на сайтах.

Насколько легко осуществима блокировка подобных сервисов? Как именно власти предполагают действовать? На уровне провайдеров?

Хороший пример эволюции блокировки такого сервиса, как Tor, — это Китай. Грандиозный проект «Золотой щит» фильтрует весь трафик между провайдерами и международными сетями. В начале для блокировки сети Tor Китай запретил доступ ко всем узлам Tor (их список легко сгенерировать). В ответ пользователи начали массово использовать «мосты» — неизвестные сети Tor серверы, которые могут функционировать в качестве первого узла в цепочке прокси. Китайские программисты в ответ разработали систему распознавания трафика Tor с помощью DPI (фильтрация пакетов по содержимому) — в России та же методология применяется для блокировки запрещенных властью сайтов по URL. В результате этой «гонки вооружений» возникли такие проекты, как obfsproxy, которые позволяют маскировать трафик сети Tor под какой-либо другой (например, Skype). Но это, конечно, не предел, поскольку «Золотой щит» может начать принимать во внимание статистические характеристики распределения пакетов и другие параметры. Кроме того, обнаруженные «мосты» obfsproxy незамедлительно вносятся в базу данных сетевого экрана. Гонка вооружений всегда увлекательна.

Получается, что у пользователей всегда находятся способы обойти блокировку, но фактически при этом ни в чем не повинные люди переходят на нелегальное положение?

Лес рубят — щепки летят. Некоторые, например, ждут не дождутся, когда в Сеть можно будет выходить исключительно по паспорту.

Представляет ли повышенный интерес законодателей к Сети угрозу для безопасного и анонимного общения пользователей?

В общем случае в правовом государстве ничего плохого в интересе законодателей к Сети нет. Яркий пример такого государства — Эстония. Я там, к сожалению или к счастью, не был, но говорят, Сеть там используется на благо народа и на налоги того же народа, например, и никто из власть предержащих не считает нужным решать, куда гражданам можно в Сети ходить, а куда нет. Дикари-с...