По замыслу разработчиков защищенной сети доступа Tor, интернет-пользователи должны иметь возможность контроля над использованием своих личных данных – либо инструменты для их сокрытия от любопытствующих. Tor обеспечивает анонимное сетевое соединение, исключающее перехват данных и идентификацию пользователей посторонними. Анонимность трафика достигается за счет распределенной сети серверов.
Руна Сандвик, эксперт по инфобезопасности и одна из участниц проекта Tor, рассказала «Ленте.ру»о принципах работы сети, защите, которую она может или не может обеспечить пользователям, методах борьбы с анонимным вандализмом о других о подробностях внутренней жизни «темной стороны» интернета.
«Лента.ру»: Какова ваша роль в работе над Tor?
Руна Сандвик: Впервые меня позвали поработать над проектом Tor в 2009 году, это была летняя стажировка, оплачиваемая Google. Я работала над тем, чтобы сайт проекта Tor можно было переводить на разные языки. После окончания университета я продолжала сотрудничать с Tor как волонтер. Сперва я участвовала в исследованиях и разработках, потом переключилась на управление проектами и привлечение новых пользователей и волонтеров. Сейчас я работаю по контракту с фондом Freedom of Press, где одна из моих задач — обучать журналистов использованию инструментов личной инфобезопасности, включая Tor.
Как бы вы охарактеризовали основную цель Tor?
Tor — это безопасное пространство для политических активистов, журналистов и других людей, за которыми потенциально могут следить. В основе Tor лежит принцип — не скрывать, а защищать. Ведь личные данные пользователя и то, что он делает в сети — это не секрет, это просто не для глаз посторонних.
Как организована работа над Tor? Есть ли у проекта постоянный штат?
В проекте Tor официально пять сотрудников. Еще 10-20 привлечены на контрактной основе. Кроме того, есть группа из 10-20 наиболее активных волонтеров, которые поддерживают серверы и так далее. Таким образом, ядро проекта состоит из двух-трех десятков человек из США, Европы, Азии, даже из России.
А сколько пользователей сейчас у Tor?
Ежедневно Tor пользуются около миллиона человек по всему миру. Кстати, недавно стал заметен резкий рост интереса к Tor именно в России.
Пытались ли российские госорганы контактировать с разработчиками Tor?
Насколько я знаю, нет.
В сети предлагаются методы обнаружения отправителя сообщений через Tor — насколько возможно это сделать на самом деле?
Лично я таких способов не знаю, но слышала о них. Когда вы используете Tor, ваш трафик проходит через три случайных независимых сервера, расположенных в разных точках мира. Первый сервер видит, что вы используете Tor. Второй видит, что кто-то использует Tor для доступа к какому-то ресурсу, а третий — что кто-то использует Tor для доступа к, например, facebook.com. В этом случае обнаружить связь между вами и ресурсом, который вы посещаете, — очень сложная задача, и для ее решения потребуется много ресурсов.
Значит, нельзя сказать, что пользователь остается на 100 процентов анонимным при отправке данных через Tor? Его все же можно раскрыть в этой сети?
Технически такое возможно, но очень сложно сделать это на практике.
Является ли Tor надежной защитой личных данных для профессионалов? Или разработчики рассматривают его больше как защиту личной жизни от случайных свидетелей?
Оба варианта возможны. Обычные люди используют его для просмотра заблокированных сайтов. Профессионалы могут использовать Tor, к примеру, для изучения действий конкурентов или других расследований. Для журналистов, которые едут в страны с нестабильной политической ситуацией, подобные инструменты обеспечивают защиту от перехвата коммуникаций спецслужбами. Есть и множество других сценариев использования Tor.
Включая весьма неоднозначные, верно? Любая хорошая идея может быть использована во вред. Как можно предотвратить анонимный вандализм среди пользователей Tor?
Загвоздка в том, что технологии, которые в Tor ограждают «хороших» людей от «плохих», с тем же успехом защищают «плохих» людей от «хороших». Ни разработчики Tor, ни государственные органы не могут отследить физическое местоположение пользователя этой сети равно как и заблокировать его контент.
То есть, к примеру, если расстается пара и мужчина решает отомстить бывшей возлюбленной, опубликовав через Tor ее приватные фото или угрожая ей, даже в этом случае вмешаться не получится?
Нет, с технической точки зрения будет невозможно доказать, что именно он сделал это. Разве что по косвенным признакам.
Тогда еще вопрос: провайдеры, использующие оборудование DPI для глубокого сканирования трафика, не могут расшифровать, но могут обнаруживать трафик Tor. Насколько вероятной вы видите угрозу блокирования трафика Tor операторами связи?
Способы заблокировать трафик, передающийся по Tor, есть. В частности, активно в этом направлении действуют Китай и Иран. Однако в большинстве случаев страны, выступающие против Tor, не блокируют его целиком, а скорее затрудняют его использование настолько, чтобы оттолкнуть пользователей.
Один из разработчиков Tor — Майк Перри — ранее заявлял, что сеть может защитить пользователя от программ слежки спецслужб формата PRISM. Согласны ли вы с этим?
Отчасти. Если вы используете, скажем, Gmail через Tor, то Google не сможет отследить ваше местоположение и личные данные. Однако PRISM нацелена на контент, поэтому спецслужбы все равно смогут увидеть содержание вашего письма. Другое дело, что они не будут знать, где вы физически находитесь.
В СМИ регулярно обсуждается вопрос, что Tor финансируется правительством США. Правда ли это и не компрометирует ли это идею Tor в целом?
Tor начинался как проект исследовательской лаборатории военно-морского флота США, призванный защищать коммуникации госорганов США. Однако, если бы сеть продолжали использовать только американские власти, идея проекта была бы потеряна, так как стало бы ясно, что все пользователи Tor имеют отношение к госорганам США. Открыв публичный доступ к Tor, разработчики добились того, что невозможно понять, кто ее использует — правительство США или России, журналист или любитель видео с кошками.
Да, Tor по-прежнему получает финансирование от правительства США, около 60 процентов. Деньги идут в формате гранта — участники проекта Tor пишут заявку, как они хотят улучшить продукт, и получают на это средства.
Какие основные сложности испытывает сейчас Tor?
Одной из главных проблем всегда была скорость. Tor — медленнее обычной сети, поскольку трафик проходит через три из 5000 серверов. Различные ассоциации, к примеру, Electronic Frontiers, пытаются убедить больше людей поддерживать сервера Tor, что может снизить нагрузку.
«Вы упомянули про принцип «это не секрет, это просто не ваше дело» в отношении интернет-компаний, сервисный трафик пользователей которых предается через Tor. Однако тогда, к примеру, Facebook и Google не могут заработать на таком трафике. Как вы относитесь к этому?»
Вопрос очень интересный. Возьмем для примера Facebook. Думаю, многие пользователи понимают, что Facebook для них бесплатный только потому, что они платят личными данными. Не скажу, что это по определению плохо. Просто компании должны спрашивать у людей, можно ли использовать их данные определенным образом. Они должны быть открыты и в том, как они сейчас используют данные, и в том, как планируют делать это в будущем. Если они этого не делают, они пересекают черту взаимовыгодной работы.