Apakah Tor Benar Anonim dan Aman?
Beberapa orang percaya Tor adalah cara yang sepenuhnya anonim, pribadi, dan aman untuk mengakses Internet tanpa ada yang bisa memantau penelusuran Anda dan melacaknya kembali kepada Anda - tetapi apakah itu? Tidak sesederhana itu.
Tor bukanlah solusi anonimitas dan privasi yang sempurna. Ini memiliki beberapa batasan dan risiko penting, yang harus Anda ketahui jika Anda akan menggunakannya.
Node Keluar Dapat Diendus
Baca diskusi kami tentang cara Tor bekerja untuk melihat lebih detail bagaimana Tor memberikan anonimitasnya. Singkatnya, ketika Anda menggunakan Tor, lalu lintas Internet Anda dialihkan melalui jaringan Tor dan melewati beberapa relay yang dipilih secara acak sebelum keluar dari jaringan Tor. Tor dirancang sedemikian rupa sehingga secara teori tidak mungkin mengetahui komputer mana yang benar-benar meminta lalu lintas. Komputer Anda mungkin telah memulai koneksi atau hanya bertindak sebagai relai, merelayasi lalu lintas yang dienkripsi tersebut ke simpul Tor lainnya.
Namun, sebagian besar lalu lintas Tor akhirnya harus muncul dari jaringan Tor. Sebagai contoh, katakanlah Anda terhubung ke Google melalui Tor - lalu lintas Anda melewati beberapa relay Tor, tetapi akhirnya harus muncul dari jaringan Tor dan terhubung ke server Google. Node Tor terakhir, tempat lalu lintas Anda meninggalkan jaringan Tor dan memasuki Internet terbuka, dapat dimonitor. Node ini tempat lalu lintas keluar dari jaringan Tor dikenal sebagai "simpul keluar" atau "relai keluar."
Dalam diagram di bawah ini, panah merah menunjukkan lalu lintas tidak terenkripsi antara node keluar dan "Bob," komputer di Internet.
Jika Anda mengakses situs web terenkripsi (HTTPS) seperti akun Gmail Anda, ini boleh saja - meskipun simpul keluar dapat melihat bahwa Anda terhubung ke Gmail. jika Anda mengakses situs web yang tidak dienkripsi, simpul keluar berpotensi memantau aktivitas Internet Anda, melacak halaman web yang Anda kunjungi, pencarian yang Anda lakukan, dan pesan yang Anda kirim.
Orang-orang harus menyetujui untuk menjalankan node keluar, karena menjalankan node keluar menempatkan mereka pada risiko hukum yang lebih besar daripada hanya menjalankan node relay yang melewati lalu lintas. Kemungkinan pemerintah menjalankan beberapa titik keluar dan memantau lalu lintas yang meninggalkan mereka, menggunakan apa yang mereka pelajari untuk menyelidiki penjahat atau, di negara-negara yang represif, menghukum para aktivis politik.
Ini bukan hanya risiko teoretis. Pada 2007, seorang peneliti keamanan mencegat kata sandi dan pesan email untuk seratus akun email dengan menjalankan simpul keluar Tor. Para pengguna yang bersangkutan melakukan kesalahan dengan tidak menggunakan enkripsi pada sistem email mereka, percaya bahwa Tor akan melindungi mereka dengan enkripsi internal mereka. Tapi itu bukan cara Tor bekerja.
Pelajaran: Saat menggunakan Tor, pastikan untuk menggunakan situs web terenkripsi (HTTPS) untuk apa pun yang sensitif. Ingatlah bahwa lalu lintas Anda dapat dipantau - tidak hanya oleh pemerintah, tetapi oleh orang jahat yang mencari data pribadi.
JavaScript, Plug-in, dan Aplikasi Lainnya Dapat Membocorkan IP Anda
Bundel peramban Tor, yang kami bahas ketika kami menjelaskan cara menggunakan Tor, hadir dengan pengaturan yang aman sebelumnya. JavaScript dinonaktifkan, plug-in tidak dapat berjalan, dan browser akan memperingatkan Anda jika Anda mencoba mengunduh file dan membukanya di aplikasi lain.
JavaScript biasanya bukan risiko keamanan, tetapi jika Anda mencoba menyembunyikan IP Anda, Anda tidak ingin menggunakan JavaScript. Mesin JavaScript browser Anda, plug-in seperti Adobe Flash, dan aplikasi eksternal seperti Adobe Reader atau bahkan pemutar video semuanya berpotensi "membocorkan" alamat IP asli Anda ke situs web yang mencoba mendapatkannya.
Bundel peramban Tor menghindari semua masalah ini dengan pengaturan default, tetapi Anda dapat berpotensi menonaktifkan perlindungan ini dan menggunakan JavaScript atau plug-in di peramban Tor. Jangan lakukan ini jika Anda serius tentang anonimitas - dan jika Anda tidak serius tentang anonimitas, Anda seharusnya tidak menggunakan Tor sejak awal.
Ini bukan hanya risiko teoretis, baik. Pada 2011, sekelompok peneliti memperoleh alamat IP 10.000 orang yang menggunakan klien BitTorrent melalui Tor. Seperti banyak jenis aplikasi lainnya, klien BitTorrent tidak aman dan mampu mengungkapkan alamat IP Anda yang sebenarnya.
Pelajaran: Biarkan pengaturan aman browser Tor tetap di tempatnya. Jangan mencoba menggunakan Tor dengan peramban lain - tetap menggunakan bundel peramban Tor, yang telah dikonfigurasikan sebelumnya dengan pengaturan yang ideal. Anda seharusnya tidak menggunakan aplikasi lain dengan jaringan Tor.
Menjalankan Node Keluar Membuat Anda Beresiko
Jika Anda sangat percaya pada anonimitas online, Anda mungkin termotivasi untuk menyumbangkan bandwidth Anda dengan menjalankan relay Tor. Ini seharusnya bukan masalah hukum - relay Tor hanya melewati lalu lintas terenkripsi bolak-balik di dalam jaringan Tor. Tor mencapai anonimitas melalui relay yang dijalankan oleh relawan.
Namun, Anda harus berpikir dua kali sebelum menjalankan relai keluar, yang merupakan tempat di mana lalu lintas Tor keluar dari jaringan anonim dan terhubung ke Internet yang terbuka. Jika penjahat menggunakan Tor untuk hal-hal ilegal dan lalu lintas keluar dari relai keluar Anda, lalu lintas itu akan dapat dilacak ke alamat IP Anda dan Anda mungkin mendapatkan ketukan di pintu Anda dan peralatan komputer Anda disita. Seorang pria di Austria digerebek dan dituduh mendistribusikan pornografi anak karena menjalankan simpul keluar Tor. Menjalankan simpul keluar Tor memungkinkan orang lain untuk melakukan hal-hal buruk yang dapat ditelusuri kembali ke Anda, seperti halnya mengoperasikan jaringan Wi-Fi terbuka - tetapi jauh, jauh, jauh lebih mungkin untuk benar-benar membuat Anda mendapat masalah. Konsekuensinya mungkin bukan hukuman pidana. Anda mungkin saja menghadapi tuntutan hukum karena mengunduh konten atau tindakan yang dilindungi hak cipta di bawah Sistem Peringatan Hak Cipta di AS.
Risiko yang terlibat dengan menjalankan node keluar Tor sebenarnya mengikat kembali ke titik pertama. Karena menjalankan simpul keluar Tor sangat berisiko, hanya sedikit orang yang melakukannya. Namun, pemerintah bisa lolos dengan menjalankan node keluar - dan sepertinya banyak yang melakukannya.
Pelajaran: Jangan pernah menjalankan simpul keluar Tor - serius.
Proyek Tor memiliki rekomendasi untuk menjalankan simpul keluar jika Anda benar-benar menginginkannya. Rekomendasi mereka termasuk menjalankan node keluar pada alamat IP khusus di fasilitas komersial dan menggunakan ISP ramah Tor. Jangan coba ini di rumah! (Kebanyakan orang bahkan tidak boleh mencoba ini di tempat kerja.)
Tor bukan solusi ajaib yang memberi Anda anonimitas. Ini mencapai anonimitas dengan secara cerdik melewatkan lalu lintas terenkripsi melalui jaringan, tetapi lalu lintas itu harus muncul di suatu tempat - yang merupakan masalah bagi pengguna Tor dan operator simpul keluar. Selain itu, perangkat lunak yang berjalan di komputer kami tidak dirancang untuk menyembunyikan alamat IP kami, yang menghasilkan risiko ketika melakukan apa pun selain melihat halaman HTML biasa di browser Tor.
Kredit Gambar: Michael Whitney di Flickr, Andy Roberts di Flickr, The Tor Project, Inc.