Dzisiejszym artykułem zaczynamy kolejny cykl porad, tym razem dla użytkowników i potencjalnych użytkowników sieci Tor. Tak naprawdę jest to już drugi artykuł na ten temat na naszych łamach, już wcześniej bowiem opublikowaliśmy zbiór naszych wewnętrznych procedur dotyczących szyfrowania dysków twardych (artykuł „Ochrona danych o krytycznym stopniu poufności)”.
Na początek oryginalna wersja artykułu z czerwca 2015, przedrukowana w całości z serwisu Fajne.IT. Poniżej zaś znajdziesz aktualizację zasad oraz odniesienie się do różnych pytań i komentarzy, spisane w lipcu 2020.
Dzisiaj przedstawimy podstawowe zasady korzystania z sieci Tor. Zaś w kolejnych odcinkach napiszemy o:
- sprzęcie komputerowym i sieciowym, jakiego potrzebujesz, aby zapewnić sobie bezpieczeństwo
- bezpiecznym szyfrowaniu dysków
- bezpiecznej konfiguracji oprogramowania Tor, oraz stacji roboczych
- obwodach zasilających i mechanizmach killswitch, zabezpieczających Cię przed przechwyceniem Twoich komputerów włączonych, z rozszyfrowanymi dyskami
- sposobach pracy działów bezpieczeństwa w korporacjach i ich współpracy ze służbami
- technikach identyfikacji użytkowników Tor przez korporacje i służby państwowe, oraz metodach oszukiwania tych technik
Jeśli chcielibyście poczytać o innych aspektach Tor, niż te z powyższej listy, piszcie w komentarzach albo bezpośrednio do nas na adres kontakt@payload.pl.
17 żelaznych zasad dla użytkowników sieci Tor
- Bezwzględnie szyfruj wszystkie dane i nośniki związane z Tor (dyski twarde, pen drive’y itp.). Każdy nośnik powinien być szyfrowany innym kluczem/hasłem (nie biometrycznie). W kolejnych artykułach podpowiemy Ci szereg dobrych praktyk związanych z naprawdę bezpiecznym szyfrowaniem nośników.
- Używaj Tor tylko na wydzielonej infrastrukturze IT, fizycznie odseparowanej od Twojego normalnego komputera. Maszyna wirtualna nie wystarczy, idealna sytuacja to przynajmniej 3 osobne komputery i dodatkowy router (po co aż tyle, wyjaśnimy w kolejnych artykułach).
- Nie używaj Tor na laptopie, chyba że ma całkowicie wyjętą baterię i jest na stałe przypięty w jednym miejscu, jako komputer stacjonarny. Nie wynoś komputerów i nośników związanych z Tor poza zaufany lokal, w którym pracujesz.
- Nie daj się zaskoczyć z włączonymi komputerami i rozszyfrowanymi nośnikami danych. Zasilaj je za pośrednictwem tzw. killswitchy, umożliwiających odcięcie zasilania i wyłączenie komputerów jednym ruchem ręki, oraz automatycznie w przypadku wyłamania drzwi wejściowych. W jednym z kolejnych artykułów podpowiemy Ci, jak skutecznie zabezpieczyć lokal za pomocą killswitchy i innych niespodzianek dla nieautoryzowanych gości.
- Nigdy nie przenoś danych i nośników z komputerów związanych z Tor do Twojego normalnego komputera. Niech to, co robiłeś w Tor, pozostanie tylko w Twojej głowie, oraz na nośnikach schowanych w bezpiecznych miejscach – ale nadal podłączanych w razie czego tylko do komputerów przeznaczonych do użytku z Tor.
- Nie pracuj na komputerach związanych z Tor jako administrator. Pracuj na zwykłych kontach, a uprawnienia administratora uzyskuj za pomocą su/sudo tylko na potrzeby wykonania danej czynności administracyjnej. Co jakiś czas reinstaluj od zera całe oprogramowanie używane z Tor, twórz nowe konta, konfiguruj na nich od początku przeglądarkę itd. A jeśli chcesz używać systemu Windows, koniecznie wykonaj te kroki.
- Przyjrzyj się oprogramowaniu typu Tor Browser. Używaj na komputerach związanych z Tor albo takiego oprogramowania, albo standardowego, ale skonfigurowanego w analogiczny sposób, tj. wyłączone ciastka, wyłączone różne pluginy do przeglądarki itd.
- Zwracaj uwagę na to, czy łączysz się z poszczególnymi stronami przez połączenie http (nieszyfrowane), czy https (szyfrowane). Unikaj stron bez obsługi https, w szczególności nie pobieraj z nich dużych plików (większych niż kilka megabajtów) i nie wypełniaj na nich jakichkolwiek formularzy.
- Jeśli chcesz używać z Tor oprogramowania do obróbki grafiki, do składu tekstu itp., bądź niestandardowych czcionek, rób to wyłącznie na kolejnym, dedykowanym do tego komputerze. Upewnij się, że na głównej stacji roboczej do Tor nie ma zainstalowanych żadnych niestandardowych czcionek.
- Nie uruchamiaj żadnego oprogramowania ściągniętego przez Tor – nawet tego podpisanego cyfrowo (może ono wpływać na konfigurację komputera, np. modyfikując działanie przeglądarki, i posłużyć do identyfikacji Twojego komputera). Jeśli naprawdę musisz, rób to na kolejnym, dedykowanym do tego komputerze, uruchamianym z Live CD i wyłączanym po każdym użyciu.
- Nie ufaj i nie mów nikomu, co robisz w sieci Tor. Nawet żonie i dzieciom. Staraj się nie pić alkoholu (jeśli już, to tylko w niewielkich ilościach i w zaufanym towarzystwie), ani nie używać żadnych substancji wpływających na działanie umysłu.
- Nigdy nie podawaj za pośrednictwem Tor swoich prawdziwych danych osobowych, adresowych, ani żadnych innych związanych z Tobą lub innymi osobami, które znasz (w szczególności, których nie lubisz, lub które nie lubią Ciebie).
- Jeśli zarabiasz w sieci Tor, nie afiszuj się stanem majątkowym i nie kupuj nic dużego i/lub rzucającego się w oczy (samochód, mieszkanie itp.) za zarobione pieniądze. Nie wprowadzaj tych pieniędzy do obiegu bankowego. Fizycznie je ukryj i traktuj jako zabezpieczenie na czarną godzinę (tj. na wypadek, gdy nie będziesz się już musiał przejmować wytłumaczeniem komukolwiek ich pochodzenia, bo będziesz miał na głowie poważniejsze problemy), możesz także „dosypywać” sobie z nich (byle z umiarem!) do oficjalnych dochodów i kupować dzięki temu droższe, zdrowsze jedzenie, nieco lepsze ubrania, zacząć chodzić na siłownię, czy nawet od czasu do czasu kupić tańszy komputer stacjonarny albo inną rzecz potrzebną do pracy. Pamiętaj jednak, by za wszystkie te rzeczy płacić wyłącznie gotówką i nie brać faktur, a jedynie paragony.
- Jedna z podstawowych technik identyfikacji użytkowników w sieci Tor to korelacja czasowa zdarzeń – czymkolwiek zajmujesz się w sieci Tor, staraj się wypracować strategię łamania korelacji czasowej: Twoje maile powinny być wysyłane automatycznie, gdy Ty śpisz lub gdy jesteś poza zaufanym lokalem, najlepiej o losowych porach (w kolejnych artykułach podpowiemy Ci, jak to zrobić). Na Twoim łączu internetowym powinien przez cały czas (24/7) być ruch związany z siecią Tor, nawet niewielki (może to być pobieranie w kółko jakichś losowych plików lub cokolwiek innego).
- Jeśli Twoje komputery zostaną Ci odebrane przez funkcjonariuszy, a następnie oddane – pamiętaj: to już nie są Twoje komputery. Możesz z nimi zrobić dwie rzeczy: używać do całkowicie jawnych celów (np. dać dziecku do zabawy i pamiętać o legalności ewentualnych gier), lub sprzedać np. na Allegro. Absolutnie nie uruchamiaj na nich już nigdy Tor, nie używaj haseł związanych z Tor, nie odszyfrowuj dysków twardych, ani nie podpinaj żadnych nośników (poza płytami DVD z oryginalnym, legalnym oprogramowaniem).
- Jeśli prowadzisz ukrytą usługę Tor na dedykowanym serwerze w firmie hostingowej, traktuj zdarzenia takie jak podpięcie czegokolwiek do portu USB, czy nagłe wyłączenie/restart maszyny, jako jej kompromitację. Jeśli do tego doszło, absolutnie nie rozszyfrowuj już nigdy dysku na takiej maszynie (przygotuj się zawczasu – powinieneś mieć backupy danych, oraz zapasowe maszyny w innych serwerowniach).
- Jeśli dopiero chcesz prowadzić ukrytą usługę Tor – pamiętaj, że Twoja wolność i bezpieczeństwo są ważniejsze od stabilności łącza i wydajności łącza, serwera, czy dysków. Pojedyncze łącze i kilka megabitów przepustowości powinny w zupełności wystarczyć na początek, więc w miarę możliwości uruchom tą usługę bezpośrednio z lokalu, w którym pracujesz, zamiast z zewnętrznej serwerowni, nad którą nie masz żadnej kontroli. I koniecznie pamiętaj o killswitchach.
Aktualizacja 2020
Powyższy artykuł, od momentu publikacji na Fajne.IT w 2015 roku, aż do dziś (lipiec 2020) przyciąga coraz to nowych czytelników i jest zdecydowanym rekordem poczytności autora. Jednocześnie po 5 latach od publikacji kilka porad wymaga drobnej aktualizacji, aby nie budzić niczyich wątpliwości, jak również dostosować je do zmieniających się realiów.
- Wg komentarzy, jakie do nas spływały, zasady 16 i 17 mogą sugerować, że dobrym pomysłem jest prowadzenie ukrytej usługi. Powiedzmy to wprost: odradzamy uruchamianie i prowadzenie ukrytych usług. Jakichkolwiek, w jakikolwiek sposób. Zostaw to innym, niech oni ryzykują. Zamierzona wymowa punktów 16 i 17 jest zaś od początku następująca: jeśli już z jakiegoś powodu naprawdę musisz, to…
- Przyjrzyj się systemowi Tails i rozważ przesiadkę na niego z klasycznego systemu operacyjnego. Tails rozwiązuje większość problemów związanych z utrzymaniem pełnej anonimowości, np. kwestię unikalnych czcionek w systemie albo pluginów w przeglądarce, kwestię blokowania ciasteczek, periodycznej reinstalacji systemu itp. (zasady 6 i 7).
- Bezpośrednio w powyższym tekście dodaliśmy kilka linków do nowych artykułów.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.