Limitações da rede Tor

O uso do Tails deixa explícito os fatos de que você está usando a rede Tor e, provavelmente, Tails

Tudo que você faz na internet a partir do Tails passa pela rede Tor.

Quando Tor e Tails te protegem, não é fazendo você parecer um usuário aleatório de Internet, mas sim fazendo com que todos os usuários de Tor e Tails pareçam ser o mesmo. Assim torna-se impossível distinguir quem é quem entre esses usuários.

  • O seu provedor de serviço de internet e a sua rede local podem ver que você conecta à rede Tor. Ainda assim, não sabem quais sites você visita. Para esconder o fato de que você está usando Tor, use uma ponte Tor.

  • Os sites que você visita podem saber que você está usando Tor, pois a lista de nós de saída da rede Tor é pública.

Controles parentais, provedores de serviço de Internet e países com censura pesada podem identificar e bloquear conexões com a rede Tor que não estejam usando pontes Tor.

Vários sites pedem que você preencha um CAPTCHA ou mesmo bloqueiam o acesso a partir da rede Tor.

Nós de saída podem interceptar tráfego para o servidor de destino

Tor hides your location from destination servers, but it does not encrypt all your communication. The last relay of a Tor circuit, called the exit node, establishes the actual connection to the destination server. This last step can be unencrypted, for example, if you connect to a website using HTTP instead of HTTPS.

A
conexão Tor passa por 3 retransmissores, sendo que o último é quem de fato
estabelece a conexão com o destino final

O nó de saída pode:

  • Observar seu tráfego. É por isso que o Navegador Tor e o Tails fornecem ferramentas como o HTTPS Everywhere, para garantir uma conexão criptografada entre o nó de saída e o servidor de destino sempre que for possível.

  • Fingir ser o servidor de destino, com uma técnica conhecida como ataque machine-in-the-middle (MitM). É por isso que você deve prestar ainda mais atenção aos avisos de segurança no Navegador Tor. Se você receber algum desses avisos, use a ferramenta de Nova Identidade do Navegador Tor para mudar de nó de saída.

Aviso: Potencial risco de segurança
adiante

Para saber mais sobre quais informações ficam disponíveis para quem possa observar diferentes partes de um circuito Tor, veja o gráfico interativo em Tor FAQ: Nós de saída podem escutar as comunicações?.

Nós de saída do Tor já foram usados no passado para coletar dados sensíveis de conexões não criptografadas. Nós de saída maliciosos geralmente são identificados e removidos da rede Tor. Por exemplo, veja Ars Technica: Um profissional de segurança usou Tor para coletar senhas de emails governamentais.

Adversários que conseguem monitorar ambas as pontas de um circuito Tor podem conseguir identificar usuários

Um adversário que conseguisse controlar os 3 retransmissores de um circuito poderia desanonimizar usuários Tor.

Tor escolhe para cada circuito 3 retransmissores pertencentes a 3 operadores de rede diferentes.

Tails ainda toma outras medidas para usar circuitos diferentes para aplicações diferentes.

A rede Tor possui mais de 6.000 retransmissores. Organizações que rodam retransmissores Tor incluem universidades como o MIT, grupos de ativistas como Riseup, organizações sem fins lucrativos como Derechos Digitales, empresas de hospedagem de internet como Private Internet Access, e assim por diante. A imensa diversidade de pessoas e organizações que rodam retransmissores Tor tornam a rede mais segura e mais sustentável.

Um adversário poderoso, que possa cronometrar e analisar o perfil do tráfego que entra e sai da rede Tor, pode conseguir desanonimizar usuários da rede Tor. Esses ataques são chamados ataques de correlação de ponta-a-ponta, pois o atacante precisa observar ambas as pontas do circuito Tor ao mesmo tempo.

Nenhuma rede de anonimato utilizada para conexões rápidas, tipo para navegação na Internet ou para conversas por mensagens instantâneas, tem como proteger 100% de ataques de correlação ponta-a-ponta. Nesse caso, VPNs (redes virtuais privadas) são menos seguras que Tor, pois não utilizam três retransmissores independentes.

Ataques de correlação ponta-a-ponta foram estudados em artigos de pesquisa, mas nós não temos conhecimento de que tenham sido de fato usados para desanonimizar usuários da rede Tor. Para um exemplo, veja Murdoch e Zieliński: Sampled Traffic Analysis by Internet-Exchange-Level Adversaries (em inglês).