Apakah Tor Masih Aman?
(blog.torproject.org)- Seorang pengguna versi lama Ricochet, aplikasi yang sudah lama dipensiunkan, dianonimkan balik lewat serangan penegak hukum, tetapi sejauh yang diketahui Tor Project, tidak ada indikasi Tor Browser diserang atau disalahgunakan
- Deanonimisasi tersebut diduga merupakan guard discovery attack, dan perangkat lunak yang digunakan saat itu tidak memiliki perlindungan Vanguards-lite atau vanguards addon untuk mencegahnya
- Pembaruan 10 Oktober 2024 menyatakan bahwa dampak v3 Onion Services dalam laporan DW belum bisa dikonfirmasi, dan masih ada kemungkinan perlindungan Vanguard tidak ada saat serangan terjadi
- Karena kasus ini terkait akses internal Onion Service, pembahasan tentang exit node tidak terlalu berkaitan secara langsung; pengguna Tor Browser yang tidak mempertahankan koneksi dalam waktu lama juga lebih tidak rentan terhadap analisis timing yang sama
- Pengguna perlu selalu memperbarui perangkat lunak dan mengikuti panduan kanal resmi, sementara operator relay dapat berkontribusi memperluas keberagaman hardware, software, dan geografis jaringan
Kasus Ricochet dan Cakupan Tor Browser
- Seorang pengguna Tor yang memakai versi lama aplikasi Ricochet yang sudah lama dipensiunkan menjadi subjek laporan investigasi setelah dianonimkan balik melalui Onion Service
- Sejauh yang dikonfirmasi Tor Project, tidak ada bukti bahwa Tor Browser diserang atau disalahgunakan
- Pengguna Tor dapat mengakses web secara aman dan anonim dengan Tor Browser, dan jaringan Tor tetap dalam kondisi sehat
- Di tengah situasi ketika pengguna di seluruh dunia perlu melindungi privasi saat menjelajah internet, Tor masih menjadi solusi yang tepat
- Pengguna dan operator relay harus selalu menjaga versi perangkat lunak tetap terbaru
Metode Serangan yang Diduga dan Perlindungan yang Tidak Ada
- Berdasarkan informasi terbatas, satu pengguna versi lama Ricochet tampaknya sepenuhnya dianonimkan balik melalui guard discovery attack
- Perangkat lunak yang digunakan saat itu tidak memiliki fitur perlindungan untuk mencegah jenis serangan ini
- Tidak ada Vanguards-lite
- Tidak ada vanguards addon
- Ricochet-Refresh, fork yang masih dipelihara, telah menyertakan fitur perlindungan tersebut sejak versi 3.0.12 yang dirilis pada Juni 2022
- Vanguards-lite dirilis di Tor 0.4.7, dan merupakan fitur untuk mengurangi kemungkinan penyerang menggabungkan pembuatan circuit yang dipancing dengan covert channel berbasis circuit untuk menemukan malicious middle relay di sebelah Guard pengguna
- Setelah Guard teridentifikasi, waktu koneksi netflow dapat digunakan untuk menemukan pengguna yang menjadi target perhatian
- Dalam kasus ini, Onion Service descriptor memungkinkan waktu online dan offline pengguna diketahui, dan karena Guard yang ditemukan memiliki sedikit pengguna, serangan netflow dapat berlangsung cepat
Pembaruan 10 Oktober 2024
- Laporan Deutsche Welle (DW) menyiratkan bahwa v3 Onion Services terdampak serangan, tetapi Tor Project belum dapat memastikan apakah layanan yang terdampak mengaktifkan perlindungan Vanguard
- Dengan mempertimbangkan waktu serangan, ada kemungkinan layanan tersebut tidak memiliki perlindungan Vanguard
- Tanpa perlindungan Vanguard, Onion Services lebih rentan terhadap guard discovery attack yang relatif mudah, tetapi metode persisnya masih belum jelas
- Tor Project terus melakukan penyelidikan dan akan memberi pembaruan jika ada informasi tambahan
Pengungkapan yang Bertanggung Jawab dan Permintaan Informasi Tambahan
- Chaos Computer Club (CCC) dapat mengakses dokumen terkait kasus ini serta menganalisis dan memverifikasi asumsi jurnalis, tetapi Tor Project hanya menerima ikhtisar yang samar dan pertanyaan konfirmasi dengan cakupan luas
- Karena menilai ada potensi risiko bagi pengguna, Tor Project memilih untuk merespons secara terbuka
- Tor Project berupaya memahami bukti bahwa terjadi serangan deanonimisasi, bukan identitas narasumber, agar dapat merespons secara tepat dan menilai tanggung jawab pengungkapan publik
- Jika dapat mengakses dokumen yang sama, Tor Project bisa melaporkan kondisi nyata jaringan Tor dan dampaknya terhadap mayoritas pengguna dengan lebih jelas
- Saat ini fakta yang tersedia belum cukup untuk mengeluarkan panduan resmi atau pengungkapan yang bertanggung jawab kepada komunitas Tor, operator relay, dan pengguna
- Orang yang memiliki informasi terkait dapat menghubungi security@torproject.org
- Jika ingin email terenkripsi, kunci publik OpenPGP dapat diperoleh dari keys.openpgp.org
- Fingerprint:
835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41
Pembahasan Exit Node dan Kondisi Jaringan
- Karena Onion Services hanya dapat diakses dari dalam jaringan Tor, pembahasan exit node tidak relevan dalam kasus ini
- Sejauh yang diketahui Tor Project, serangan terjadi antara 2019 dan 2021
- Jumlah exit node meningkat signifikan selama dua tahun terakhir dan kini lebih dari 2.000
- Memang dapat dipertanyakan apakah node terkonsentrasi pada negara atau operator tertentu, tetapi hal itu sangat kecil kaitannya dengan serangan yang digambarkan dalam artikel yang sejauh ini telah dipublikasikan
- Serangan terjadi pada versi lama Ricochet yang belum memiliki fitur mitigasi analisis timing yang kemudian diperkenalkan Tor Project
- Ricochet-Refresh terbaru telah menyertakan fitur perlindungan tersebut
- Pengguna Tor Browser yang tidak mempertahankan koneksi dalam waktu lama lebih tidak rentan terhadap analisis timing semacam ini
Pengelolaan Relay dan Keberagaman Jaringan
- Setelah serangan 2019–2021, tim Tor Network Health menandai ribuan relay buruk, dan Directory Authorities memberikan suara untuk menghapusnya
- Relay yang dihapus mencakup relay yang tampaknya berasal dari satu operator maupun relay yang mencoba masuk ke jaringan dalam skala besar
- Tim Network Health menerapkan proses untuk mengidentifikasi kelompok relay besar yang dicurigai dikelola oleh satu operator atau pelaku jahat, serta mencegah mereka berpartisipasi dalam jaringan
- Tor Project memandang keberagaman relay sebagai masalah mendesak bagi komunitas Tor, dan sedang mendiskusikan solusinya bersama komunitas serta operator relay
- Selama setahun terakhir, beberapa inisiatif telah dimulai
- Tor University Challenge dari EFF
- Pengenalan Tor network health API di DEF CON 32
- Bandwidth Tor telah meningkat cukup besar dalam beberapa tahun terakhir, dan jaringan Tor kini lebih cepat daripada sebelumnya
- Metrik terkait: Tor Metrics bandwidth
Hal yang Dapat Dilakukan Pengguna untuk Membantu
- Mereka yang mampu dapat berkontribusi pada pertumbuhan dan diversifikasi jaringan Tor dengan menyediakan bandwidth dan relay
- Memastikan keberagaman hardware, software, dan geografis jaringan Tor dapat sangat mengurangi kemungkinan penyalahgunaan dan pengawasan, serta membuat guard attack lebih sulit dilakukan
- Untuk menjaga kesehatan jaringan dan melindungi pengguna serta operator relay, perangkat lunak Tor harus tetap diperbarui dan panduan dari kanal resmi Tor Project harus diikuti
- Tor adalah salah satu dari sedikit alternatif yang menawarkan visi dan model yang dapat dijalankan untuk internet terdistribusi yang membuat pengawasan massal terhadap pengguna internet menjadi tidak praktis
- Saat ini Tor berada dalam batasan ekosistem internet yang sebagian besar dimiliki dan dikelola oleh segelintir perusahaan besar
1 komentar
Komentar di Hacker News
Jika seseorang mengoperasikan sendiri 1000 node Tor dan semuanya, termasuk node guard/exit, mencatat log, rasanya itu bisa dilakukan dengan biaya di bawah 5000 dolar per bulan
Kalau ingin menemukan orang yang mengakses hidden service tertentu atau URL web biasa, bukankah suatu saat akan ada kasus ketika ketiga node dalam circuit semuanya adalah node yang saya operasikan? Memang sulit menargetkan orang tertentu dan akan memakan waktu lama, tetapi pada akhirnya bukankah bisa menemukan orang yang hanya melewati node Tor yang saya kendalikan?
VPS 5 dolar per bulan tidak punya bandwidth untuk menanggung trafik bulanan node Tor, dan agar naik status menjadi guard relay, node harus terus online dan memproses trafik selama sekitar 2–3 bulan
Jika membatasi bandwidth agar sesuai kuota, node akan ditandai sebagai node lambat sehingga jumlah koneksi turun, dan bahkan mempertahankan 1 Mbps secara konsisten saja sudah melampaui kuota transfer bulanan paket murah Digital Ocean atau Linode
https://blog.torproject.org/lifecycle-of-a-new-relay/
Untuk menyederhanakan, jika mengabaikan jenis node dan faktor geografis lalu hanya melihat probabilitas pengguna acak memilih tiga node yang saya miliki, angkanya di bawah 0,14%. Jika pengguna memakai 4 node agar lebih aman, turun menjadi 0,015%, dan setiap penambahan satu relay membuatnya menurun secara eksponensial
Node Tor terus dipantau dan diverifikasi untuk mencegah tindakan berbahaya, sehingga serangan seperti ini makin sulit. Organisasi dengan sumber daya praktis tak terbatas seperti NSA mungkin bisa melakukannya, tetapi bagi individu atau penyerang biasa, ini nyaris mustahil
https://gitlab.torproject.org/tpo/network-health/team/-/wiki...
Tor memang sudah lama, tetapi tidak ada tanda bahwa layanan anonimitas intinya telah jebol hingga penangkapan melonjak; dalam kasus-kasus terkenal yang nyata, kebanyakan pengguna Tor terlacak karena melakukan kesalahan lain
Jika circuit berubah setiap 10 menit, dalam beberapa hari rasanya sebagian persentase trafik dari hampir semua pengguna dapat dideanonimkan
Bagi pihak lawan yang punya sedikit kemampuan teknis dan bersedia mengeluarkan 5000 dolar, saya menganggap Tor sudah jebol
Saya sekitar 80% curiga bahwa Tor adalah proyek yang didukung AS untuk menggiring orang-orang yang membutuhkan anonimitas ke satu layanan, sehingga hanya pemerintah yang bisa melihat porsi besar trafik global yang dapat mengaksesnya
Katanya di Jerman, operator situs materi eksploitasi seksual anak ditangkap dengan cara seperti ini. Mereka mengidentifikasi admin forum dengan mengamati node tertentu dan ukuran file yang lalu-lalang di antaranya; butuh satu setengah tahun untuk menemukan orang tertentu, tetapi akhirnya tertangkap
Dengan tingkat seperti ini, pengguna biasa tampaknya cukup aman. Karena harus menargetkan sasaran tertentu dalam waktu lama. Namun jika upayanya cukup besar, tampaknya identifikasi tetap mungkin dilakukan seperti Silk Road, bahkan tanpa membuat kesalahan di web biasa
Begitu alamatnya ditemukan, mereka tinggal menggerebek rumah dan menangkap orangnya saat sedang di depan komputer; pada saat itu selesai sudah
Sumber daya investigasi selalu terbatas, dan sistem privasi bekerja dengan meningkatkan tingkat kesulitan serta biaya deanonimisasi. Tidak perlu sempurna; cukup membuatnya mahal
Jika tujuannya adalah anonimitas dasar untuk menyelidiki pihak berkuasa atau mengakses informasi, kemungkinan pihak tertentu mengerahkan keahlian, dana, dan waktu untuk menjebol Tor dengan cara yang dibahas di sini sangat rendah
Sebaliknya, jika Anda adalah pemimpin teror internasional yang dicari di beberapa negara, kriminal skala besar, atau musuh nomor satu negara otoriter, pihak yang memiliki kapabilitas seperti itu benar-benar akan mengejarnya sampai akhir
Untuk konteks, laporan NDR ada di sini: https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Inve...
Informasi tambahan ada di sini: https://lists.torproject.org/pipermail/tor-relays/2024-Septe...
NDR mengklaim ini adalah timing attack yang dapat mengidentifikasi “server masuk”, tetapi hampir tidak ada informasi tentang sifat serangannya. Mereka juga mengklaim sudah ada penangkapan dengan metode ini
Caranya berupa traffic shaping: trafik nyata diberi prioritas lebih tinggi, tetapi tidak sampai melampaui stream padding. Ini mungkin mengasumsikan daemon Tor dijalankan langsung di sebuah server di suatu tempat dan VPN berakhir di node tersebut
Tampaknya bisa dilakukan dengan shaping kelas
tc sch_htbatausch_cake, aturaniptables mangleuntuk menandai paket, lalu terus menjalankan dua streamrsyncdua arah yang membaca/dev/urandomatau file acak besarMisalnya,
rsyncnative di port 873 diperlakukan sebagai trafik bulk berprioritas rendah, sedangkansquid mitm ssl-bump proxydi port 3128 diberi prioritas tinggihttps://en.wikipedia.org/wiki/Boystown_(website)
Pada 2024, bagi pengguna yang paham internet, lebih tepat berasumsi bahwa tidak ada apa pun yang 100% “aman”. Tidak ada keamanan sempurna atau privasi sempurna
Namun alat seperti Tor dapat membuat penggunaan internet lebih aman. Jika Tor tidak boleh dipakai hanya karena “tidak aman/tidak pernah benar-benar aman sejak awal”, maka kesimpulannya kita juga tidak boleh memakai internet itu sendiri
Orang-orang yang tidak percaya Tor karena berbagai alasan lalu sama sekali tidak mau memakainya hampir tidak pernah menawarkan alat atau langkah alternatif yang memberikan tingkat keamanan mendekati Tor
https://news.ycombinator.com/item?id=41573550
Saya merasa belum pernah tertipu logika seperti ini, tetapi saya pasti punya kelemahan lain. Meski begitu, yang sangat mencolok adalah bagaimana pola argumen seperti ini bisa terasa meyakinkan bagi orang-orang pintar yang tampaknya tidak akan termakan kekeliruan yang jelas
Di Timur Tengah, ada contoh yang sangat jelas bahwa aktor negara dapat menargetkan kanal dengan cara yang tak terduga
Mempertanyakan lapisan pertahanan tertentu sambil tetap mengejar strategi pertahanan berlapis itu sepenuhnya masuk akal
Ada presentasi DefCon yang sangat bagus yang membahas topik ini dari sudut pandang penjual darknet. Benar-benar bagus
https://youtu.be/01oeaBb85Xc
?si=digunakan untuk pelacakan, jadi sebaiknya dihapusSaya ingat Adrian Crenshaw pernah mempresentasikan di Def Con 22 tentang bagaimana orang-orang tertangkap saat memakai Tor. Saat itu pun ia mengatakan sebagian besar kasus bukan karena Tor, melainkan karena kegagalan keamanan operasional dari pihak yang bersangkutan
Saya penasaran, setelah 9–10 tahun berlalu, sejauh apa informasi ini masih berlaku
DEF CON 22 - Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught
https://www.youtube.com/watch?v=eQ2OZKitRwc
Saya kurang paham. Mengapa CCC tidak membagikan informasi kepada para maintainer Tor Project?
Jika lembaga-lembaga federal mengoperasikan exit node dalam jumlah yang cukup besar, penggunaan Tor paling banter pun berisiko. Saya tidak tahu apakah fitur untuk mencegah hal ini sudah diterapkan kemudian, tetapi kalau berniat melakukan sesuatu yang ilegal, saya tidak akan mendekati Tor
Ada juga risiko harus percaya bahwa operator layanan marketplace akan melindungi informasi pribadi yang Anda ungkapkan dengan baik. Saya tidak membayangkan aparat akan mengungkap identitas mereka sendiri demi menangkap pembeli narkoba, tetapi tetap saja mempercayai hal itu tampak bodoh
Daftar semua relay memang terbuka secara desain, dan relay memiliki informasi kontak. Operator besar adalah individu dan organisasi yang dikenal, mereka juga berkontribusi dan berinteraksi
Jika pada praktiknya sulit membedakan relay mana yang digunakan pemerintah untuk melakukan hal buruk terhadap warga, saya bertanya-tanya mengapa klaim seperti itu dibuat
Relay yang menunjukkan perilaku berbahaya yang dapat diamati terus-menerus dihapus dari jaringan. Jika itu pemerintah, berarti Tor mengelola situasinya dengan cukup baik
Jika aparat melakukan serangan korelasi, mereka tidak perlu repot mengoperasikan relay. Menyadap IXP di dekat hub relay utama, atau mengambil data dari tap yang sudah mereka miliki, akan lebih senyap dan lebih luas cakupannya
Menjauhkan orang dari Tor justru dapat membuat deanonimisasi lebih mudah, bergantung pada model penyerang yang diasumsikan
Karena aparat sering kali bahkan tidak menangani kejahatan mudah yang ada di depan mata dengan baik, kemungkinan menuntut pengguna Tor sangat rendah sampai mereka menjadi cukup besar atau melewati batas hingga menarik perhatian
Tepatnya, tidak akan pernah mengungkapnya. Karena exit node tidak termasuk dalam circuit tersebut
Jika cukup banyak lembaga pemerintah mengoperasikan node Tor, bukankah secara teori itu bisa melindungi sebagian besar akses internet umat manusia dari pengawasan?
Ini tampak seperti kemajuan nyata dalam teknologi internet. Jika hanya satu negara yang melakukannya, negara itu menguasai semuanya, tetapi jika semua negara bersaing, strukturnya mendekati kondisi semua pihak menang
Namun saya penasaran apakah Tor dapat diskalakan secara berkelanjutan secara lingkungan pada skala planet
Tulisan ini tidak ditulis dengan cara yang langsung menumbuhkan kepercayaan
Meski begitu, ada bagian yang memang memberi kepercayaan. Tor sudah diperbarui secara proaktif sejak beberapa tahun sebelum diketahui bahwa kerentanannya benar-benar dieksploitasi, dan Tor Project telah menyelidiki vektor serangan pada klien Tor tertentu yang versinya sudah bertahun-tahun usang
Sepertinya cukup kalau mereka mengatakan “kami memperbaiki kerentanan itu pada 2022”, lalu menerbitkan tulisan terpisah tentang perangkat lunak lama
Memang benar itu sudah diperbaiki sejak beberapa tahun lalu, tetapi menurut bacaan saya ini tampaknya bukan sekadar kasus memakai perangkat lunak lama
Tanpa desain jaringan yang sepenuhnya berbeda seperti Mixminion atau Katzenpost, ini tidak bisa diperbaiki secara fundamental. Ada yang menyarankan I2P, tetapi pada dasarnya tidak jauh berbeda dari Tor. Penggunaan tunnel satu arah mungkin bisa membantu
Saya penasaran dengan penggunaan Tor yang “legal”. Saya tidak sepenuhnya mengikuti, tetapi pemahaman saya, Tor dirancang oleh Angkatan Laut AS agar rezim represif lebih sulit melacak penggunaan web warganya
Selain ingin warga Rusia bisa mengakses situs BBC, saya sungguh penasaran mengapa orang perlu menginginkan Tor. Namun saya tidak ingin mendengar jawaban semacam pemerintah saya sebentar lagi akan melakukan persekusi massal, jadi saya harus bersiap
Jika semuanya dilindungi SSL, tidak perlu lagi menjelaskan mengapa hanya hal tertentu yang dilindungi SSL. Alasan yang sama bisa diterapkan pada penggunaan Tor
Semua orang menginginkan “privasi sebagai default”, tetapi sulit menghubungkan asumsi seperti ini dengan kenyataan. Di dunia nyata pun pengawasan terjadi, hanya saja tidak ada yang datang langsung untuk menyapa
Jadi sekarang saya memblokir sepenuhnya trafik Facebook/Reddit biasa. Cara ini tidak membuat saya anonim. Setidaknya di Facebook saya tetap login dengan akun saya. Namun ini membatasi profil yang Meta buat tentang saya menjadi gabungan dari apa yang mereka amati langsung di Facebook dan apa yang mereka beli dari broker data
Setelah melakukan ini, relevansi iklan Facebook turun drastis, dan tampaknya berhasil. Ada beberapa kali iklan tiba-tiba kembali relevan, dan itu menjadi sinyal kebocoran informasi. Biasanya tampaknya Meta mendapatkan riwayat pembayaran kartu kredit saya dari bank atau merchant toko, lalu mengaitkannya dengan identitas saya
VPN secara teori bisa memberi manfaat yang sama, tetapi dalam praktiknya Facebook cenderung mengunci akun sementara saat memakai VPN, dan Reddit memblokir trafik VPN sepenuhnya. Karena itu saya memakai layanan onion yang dioperasikan langsung oleh situs-situs tersebut, sehingga kemungkinannya juga lebih kecil diperlakukan sebagai trafik berbahaya
Jika Anda memakai platform ini, saya sarankan menandai situs onion di Tor Browser dan mencobanya sebagai antarmuka default selama beberapa waktu. Jika tidak terlalu merepotkan, Anda bisa memblokir versi non-onion situs tersebut di jaringan
https://old.reddittorjg6rue252oqsxryoxengawnmo46qy4kyii5wtqn...
https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg...
Jangan percaya begitu saja tautan yang baru saya unggah. Bisa saja saya memasang tautan palsu. Saya sarankan mencocokkannya dengan https://github.com/alecmuffett/real-world-onion-sites, yang mengarah ke bukti kepemilikan situs onion di bawah nama domain biasa
https://community.torproject.org/outreach/stories/
Di banyak aplikasi pesan populer, enkripsi ujung-ke-ujung kini diterima sebagai fitur arus utama yang normal, tetapi ketika gagasan yang sama diterapkan pada browsing web, hal itu masih diperlakukan sebagai sesuatu yang pinggiran. Pemisahan ini tampak sewenang-wenang dan bersifat kultural
Namun bisa juga ini masalah pengalaman pengguna. WhatsApp nyaman dipakai, sedangkan memakai internet secara biasa lewat Tor terasa mengerikan. Terutama karena Cloudflare memblokirnya sepenuhnya atau mengirim pengguna ke neraka captcha