リリースされたNSAスライドに照らした、Torの使用に関するベストプラクティス

非常に長い期間のTorユーザーとして、NSA私にとってのドキュメントの最も驚くべき部分は、Torに対してどれほど進歩していないかでした。その既知の弱点にもかかわらず、それが適切に使用され、ミスをしない限り、それは私たちが持っている最高のものです。

「技術的に可能な限り最高の」セキュリティが必要なため、脅威は、多くのTorユーザーにとってそうであるように、インターネットの可視性または制御が大幅に強化された十分な資金を備えた政府であると想定します（警告 Torだけでは、そのような俳優からあなたを守るには不十分です ）。

このレベルの保護が本当に必要かどうかを検討してください。あなたの活動を発見してもあなたの人生や自由が危険にさらされないのであれば、おそらくあなたはこのトラブルのすべてに行く必要はありません。しかし、そうである場合、あなたが生きていて自由なままでいることを望むなら、あなたは絶対にあなたは絶対に警戒しなければなりません。

ここでは Torプロジェクト自身の警告 は繰り返さないが、これらはほんの始まりにすぎず、そのような脅威からユーザーを保護するのに十分ではないことに注意する。国家主体などの高度な持続的脅威に関しては、ほぼ確実に偏執狂的ではない。

あなたのコンピュータ

今日まで、NSAとFBIのTorへの主な攻撃はMITM攻撃（NSA）と隠しサービスWebサーバーの侵害とマルウェア配信（FBI）であり、Torユーザーのコンピューターから追跡データを送信したか、侵害したか、またはその両方でした。したがって、Torを使用して追跡または危険にさらされるリスクを軽減できる、適度に安全なシステムが必要です。

1. Windowsは使用しないでください。しないでください。これは、WindowsでTor Browser Bundleを使用しないことも意味します。 TBBのソフトウェアの脆弱性は、NSAスライドとFBIによる最近のFreedom Hostingの削除の両方で顕著に見られます。また、 悪意のあるTor出口ノードが署名されていないWindowsパッケージにバイナリパッチを適用していることも示されています マルウェアを配布するために、どのオペレーティングシステムを使用する場合でも、安全な接続を介して入手した署名付きパッケージのみをインストールしてください。

2. Linuxを実行できる独自のワークステーションを構築できず、Torの最新バージョン、Privoxyなどのプロキシ、およびTorブラウザを実行するように注意深く構成した場合、 with allファイアウォールで保護された送信クリアネットアクセス 、代わりに Tails または Whonix を使用することを検討してください。この作業の大部分は自動的に行われます。サードパーティのアプリケーションやマルウェアがあなたの場所に関するデータを誤ってまたは意図的に漏らさないように、発信アクセスをファイアウォールで保護することは絶対に重要です。 TailsまたはWhonix以外のものを使用する必要がある場合は、onlyTorブラウザを使用します（上記のいずれかをダウンロードするのにかかる時間のみ） ）。他のブラウザーは、Torブラウザーを無効にするさまざまな方法によって、Torを使用している場合でも、実際のIPアドレスを リークする可能性があります 。

3. 永続ストレージを使用している場合は、暗号化されていることを確認してください。 LUKSの現在のバージョンはかなり安全であり、主要なLinuxディストリビューションは、インストール中にセットアップを提供します。 TrueCryptは現在安全であるとは認識されていません。 BitLockerは安全かもしれませんが、Windowsを実行するべきではありません。英国など、 ゴム引き が合法である国にいる場合でも、データを暗号化することで、他のさまざまな脅威から保護されます。

4. コンピュータを最新の状態に保つ必要があることに注意してください。 Tailsを使用する場合でも、独自のワークステーションをゼロから構築する場合でも、Whonixを使用する場合でも、最新のセキュリティの脆弱性から保護されるように頻繁に更新してください。理想的には、セッションを開始するたびに、または少なくとも毎日更新する必要があります。更新が利用可能な場合、Tailsは起動時に通知します。

5. JavaScript、Flash、Javaでの妥協には非常に消極的です。デフォルトではすべて無効にします。 FBIは、Torユーザーを識別するために3つすべてを悪用するツールを使用しています。サイトでこれらのいずれかが必要な場合は、他の場所にアクセスしてください。最後の手段としてのみ、一時的にのみ、そして代替手段がないWebサイトの機能を取得するために必要な最小限の範囲でのみ、スクリプトを有効にします。

6. サイトから送信されたCookieとローカルデータを悪質にドロップします。 TBBもTailsも、私の好みに十分対応できません。 自己破壊型Cookie などのアドオンを使用して、Cookieを最小限に抑えることを検討してください。ゼロの。

7. ワークステーションはラップトップでなければなりません。持ち運びできるように持ち運び可能で、すぐに廃棄または破棄する必要があります。

8. Googleを使用してインターネットを検索しないでください。 良い 代替案は スタートページ です。これは、TBB、Tails、およびWhonixのデフォルトの検索エンジンです。別の良いオプションは DuckDuckGo です。

あなたの環境

Torには 弱点 が含まれていますが、これは物理的な世界での行動によってのみ軽減できます。ローカルのインターネット接続とアクセスしているサイトの接続の両方を表示できる攻撃者は、統計分析を使用してそれらを関連付けることができます。

1. 自宅や自宅の近くでTorを使用しないでください。たとえオフラインであっても、自宅からTorを必要とするほど機密性の高いものに取り組んではいけません。コンピューターは、接続したいというおかしな癖があります...これは、ホテルなど、一時的に滞在する場所にも当てはまります。自宅でこれらのアクティビティを実行しないことは、それらの場所に縛られないようにするのに役立ちます。 （これは、高度な持続的脅威に直面している人々に適用されることに注意してください。Torを自宅から実行することは、他の人、特に自分自身は何もしていないが 終了ノード 、 リレー または ブリッジ 。）

2. 特定の場所でTorを使用する時間を制限します。これらの相関攻撃には時間がかかりますが、理論的には1日で完了する可能性があります。 （すでに監視下にある場合は、すぐに行うことができます。これは、疑わしい人物が適切な人物であることを確認または反駁するために行われます。）スターバックス、彼らが翌日を表示する可能性があります。本当に心配なこととして、Torを1つの物理的な場所で24時間以上使用しないことをお勧めします。その後、それが燃やされたと考えて他の場所に行きます。これは、ジャックブーツが6か月後に表示された場合でも役立ちます。ある日現れて二度と戻ってこない人よりも、常連の顧客を思い出す方がはるかに簡単です。これはできることは、特に大都市に住んでいない場合は、さらに遠くに移動する必要があることを意味します。自由に旅行します。

3. 電子的に追跡されることは避けてください。車や公共交通機関の燃料代を現金で支払います。たとえば、ロンドン地下鉄では、通常のオイスターカードや非接触型決済の代わりに、現金で購入した別のトラベルカードを使用してください。他にもすべて現金で支払います。 ATMでも、通常のクレジットカードやデビットカードの使用は避けてください。外出時に現金が必要な場合は、よく使う家庭の近くのATMを使ってください。運転する場合は、主要な橋、トンネル、高速道路、有料道路、主要幹線道路を避け、二次道路を移動することにより、 ナンバープレートリーダー を避けてください。情報が公開されている場合は、これらのリーダーがお住まいの地域のどこに設置されているかを確認してください。

4. これらの活動を行うために外出するときは、携帯電話の電源を入れたままにしておきます。電話をかけたり受けたりする必要がある場合は、その目的のために匿名のプリペイド電話を購入してください。これは一部の国では困難ですが、十分に創造力があれば実現できます。現金を支払う;デビットカードやクレジットカードを使用して、電話やチャージを購入しないでください。自宅から10マイル（16 km）以内にいる場合は、バッテリーを挿入したり電源を入れたりしないでください。また、バッテリーを取り外せない電話を使用しないでください。ある電話で以前に使用したSIMカードを別の電話に配置しないでください。これを行うと、電話が完全にリンクされてしまいます。あなたの本当のアイデンティティであなたを知っている誰かにその数を与えたり、その存在を認めたりすることは決してしないでください。これはあなたの家族のメンバーを含める必要があるかもしれません。

あなたの考え方

Torユーザーの多くは、実際のメールアドレスを活動に関連付けて使用したり、敵対的な敵が高いレベルの信頼に達したりするなどのミスを犯したために捕まりました。あなたはこれをできるだけ避けなければなりません、そしてそれをする唯一の方法は注意深い精神的な訓練をすることです。

1. Torアクティビティをpseudonymousと考えて、アクティビティに対応する仮想IDを作成します。この仮想人物はあなたを知らず、あなたに会うことは決してなく、彼があなたを知っているならあなたも好きではありません。彼は厳しく精神的に離れている必要があります。複数の仮名を使用することを検討してください。ただし、使用する場合は、 それらを関連付ける可能性のある詳細を明らかにしないようにするために、特に警戒する必要があります 。

2. パブリックインターネットサービスを使用する必要がある場合は、この仮名用に完全に新しいアカウントを作成してください。それらを混ぜないでください。たとえば、同じコンピューター上であなたの偽名のメールでTwitterを使用した後、実際のメールアドレスでFacebookを閲覧しないでください。家に帰るまで待ちなさい。

3. 同様に、他に選択の余地がない限り（Tor経由のサインアップをブロックするサービスにサインアップするなど）、Torを使用せずに偽名のアクティビティに関連するアクションを実行しないでください。これを行う必要がある場合は、身元と場所に関して特別な予防策を講じてください。

隠しサービス

これらはニュースで大きく取り上げられており、2013年にはSilk RoadやFreedom Hostingなどの注目度の高い隠しサービスが廃止され、2014年にはSilk Road 2.0と 数十の他のサービス が廃止されました。

悪い知らせは、 隠されたサービスは、 よりもはるかに弱いか、または本来あるべきものです。 Torプロジェクトは、資金不足と開発者の興味がないため、隠れたサービスに多くの開発を費やすことができませんでした（できる場合は、これらの方法のいずれかで貢献することを検討してください）。

さらに、FBIがトラフィック確認攻撃を使用して隠されたサービスを一斉に特定すること、および Torネットワークへの2014年初期の攻撃が疑われています は実際には FBI操作 でした。

良いニュースは、NSAはあまり効果がなかったようです（NSAスライドでは、非表示に焦点を当てたONIONBREATHというGCHQプログラムについて説明していますが、サービス、それについてはまだ何も知られていません）。

隠しサービスは、しばしば他人の物理的な制御下で実行する必要があるため、それらの相手を介して侵害される可能性があります。したがって、サービスの匿名性を保護することはさらに重要です。いったんこの方法でセキュリティが侵害されると、それはかなりゲームオーバーになるからです。

上記のアドバイスは、単に隠しサービスにアクセスするだけの場合に十分です。非表示のサービスを実行する必要がある場合は、上記のすべてを実行し、さらに以下を実行します。これらのタスクには、Torの経験もある経験豊富なシステム管理者が必要です。関連する経験なしにそれらを実行することは困難または不可能であるか、またはあなたの逮捕につながる可能性があります。オリジナルのSilk RoadとSilk Road 2.0の両方の運営者は、ほとんどの開発者と同じように、IT運用に不慣れな開発者でした。

1. 物理ホストも制御している場合を除き、仮想マシンで非表示のサービスを実行しないでください。 Torとサービスがファイアウォールで保護された物理ホスト上のファイアウォールで保護された仮想マシンで実行される設計は、それがあなたが制御している物理ホストであり、クラウドスペースをリースしているだけではない場合は問題ありません。クラウドプロバイダーが仮想マシンのRAMのイメージを取得するのは簡単です。これには、すべての暗号化キーと他の多くのシークレットが含まれています。この攻撃は、物理マシンでははるかに困難です。

2. Tor隠しサービスのもう1つの設計は、2つの物理ホストで構成され、同じデータセンターにある場合でも、2つの異なるプロバイダーからリースされます。最初の物理ホストでは、単一の仮想マシンがTorで実行されます。ホストとVMは両方とも、Torトラフィック以外の送信トラフィックと2番目の物理ホストへのトラフィックを防ぐためにファイアウォールで保護されています。2番目の物理ホストにはVM実際の隠しサービスを使用します。ここでも、これらは双方向でファイアウォールで保護されます。それらの間の接続は、OpenVPNなど、安全でないことがわかっていないVPNで保護する必要があります。2つのホストのいずれかが疑われる場合は、危険にさらされると、サービスは（仮想マシンのイメージをコピーすることによって）すぐに移動され、両方のサーバーが使用停止になります。

   これらの設計はどちらも、 Whonix を使用してかなり簡単に実装できます。

3. サードパーティからリースされたホストは便利ですが、サービスプロバイダーがハードドライブのコピーを取得する攻撃に対して特に脆弱です。サーバーが仮想サーバーである場合、またはサーバーが物理ストレージでRAIDストレージを使用している場合は、サーバーをオフラインにすることなくこれを実行できます。ここでも、クラウドスペースをリースせず、物理ホストのハードウェアを注意深く監視します。 RAIDアレイの機能が低下していると表示された場合、またはサーバーがしばらくの間不可解にダウンしている場合は、単純なハードウェア障害とこの性質の侵害とを区別する方法がないため、サーバーは侵害されたと見なす必要があります。

4. ホスティングプロバイダーがリモートコンソールへの24時間365日のアクセスを提供していることを確認してください（ホスティング業界では、これは [〜＃〜] kvm [〜＃〜] と呼ばれますが、通常は [〜＃ 〜] ipmi [〜＃〜] ）オペレーティングシステムをインストールすることもできます。インストール中に一時的なパスワード/パスフレーズを使用し、Torを起動して実行した後ですべて変更します（以下を参照）。 Dell iDRACやHP iLOなど、セキュリティで保護された（https）接続を介してアクセスできるツールのみを使用してください。デフォルトの証明書と秘密鍵はよく知られているため、可能であれば、iDRAC/iLOのSSL証明書を自分で生成したものに変更してください。

   リモートコンソールでは、完全に暗号化された物理ホストを実行して、物理的な侵害によるデータ損失のリスクを軽減することもできます。ただし、この場合、システムを再起動するたびにパスフレーズを変更する必要があります（これによってすべての攻撃が軽減されるわけではありませんが、時間はかかります）。

   知らない間に、または明示的に意図せずにシステムを再起動した場合は、システムが危険にさらされていると考え、この方法でシステムを復号化しないでください。 Silk Road 2.0は明らかにハードドライブの暗号化に失敗し、コピーのために法執行機関によってオフラインにされた2014年5月にサービスが停止したときにもサービスを移動できませんでした。

5. サービスを実行するホストの初期設定は、sshとhttpsを経由しますが、一部は（Tor出口ノードを介して）クリアネット上になければなりません。ただし、繰り返しますが、自宅や以前に訪れたことのある場所から行うことはできません。これまで見てきたように、単にVPNを使用するだけでは十分ではありません。これにより、そのようなプロバイダーが使用する可能性がある詐欺防止のために、実際にサービスにサインアップするときに問題が発生する可能性があります。ただし、これに対処する方法は、この回答の範囲外です。

6. いったんhaveTorを起動して実行したら、clearclearを介してサーバーまたは仮想マシンに接続することはありません。 sshを介して各ホストおよび各仮想マシンに接続する隠しサービスを構成し、常にそれらを使用します。複数のサーバーを実行している場合は、それらのサーバーがクリアネットを介して互いに通信することを許可しないでください。ユニークなTor隠しサービスを介してそれらに互いにアクセスしてもらいます。問題を解決するためにclearnet経由で接続する必要がある場合は、再びアクセスすることのない場所から接続してください。 clearnetを介して接続する必要があるほとんどすべての状況は、可能な妥協を示しています。放棄してサービスを移動することを検討してください。

7. 妥協が疑われていない場合でも、非表示のサービスは時々移動する必要があります。 2013年の論文では、 非表示のサービスを特定できる攻撃 がわずか数か月で約10,000ドルのクラウドコンピューティング料金で説明されており、これは一部の個人の予算でも十分です。前述のように、同様の攻撃が2014年の初めに行われ、2014年11月に数十の隠しサービスの侵害に関与した可能性があります。非表示のサービスを物理的に移動するのにどれくらいの頻度が最適かは未解決の問題です。それは数日から数週間のどこにでもあるかもしれません。現時点での私の推測では、スイートスポットは30日から60日の間になると思います。これは非常に不便な時間枠ですが、刑務所の独房よりはるかに不便ではありません。 Torネットワークが移動した隠しサービスの新しい場所を認識するまでに、 約1時間 かかることに注意してください。

結論

匿名性はhardです。テクノロジーだけでは、どんなに優れていても十分ではありません。明確な心と細部への注意深い注意、そしてテクノロジーだけでは対処できない弱点を緩和するための実際の行動が必要です。頻繁に言及されているように、攻撃者は、頼りにできるのはまったく運が悪い愚か者である可能性がありますが、台無しにされるのは1つの間違いだけです。

上記で示したガイドラインは、攻撃者があなたまたはあなたのサービスを見つけるのをより困難に、より多くの時間と費用をかけて、そして可能であればいつでもあなたまたはあなたのサービスが攻撃を受けている可能性があることを警告することを目的としています。

それらを「高度な持続的脅威」と呼ぶのは、その一部が持続的であるためです。米国の弁護士であるプリートバーララ氏がシルクロード2.0の襲撃を発表したとき、「疲れません」と語った。彼らはあきらめません、そしてあなたはあきらめてはいけません。

参考文献

• 私たち全員が監視されている間に秘密裏にチャットする エドワード・スノーデンと連絡を取ったジャーナリストの1人からのほとんどの良いアドバイス。私が本当に同意できない唯一の部分は、既存のオペレーティングシステムまたはスマートフォンを通信に使用する可能性です。すでに見てきたように、これは安全に行うことができず、WhonixやTailsなどのコンピュータを準備する必要があります。
• 匿名性に関する選択された論文 匿名性に関連する研究の広範なコレクション。その一部はここで紹介されています。これを通過して、匿名のままでいることの難しさを実感してください。