hautakangas

Tor - todellista pilvipalvelua Internetissä

  • Kuva on otettu Helsingin piraattiklubilla.
    Kuva on otettu Helsingin piraattiklubilla.
  • Tuleva Tor middlebox, ylläpitokaverini mielestä erityisesti kannettava tuoksuu mielenkiintoiselta.
    Tuleva Tor middlebox, ylläpitokaverini mielestä erityisesti kannettava tuoksuu mielenkiintoiselta.
  • Mitähän bittejä tässä liikkuu? Viruksia, huumekauppaa, valtiollista vakoilua? Ken tietää.
    Mitähän bittejä tässä liikkuu? Viruksia, huumekauppaa, valtiollista vakoilua? Ken tietää.

Tor on viime viikkoina ollut uutisissa useaan otteeseen, Hesaria ja Yleä myöten. Moni on varmaankin kokeillut Tor Browseria, ja käynyt katsomassa esimerkiksi verkon "pimeiden" kauppapaikkojen listauksia.

Itse olen ollut Torista marginaalisesti kiinnostunut jo muutaman vuoden ajan. Nyt kuitenkin kiinnostuin sen verran, että otin selvää, mitä kaikkea sillä voi tehdä. Ja voihan sillä; jos on yhtään Unix/Linux-ylläpitoon perehtynyt, niin kaikenlainen agenttihommien edistäminen onnistuu muutaman tunnin perehtymisellä.


Otsikosta

Nykyaikaiset "pilvipalvelut", sellaiset kuin Googlen, Applen tai Microsoftin tarjoamat, perustuvat käyttäjien datan omimiseen ja hallintaan yritysten toimesta. Näissä palveluissa et koskaan ole täysin anonyymi, eivätkä tietosi ole omassa hallinnassasi.

Tor sen sijaan on varsinainen pilvi; oikein käytettynä se häivyttää jälkesi hyvin pitkälti, olit sitten palveluiden käyttäjä tai niiden tarjoaja. Tiedon alkuperää tai sen vastaanottajaa on nykytekniikalla lähes mahdotonta todistaa.

Ja toisin kuin suuryritysten "pilvipalveluissa", Tor-palvelun tarjoaminen on aidosti hajautettua. Kukaan verkon solmuja ajava ei voi edes tietää, ainakaan samanaikaisesti, kenen liikennettä välittää, minne välittää, ja millaista liikennettä.

Esittelen tässä lyhyesti pari vaihtoehtoa Tor-verkon hyödyntämiseen, tai sen hyödyttämiseen.

Nimittäin mielestäni Toria kannattaa tukea, vaikka vain antamalla sille vähän kaistanleveyttä. Sananvapaus, lähdesuoja ja oikeus tietoon ovat sen laatuisia ihmisoikeuksia, että niitä kannattaa puolustaa puolustamasta päästyäänkin. Suomessa ja ulkomailla.

Kaikki kuvaamani toiminta on paitsi täysin laillista, myös Suomen teleliikennelain vahvasti suojaamaa.

Tämä ei tarkoita, ettetkö voisi joutua ongelmiin - viranomaiset kun eivät läheskään aina toimi näissä asioissa täyttä järkeä tai suhteellisuudentajua noudattaen.


1. Portti salaverkosta omille nurkille (exitnode)

Yksi hyvä ajatus, ehkä paras ja altruistisin kaikista, on tietenkin perustaa exitnode. Näitä ei ole koskaan liikaa, nimittäin koneita, jotka siltaavat Torin liikennettä ulos "pimeästä" verkosta tavalliseen Internetiin.

Ilman exitnodeja kuka tahansa Internetin käyttäjä ei voisi peittää identiteettiään Torin avulla. Ilman "vapaissa" länsimaissa ajettuja exitnodeja, esimerkiksi Kiinan tai Iranin toisinajattelijoiden olisi paljon vaikeampaa päästä käsiksi Facebookiin, Twitteriin tai muihin normaalien ihmisten palveluihin. Tai edes lähettää päättäjiään kritisoivaa sähköpostia ilman rangaistusta.

Monet kunnioitettavat korkeakoulut, kansalaisjärjestöt, yritykset ja yksilöt tarjoavat Tor-exittejä ympäri maailmaa; portteja vapaaseen Internetiin ihmisille, joilla vapaata Internetiä ei ole.

Exitin ajamisessa on kuitenkin aina omat riskinsä, jotka ovat pitkälti samat kuin jos tarjoaisi avointa langatonta verkkoa naapurustoon. Tarjoathan oman henkilökohtaisen Internet-liittymäsi tuntemattomien käyttöön.

Jos joku sitten käyttää liittymääsi vaikkapa piraattikopiointiin tai nettiuhkauksiin, ovellasi saattaa kohta olla poliisi tai postiluukussasi kiristyskirje.

Ja jos joku rikollinen yrittää levittää liittymäsi kautta roskapostia tai viruksia, Internet-palveluntarjoajasi saattaa piankin vain sulkea liittymän.

Sekä poliisi että palveluntarjoajat kyllä tietävät, mitä Tor-exitnode tarkoittaa. He todennäköisesti tietävät myös listauspalvelusta, josta voisivat koska tahansa tarkistaa onko tällainen käytössä jossain IP-osoitteessa.

Kaikesta huolimatta, Tor-exit on täysin laillinen verkkosovellus, jota on sallittua ajaa missä tahansa Internet-liittymässä Suomessa kuten muissakin länsimaissa. Se, tai sen kautta kulkeva liikenne, ei ole peruste minkäänlaisille rikosepäilyille tai syytteille, tai edes yhteyden irtisanomiselle.

Mutta jos turha vaiva tai nöyryytys ei huvita, voi hyödyllisiä palveluja tarjota muullakin tavoin.


Portti omilta nurkilta salaverkkoon (middlebox)

Mikäli et halua riskeerata turhaa poliisiratsiaa tai yhteydenkatkaisua, on parempi vaihtoehto ajaa omaa Tor-middleboxia. Voit jakaa verkkoa huoletta naapureillesikin, sillä heidän liikennettään ei tulla yhdistämään omaan IP-osoitteeseesi.

Tällaisia middleboxeja saa Internetistä jopa pienen Wifi-reitittimen kokoisina rakennussarjoina, mutta samanlaisen, tai paremmankin, voi tehdä satunnaisista nurkissa lojuvista osista.

Itse käytin naapurin entistä kannettavaa, jonka perään laitoin melko tehokkaan tukiaseman suoraan roskalavalta. Tukiasema tarjoilee ikkunan välistä avointa langatonta verkkoa, ja kannettava ohjaa sen liikenteen maailmalle Torin läpi. Linuxin palomuurisäännöt pitävät huolen, että kaikki liikenne ohjataan suoraan Torin läpi kauas pois Internetiin.

Tuo avoin verkko on vähän tavallista hitaampi käyttää, mutta toimii. Internetistä katsoen verkkoni asiakkaat näyttävät pomppivan kaupungista ja valtiosta toiseen, täysin satunnaisesti.

Satunnainen ohikulkija voi tietenkin kuunnella muita verkon asiakkaita täällä lähiympäristössä, avoimessa langattomassa verkossa kun ollaan - mutta eipä tämä ole ongelma VR:n tai HSL:nkään wifien käyttäjille. Tai sen puoleen kenellekään, joka käyttää naapurinsa verkkoa.

Pelkästään Torin kautta kulkeva liikenne ei tietenkään anonymisoi ketään. Jos vain kytket tavallisen tietokoneesi tai kännykkäsi Tor-verkkoon tällaisen langattoman läpi, ja jatkat käyttöä normaalisti, Facebook, Google, NSA ja muut nihkeät lafkat tietävät edelleen kuka olet. Vaikka näytätkin liikkuvan maasta toiseen jatkuvasti.

Todennäköisesti myös huomaavat, että hyppäsit Toriin, ja tietävät myös missä tämä suunnilleen tapahtui. :)

Mutta tällainenkin käyttö luo lisää Tor-liikennettä, joka auttaa piilottamaan mm. toisinajattelijoiden liikenteen entistä paremmin.

Lisähyötynä, kaikki tuon langattoman verkon käyttäjät pääsevät kätevästi myös Torin taakse piilotettuihin salapalveluihin, joutumatta itse asentamaan tai säätämään mitään.


Salapalvelu (hidden service)

Miltäpä tuntuisi tarjota Internet-palvelua, joka on äärimmäisen vaikea paikantaa ja lähes mahdotonta sensuroida?

Pitää ajossa palvelinta, jonka IP-osoitetta viranomaiset eivät saa selville yhdellä tai muutamallakaan puhelinsoitolla, vaan ainoastaan pitempiaikaisella verkkovalvonnalla ja kansainvälisellä yhteistyöllä?

Torin kanssa tämä on suunnilleen yhtä helppoa kuin tavallisenkin verkkopalvelun pystyttäminen omalle koneelle.

Juuri tällaisia salapalveluja viranomaiset sulkivat (jälleen) viime viikolla, kuukausia kestäneen solutusoperaationsa jälkeen. Asiahan on niin, että jos tehtailee törkeitä rikoksia tarpeeksi suurella volyymillä, niin kyllä poliisiltakin alkaa löytyä keinoja ja rahkeita.

Suurrikollisuus siis ei kannata. Mutta eikö olisi mukavaa pyörittää vaikka omaa hyvin piilotettua foorumia?

Tai ihan vain piruuttaan tarjota Tor-käyttäjille suora pääsy tavalliseen julkiseen verkkopalveluusi, kuten Facebook teki äskettäin?

Hiljattain suljetuille salapalveluille oli yhteistä lähinnä se, että ne olivat suosittuja, niissä tehtiin laittomuuksia (tai ne sijaitsivat samalla palvelimella laittomuuspalvelujen kanssa), ja niihin kulki paljon kansainvälistä liikennettä.

Verkkoja vakoilevat viranomaiset kyllä näkevät Tor-liikenteen, vaikka eivät pystyisikään sitä lukemaan, ja tämä tekee piilopalveluista haavoittuvampia kuin muista Tor-verkon solmuista.


Tor-välipalvelin (relay)

Välipalvelin on kaikista tylsin ja näkymättömin vaihtoehto, mutta yhtä hyödyllinen kuin aikaisemmatkin esimerkit.

Pääset mukaan Tor-verkkoon välittämään liikennettä ympäriinsä, olematta sen paremmin liikenteen alku- kuin loppupääkään. Voit jakaa kaistanleveyttäsi vain auttaaksesi muita pysymään anonyymeinä, ja samalla nopeutat "näkymättömän" verkon toimintaa kaikille.

NSA sun muut yksityisyyttäsi loukkaavat viranomaiset näkevät, että välität liikennettä. Mitään muuta ne eivät sitten näekään.


...

En julkaise liian tarkkoja ohjeita tässä, sillä ne vanhentuisivat joka tapauksessa jo muutamassa viikossa. Itse törmäsiin lukuisiin ohjeisiin, jotka eivät enää päteneet nykyisen Ubuntun tai ajankohtaisen Tor-version kanssa.

Yleisluontoisesti sanoisin, että älä käytä Linuxissa udhcpd:tä vaan isc-dhcpdtä.

Yleisluontoisesti myös sanoisin, että Torin kanssa Linux-kernelin ip_forwarding=0 - aina. Ei pidä edes äärimmäisissä virhetilanteissa tarjota väylää, jonka kautta middleboxin asiakkaiden CLOSE-paketit valuisivat julkiseen verkkoon.

Ja portin uudelleenohjauksesta voisin mainita jotain, mutta enpä taida. Jos et tiedä mitä se tarkoittaa, on parempi ettet uudelleenohjaa mitään portteja. :)

Edelleen yleisluontoisesti, suosittelen käyttämään näihin tarkoituksiin aivan erillisiä tietokoneita, joita et käytä mihinkään muuhun. Erityisesti, jos et tiedä mitä olet tekemässä. En minäkään aluksi tiennyt, mutta tekemällä oppii.


...

Tor-verkkoon osallistuvat laitteet ovat vähän muita suuremmassa vaarassa joutua viranomaisten, "valtiollisten toimijoiden" tai aivan lainsuojattomienkin konnien silmätikuiksi, ja siten murtoyritysten kohteiksi. Ohjelmistot kannattaa siis pitää ajan tasalla, turhia ohjelmistoja ei kannata ajaa, ja silleen.

Mutta jos sananvapaus kiinnostaa, ja jos yleensä tajuat jotain tietokoneen ylläpidosta ja TCP/IP:stä, suosittelen tutustumaan asiaan tarkemmin.

Sananvapauden puolustaminen ja verkon vapauden edistäminen tuntuu kuitenkin hyvältä.

Seuraavaksi aion tutustua sellaisiin vempeleisiin kuin Hyperboria ja I2P. Jälkimmäinen epäilyttää vakavasti, sillä se vaatii Javaa - mutta mitäpä ei ihminen olisi valmis kokeilemaan?

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (2 kommenttia)

Käyttäjän hautakangas kuva
Ville Hautakangas

Kehitin myös tällaisen hienon salapalvelun: http://fangaylongs67lin.onion/

Jouduin generoimaan muutaman kymmenentuhatta yksityistä avainta, ennen kuin löysin tuollaisen helposti luettavan osoitteen. Sitten valitsin siihen sopivan sisällön Internetin kuvahausta.

Käyttäjän SebastianMki kuva
Sebastian Mäki

Turhan yhteydenkatkaisun operaattorin toimesta liittymän kautta kulkevan liikenteen epäilyttävyyden takia voi välttää ilmoittamalla itse operaattorinsa abuse-tiimille pyörittävänsä TOR-exittiä ja ilmaisemalla, että ei toivo operaattorin suojelua haittaohjelmien varalta. Voisi jopa sanoa, että suhteet operaattoriini paranivat huomattavasti, kun olin yhteydessä abuse@sonera.fi osoitteen takana toimivan tiimin kanssa.

Helpottaa huomattavasti, kun ei tarvitse pinnistää kaikkea antropologian osaamistaan yrittäen kommunikoida Soneran puhelinpalvelun primitiivisten kädellisten kanssa vaan voi puhua nörttiä vertaiselleen.

Kirjoittajan suosituimmat Puheenvuoro-palvelussa

Mainos

Netin kootut tarjoukset ja alennukset