क्या टो सच में बेनामी और सुरक्षित है?
कुछ लोगों का मानना है कि टोर पूरी तरह से गुमनाम, निजी और सुरक्षित तरीका है जिससे कोई भी बिना इंटरनेट का उपयोग कर आपके ब्राउज़िंग की निगरानी कर सकता है और उसे वापस आपको ट्रेस कर सकता है - लेकिन क्या ऐसा है? यह इतना आसान नहीं है.
टो सही गुमनामी और गोपनीयता समाधान नहीं है। इसकी कई महत्वपूर्ण सीमाएँ और जोखिम हैं, जिनके बारे में आपको पता होना चाहिए कि आप इसका उपयोग करने जा रहे हैं.
एक्ज़िट नोड्स सूँघा जा सकता है
टॉर अपनी गुमनामी कैसे प्रदान करता है, इस बारे में हमारी चर्चा पढ़ें कि टोर अधिक विस्तृत रूप में कैसे काम करता है। सारांश में, जब आप Tor का उपयोग करते हैं, तो आपका इंटरनेट ट्रैफ़िक Tor के नेटवर्क से रूट किया जाता है और Tor नेटवर्क से बाहर निकलने से पहले कई बेतरतीब ढंग से चयनित रिले के माध्यम से जाता है। Tor को इस तरह से डिज़ाइन किया गया है कि यह जानना असंभव है कि कौन सा कंप्यूटर वास्तव में ट्रैफ़िक का अनुरोध करता है। हो सकता है कि आपके कंप्यूटर ने कनेक्शन की शुरुआत की हो या यह सिर्फ एक रिले के रूप में काम कर रहा हो, जो उस ट्रैफ़िक को दूसरे टो नोड में एन्क्रिप्ट कर रहा हो.
हालाँकि, अधिकांश टॉर ट्रैफ़िक को अंततः टॉर नेटवर्क से ही निकलना चाहिए। उदाहरण के लिए, मान लें कि आप Google को Tor के माध्यम से कनेक्ट कर रहे हैं - आपका ट्रैफ़िक कई Tor रिले से होकर गुजरा है, लेकिन इसे अंततः Tor नेटवर्क से निकलकर Google के सर्वर से कनेक्ट होना चाहिए। अंतिम टो नोड, जहां आपका ट्रैफ़िक टोर नेटवर्क को छोड़ देता है और खुले इंटरनेट में प्रवेश करता है, निगरानी की जा सकती है। यह नोड जहाँ ट्रैफ़िक से बाहर निकलने वाला नेटवर्क "एक्ज़िट नोड" या "एग्ज़िट रिले" के रूप में जाना जाता है।
नीचे दिए गए आरेख में, लाल तीर, बाहर निकलने वाले नोड और "बॉब," इंटरनेट पर एक कंप्यूटर के बीच अनएन्क्रिप्टेड ट्रैफ़िक का प्रतिनिधित्व करता है.
यदि आप एक एन्क्रिप्टेड (HTTPS) वेबसाइट जैसे कि आपका जीमेल अकाउंट एक्सेस कर रहे हैं, तो यह ठीक है - हालांकि एग्जिट नोड देख सकते हैं कि आप जीमेल से जुड़ रहे हैं। यदि आप एक अनएन्क्रिप्टेड वेबसाइट का उपयोग कर रहे हैं, तो बाहर निकलने का नोड संभावित रूप से आपकी इंटरनेट गतिविधि पर नज़र रख सकता है, आपके द्वारा देखे जाने वाले वेब पृष्ठों, आपके द्वारा किए गए खोजों और आपके द्वारा भेजे गए संदेशों पर नज़र रखता है.
एक्ज़िट नोड्स को चलाने के लिए लोगों को सहमति देनी चाहिए, क्योंकि एग्ज़िट नोड्स चलने से उन्हें केवल एक रिले नोड चलाने से अधिक कानूनी जोखिम होता है। यह संभावना है कि सरकारें कुछ निकास नोड्स चलाती हैं और उन ट्रैफ़िक पर नज़र रखती हैं जो उन्हें छोड़ देते हैं, वे अपराधियों की जांच करना सीखते हैं या दमनकारी देशों में, राजनीतिक कार्यकर्ताओं को दंडित करते हैं.
यह सिर्फ एक सैद्धांतिक जोखिम नहीं है। 2007 में, एक सुरक्षा शोधकर्ता ने टॉर एक्ज़िट नोड चलाकर सौ ईमेल खातों के लिए पासवर्ड और ईमेल संदेशों को इंटरसेप्ट किया। प्रश्न में उपयोगकर्ताओं ने अपने ईमेल सिस्टम पर एन्क्रिप्शन का उपयोग नहीं करने की गलती की, यह विश्वास करते हुए कि टॉर किसी तरह अपने आंतरिक एन्क्रिप्शन के साथ उनकी रक्षा करेगा। लेकिन यह नहीं है कि टो कैसे काम करता है.
पाठ: Tor का उपयोग करते समय, संवेदनशील कुछ भी एन्क्रिप्टेड (HTTPS) वेबसाइटों का उपयोग करना सुनिश्चित करें। ध्यान रखें कि आपके ट्रैफ़िक पर नज़र रखी जा सकती है - न केवल सरकारों द्वारा, बल्कि निजी डेटा की तलाश में दुर्भावनापूर्ण लोगों द्वारा.
जावास्क्रिप्ट, प्लग-इन और अन्य एप्लिकेशन आपके आईपी को लीक कर सकते हैं
Tor ब्राउज़र बंडल, जिसे हमने तब कवर किया था जब हमने समझाया था कि Tor का उपयोग कैसे किया जाता है, सुरक्षित सेटिंग्स के साथ प्री-कन्फिगर हो जाता है। जावास्क्रिप्ट अक्षम है, प्लग-इन नहीं चल सकता है, और यदि आप किसी फ़ाइल को डाउनलोड करने और किसी अन्य एप्लिकेशन पर खोलने का प्रयास करते हैं, तो ब्राउज़र आपको चेतावनी देगा।.
जावास्क्रिप्ट सामान्य रूप से सुरक्षा जोखिम नहीं है, लेकिन यदि आप अपने आईपी को छिपाने की कोशिश कर रहे हैं, तो आप जावास्क्रिप्ट का उपयोग नहीं करना चाहते हैं। आपके ब्राउज़र का जावास्क्रिप्ट इंजन, एडोब-फ्लैश की तरह प्लग-इन, और एडोब रीडर या यहां तक कि एक वीडियो प्लेयर जैसे बाहरी एप्लिकेशन, आपके वास्तविक आईपी पते को संभावित रूप से "लीक" कर सकते हैं जो इसे हासिल करने की कोशिश करता है।.
Tor ब्राउज़र बंडल इन सभी समस्याओं को अपनी डिफ़ॉल्ट सेटिंग्स से बचाता है, लेकिन आप संभवतः इन सुरक्षा को अक्षम कर सकते हैं और Tor ब्राउज़र में जावास्क्रिप्ट या प्लग-इन का उपयोग कर सकते हैं। यदि आप गुमनामी के बारे में गंभीर हैं, तो ऐसा न करें - और यदि आप गुमनामी के बारे में गंभीर नहीं हैं, तो आपको पहले में Tor का उपयोग नहीं करना चाहिए.
यह सिर्फ एक सैद्धांतिक जोखिम नहीं है। 2011 में, शोधकर्ताओं के एक समूह ने 10,000 लोगों के आईपी पते का अधिग्रहण किया जो टोर के माध्यम से बिटटोरेंट ग्राहकों का उपयोग कर रहे थे। कई अन्य प्रकार के अनुप्रयोगों की तरह, बिटटोरेंट ग्राहक असुरक्षित हैं और आपके वास्तविक आईपी पते को उजागर करने में सक्षम हैं.
पाठ: टॉर ब्राउजर की सिक्योर सेटिंग्स को जगह में छोड़ दें। किसी अन्य ब्राउज़र के साथ Tor का उपयोग करने का प्रयास न करें - Tor ब्राउज़र बंडल के साथ छड़ी करें, जिसे आदर्श सेटिंग्स के साथ पूर्वनिर्मित किया गया है। आपको टोर नेटवर्क के साथ अन्य एप्लिकेशन का उपयोग नहीं करना चाहिए.
जोखिम से बाहर निकलने के लिए एक नोड नोड चला जाता है
यदि आप ऑनलाइन गुमनामी में एक बड़े विश्वासी हैं, तो आपको टो रिले चलाकर अपने बैंडविड्थ को दान करने के लिए प्रेरित किया जा सकता है। यह एक कानूनी समस्या नहीं होनी चाहिए - एक टो रिले बस टो नेटवर्क के अंदर आगे और पीछे एन्क्रिप्टेड ट्रैफ़िक पास करता है। टो स्वयंसेवकों द्वारा चलाए जा रहे रिले के माध्यम से गुमनामी को प्राप्त करता है.
हालांकि, एक्ज़िट रिले को चलाने से पहले आपको दो बार सोचना चाहिए, जो कि एक ऐसी जगह है, जहाँ पर टोर ट्रैफिक गुमनाम नेटवर्क से निकलकर ओपन इंटरनेट से जुड़ता है। यदि अपराधी अवैध चीजों के लिए टोर का उपयोग करते हैं और ट्रैफ़िक आपके निकास रिले से बाहर निकलता है, तो ट्रैफ़िक आपके आईपी पते पर पहुंच जाएगा और आपको अपने दरवाज़े पर एक दस्तक मिल सकती है और आपके कंप्यूटर उपकरण जब्त हो सकते हैं। ऑस्ट्रिया के एक व्यक्ति पर टॉर एग्जिट नोड चलाने के लिए चाइल्ड पोर्नोग्राफी बांटने का आरोप लगाया गया। टॉर एग्जिट नोड को चलाने से अन्य लोगों को खराब चीजें करने की अनुमति मिलती है, जो आपके पास वापस आ सकते हैं, जैसे कि एक खुले वाई-फाई नेटवर्क का संचालन - लेकिन यह वास्तव में परेशानी में पड़ने के लिए बहुत अधिक, बहुत अधिक है। परिणाम एक आपराधिक दंड नहीं हो सकता है। यूएसए में कॉपीराइट अलर्ट सिस्टम के तहत कॉपीराइट सामग्री या कार्रवाई को डाउनलोड करने के लिए आपको सिर्फ एक मुकदमे का सामना करना पड़ सकता है.
टो एग्जिट नोड्स को चलाने से जुड़े जोखिम वास्तव में पहले बिंदु पर वापस आ जाते हैं। क्योंकि टोर एग्जिट नोड को चलाना इतना जोखिम भरा है, जो कम ही लोग करते हैं। सरकारें बाहर निकलने के नोड्स के साथ भाग सकती हैं, हालांकि - और इसकी संभावना कई है.
पाठ: कभी भी टोर एक्जिट नोड को गंभीरता से न चलाएं.
यदि आप वास्तव में चाहते हैं तो टोर प्रोजेक्ट में एक निकास नोड चलाने के लिए सिफारिशें हैं। उनकी सिफारिशों में एक वाणिज्यिक सुविधा में समर्पित आईपी पते पर एक निकास नोड चलाना और एक टोर-फ्रेंडली आईएसपी का उपयोग करना शामिल है। घर पर यह कोशिश मत करो! (ज्यादातर लोगों को काम पर भी यह कोशिश नहीं करनी चाहिए।)
टो एक जादू समाधान नहीं है जो आपको गुमनामी प्रदान करता है। यह एक नेटवर्क के माध्यम से चालाकी से एन्क्रिप्टेड ट्रैफ़िक पास करके गुमनामी को प्राप्त करता है, लेकिन उस ट्रैफ़िक को कहीं न कहीं उभरना पड़ता है - जो टॉर के उपयोगकर्ताओं और निकास नोड ऑपरेटरों दोनों के लिए एक समस्या है। इसके अलावा, हमारे कंप्यूटरों पर चलने वाले सॉफ़्टवेयर को हमारे आईपी पते को छिपाने के लिए डिज़ाइन नहीं किया गया था, जिसके परिणामस्वरूप टोर ब्राउज़र में सादे HTML पृष्ठ देखने से परे कुछ भी करने पर जोखिम होता है।.
छवि क्रेडिट: फ़्लिकर पर माइकल व्हिटनी, फ़्लिकर पर एंडी रॉबर्ट्स, द टॉर प्रोजेक्ट, इंक.