*Nettavisen* Nyheter.

Tor-nettverket

Les sikkerhetsekspertens egen artikkel.

Jeg er stipendiat ved Høgskolen i Gjøvik og arbeider med en doktorgrad innen sikkerhet i anonymiserende nettverk. For å forstå hva jeg mener med sikkerheten i anonymiserende nettverk, er det viktig å forstå hva slike nettverk gjør!

All din trafikk på nettet kan observeres av din Internett-leverandør og eventuelt andre. Når du f.eks. lager en blogg på nettet vil blogg-leverandøren din vite nøyaktig hvor du befinner deg, selv om du benytter kryptering for å overføre data til bloggen. Det vil si at ved å publisere informasjon på nettet vil du være avhengig av at firmaet, eller personen, du publiserer informasjonen hos, ikke gir fra seg disse loggene.

Dette var nettopp tilfellet i fjor da gigantselskapet Yahoo! ga etter for presset fra kinesiske myndigheter og oppga informasjon som gjorde at dissidenten Shi Tao kunne bli fengslet. Dette har de også gjort senere slik at flere kinesere er blitt fengslet på grunn av større bedrifters higen etter å komme inn på det kinesiske markedet. Andre bedrifter igjen, som f.eks. Google, godtar å filtrere ut resultater på bakgrunn av stikkord som de får av kinesiske myndigheter (og dette gjør de i flere land enn Kina!)

Men nå finnes det flere løsninger for å motvirke dette. Ved Naval Research Laboratory i Washington DC startet de for ti år siden utviklingen av et slikt nettverk som muliggjør anonym publisering av informasjon. Dette er nå et åpent prosjekt som holdes i live av en gruppe ildsjeler i flere land og er blitt et av de største og mest utbredte anonymiserende nettverkene. Dette såkalte Tor-nettverket har nå over 200' brukere og består for tiden av mer enn 700 maskiner over hele verden som blander trafikken på en slik måte at den er meget vanskelig å spore. Dette nettet kan en dissident dermed benytte til f.eks. å koble seg opp mot en blogg-tjeneste slik at ikke engang tjenesten vet hvor du befinner deg når du publiserer informasjon. Nettverket støtter også noe som kalles skjulte tjenester som vi si at en av disse over 200' brukerne kan publisere informasjon på sin egen maskin uten at noen andre maskiner på Internett, hverken i eller utenfor dette Tor-nettverket kan finne ut hvilken maskin denne informasjonen ligger på.

Det som er så interessant med dette nettverket er at man trenger trafikk fra alle parter for at anonymiteten skal være til stede. Dvs. at forsvaret kan ikke sette opp et slikt nett alene fordi alle da vil vite at trafikk som kommer ut av dette nettverket kommer kun fra forsvaret. De er nødt til å sende trafikk for andre sammen med egen slik at alle forespørsler gjennom nettet representerer en tilnærmet normal blanding av trafikk på Internett.

Det finnes mange tilfeller hvor slike nettverk er nødvendige:

¿ I Iran blir bloggere fengslet eller drevet ut av landet for å ha publisert sine politiske meninger på nettet, og en kanadisk blogger ble under sitt besøk til Iran arrestert, avhørt og tvunget til å skrive under på en unnskyldning for sine ytringer før han fikk lov til å forlate landet.

¿ Politiet er avhengige av anonyme tips. Dersom all kommunikasjon på Internett overvåkes til enhver tid vil det være umulig å være anonym, og disse tipsene vil rett og slett slutte å komme inn.

¿ Noen land har dårlig beskyttelse på arbeidsplassen, slik at det å søke etter informasjon f.eks. om sykdommer som diabetes eller AIDS kan være nok til å miste jobben.

Dessuten trenger alle bedrifter anonymitet – men bedrifter kaller det nettverkssikkerhet:

¿ Ønsker din bedrift at Google,Yahoo,etc. skal ha oversikt over alt hva de ansatte søker etter på nettet? Disse selskapene innhenter og lever av å (mis)bruke slik informasjon.

¿ Ønsker du at finn.no skal se/oppdage at en hel avdeling hos deg er ute og ser etter nye jobber?

¿ Ønsker du at noen skal finne ut at ditt firma søker aktivt i patentdatabaser, og kanskje mer sensitivt - hva slags patentinformasjon dere søker etter?

¿ Ønsker du at noen skal finne ut av hvilke leverandører din bedrift benytter seg av(og hvor ofte)?

¿ I USA har myndighetene krevd at det fra nå av skal være mulig for ansatte i firma å rapportere inn interne uregelmessigheter uten at det skal gå ut over ansettelsesforholdet. Dette må anonymiserende tjenester gjøre.

Myndighetene trenger også anonymitet – men de kaller det ikke-sporbarhet:

¿ Innhenting av åpen informasjon uten at bedriften blir varslet om at f.eks. skatteetaten eller politiet gjør undersøkelser.

¿ Dersom personer oppholder seg i utsatte områder i verden, ønsker du at den lokale Internett-leverandøren skal vite at han kontaktet en militær eller diplomatisk adresse i hjemlandet? Hva kan f.eks. prisen være for en liste av adresser i Bagdad som kommuniserer med CIA?

¿ Myndighetene ønsker også å publisere informasjon som kan motstå såkalte tjenestenektangrep, slik at informasjonen også er tilgjengelig selv om noen angriper nettverket of forsøker å forhindre informasjonen i å komme ut. F.eks. publisering av offentlig informasjon, innlevering av selvangivelse, m.m.

Noen mer morsomme historier har også kommet frem i den senere tid:

¿ En amerikansk bedrift testet Tor-nettverket og oppdaget at de fikk se andre netsider hos konkurenten. Dette viste seg å være konkurrentens virkelige sider ettersom han hadde i alle år hatt skreddersydde sider som kun ble vist til denne bedriften, mens alle andre fikk se de virkelige nettsidene.

¿ Under valget i 2004 stengte det republikanske partiet sine nettsider for oppslag fra utlandet. Alle som var i USA kunne se på sidene, men utenlandsk presse og interesserte fikk ikke lov til å hente ned informasjon. Ved å bruke Tor kunne personer i utlandet hente ut informasjonen, og personer i USA kunne få bekreftet det de ikke trodde kunne skje her ved å benytte maskiner i utlandet.

Kriminelle ønsker seg også anonymitet, men de har bedre systemer fra før. Er du villig til å bryte loven så kan du:

¿ stjele en mobiltelefon og kaste den etterpå

¿ leie maskiner på Internett, såkalte botnet og benytte disse til å oppnå anonymitet

¿ benytte åpne eller dårlig sikrede trådløse nettverk – og disse er det mange av!

Jeg er opptatt av å forbedre vanlige menneskers personvern og i tillegg gi bedrifter og myndigheter anonymitet og personvern når de har behov for det.

Jeg har som mål at Høgskolen i Gjøvik skal få et aktivt forskningsmiljø som holder på med dette. Dersom du eller din bedrift også har interesse av at denne forskningen kan fortsette i Norge, eller dere bare lurer på noe rundt dette, kan dere ta kontakt med meg. Jeg treffes lettest på epost: lasse[]hig.no

Noen interessante linker å følge opp dersom du ønsker mer informasjon:

¿ http://tor.eff.org/ - alt om Tor-nettverket med forklaringer på hvordan det virker

¿ http://www.hig.no/imt/ - besøk Høgskolen i Gjøvik sine sider om informatikkstudiet der

¿ http://www.onion-router.net/ - der hvor dagens mest utbredte teknologi startet

¿ http://freehaven.net/anonbib/ - et stor samling av vitenskaplige artikler som omhandler anonymitet

Nettavisen ønsker en åpen og levende debatt.

Her kan du enkelt bidra med din mening.

Annonsebilag