Johdanto

Esseeni aiheena on esitellä yksityisyyden suojaamiseen käytettyä Tor-ohjelmistotyökalu, syventyä sen käyttämiin tietoteknisiin sovelluksiin, kuten sipulireititykseen, ja pohtia Tor-ohjelman tietoturvallisia aspekteja. Tietoturvallisuutta en tarkastele kapeakatseisesti ainoastaan ohjelman käyttäjien näkökulmasta. Täydellisen anonymiteetin saavuttamiseen liittyy erilaisia motiiveja, joista osa voi olla puhtaasti rikollisia. Rikollisuutta helpottava tekninen työkalu voidaan sanoa olevan suoraan verrannollinen lisääntyviin uhkiin globaalilla tietoturvarintamalla.

Tor eli the onion router

Tor on BSD-lisenssiin perustuva projekti, joka on erikoistunut tietoliikenteen salaamiseen ja internet-anonymiteetin parantamiseen. Ohjelma perustuu open source koodiin ja se on voittanut vapaan ohjelmiston palkinnon tietoliikenteen yksityisyyden ja anonymiteetin edistäjänä. Projektilla riittää rahoittajia ympäri maailmaa ja se on jatkuvan kehityksen alla.

Tor julkaistiin 20. syyskuuta 2002 ja C-ohjelmointikielellä. Projekti aloitettiin Roger Dingledine ja Nick Mathewsonin toimesta alun perin jenkkien US Navy Seal armeijan militaristiseen käyttöön, mutta se julkaistiin myöhemmin julkiseen käyttöön ja ensimmäinen stabiili versio julkaistiin 2004 USENIX tietotekniikkayhdistyksen tapahtumassa. [1]

Sipulireititys eli onion routing

Tor toimii onion routing eli sipulireititystekniikalla. Sipulireitityksellä tarkoitetaan tiedon siirtämistä lähettäjältä vastaanottajalle satunnaisesti valittujen Tor-reitittimien kautta. Reitittimien välinen liikenne salataan kerrosmaisesti, tästä analogia sipuleihin. Näin tieto enkryptataan monen kerroksen sisälle ja ulkopuolisen henkilön on lähes mahdotonta jäljittää tietovirran alkuperää. Tor-reitittiminä toimivat vapaaehtoiset palvelimet ympäri maailmaa ja niiden lukumäärä on kasvussa.

Sipulireitityksen ideana on ehkäistä traffic analysis eli tietoliikenteen seuranta ja piilottaa viestisi header-ominaisuudet. Vaikka viestin sisältö olisi salattu, käyttäjästä voi paljastua arkaluonteista tietoa esimerkiksi maantieteellisen sijainnin perusteella.

Piilopalvelut eli hidden services

Tor on mahdollistanut piilopalveluiden synnyn. Piilopalveluilla tarkoitetaan mm. WWW-sivuja ja IRC-palvelimia, joiden tietoliikenne salataan Tor-tekniikan avulla. Piilopalvelun tunnistaa .onion pseudoverkkotunnuksestaan ja niitä voi etsiä netistä löydettävien piilopalveluhakukoneiden avulla, esimerkkinä ahmia.fi.

Hidden service protocol toiminta on monimutkainen, joten esittelen sen yksinkertaistettuna.

Piilopalveluiden on mainostettava palveluaan Tor-verkossa, ennen kuin käyttäjät voivat yhdistää siiheen. Piilopalvelu valitsee satunnaisesti ”introduction point” -servereitä ja muodostaa niiden välille yhteyksiä. Sen jälkeen se ilmoittaa olemassaolon Tor-tietokannalle, josta kiinnostuneet käyttäjät voivat sen löytää. Kiinnostunut käyttäjä pyytää palvelusta lisäinformaatiota ja muodostaa yhteyden satunnaiseen ”rendezvous point” eli tapaamispaikkaan. Nyt käyttäjä lähettää enkryptatun viestin, jonka headeriin on kirjattu tapaamispaikan osoite ja lähettää kyselyn piilopalvelusta ”introduction point” –servereille. Päätteet lähettävät myös toisilleen ”one-time-secret” evästeen. Lopuksi piilopalvelu yhdistää käyttäjään tapaamispaikan kautta ja loppukäyttö on normaalia Tor-tekniikkaa.

Torin vaikutus yhteiskunnallisiin asioihin ja tietoturvallisuuteen

Tor-tekniikka on ensisijaisesti tarkoitettu käyttäjän yksityisyyden parantamiseen. Tekniikka mahdollistaa mielipiteiden vapaan ilmaisemisen menettämättä anonymiteettiaan verkossa.

Venäläissyntyinen tietoturvallisuuden ammattilainen Dmitri Vitaliev sanoikin kerran, että Tor on tärkeä työkalu demokratian puolesta taistelemiseen [2]. Ilman Toria iranilainen journalisti ei voisi ilmaista vapaita valtionvastaisia mielipiteitään joutumatta vankilaan.

Tekniikan toiminnalliset piirteet luonnollisesti houkuttelevat ihmisiä käyttämään sitä rikolliseen toimintaan. Rikollinen toiminta voi olla hyvinkin laajaa, joka reflektoituu yhteiskuntamme peruskäyttäjien tietoturvallisuuteen. Seuraavaksi muutama esimerkki Torin negatiivista käyttökohteista:

· Roskapostitus

· Haktivismi ja nettihyökkäyksien koordinoiminen sekä haitallisten työkalujen levittäminen

· Laittomien mielenosoituksien järjestäminen

· Laittoman materiaalin levittäminen, kuten lapsiporno

· Vandalismi

Puhumme yleensä kolmesta tietoturvallisuuden ulottuvuuksista: eheydestä, luottamuksellisuudesta ja saatavuudesta. Tor edistää näitä kaikkia ja parantaa käyttäjän yksityisyyttä verkostossa. On kuitenkin muistettava, että rikollisjärjestöjen tietoturvallisuus paranee, joka vaikuttaa tietohyökkäysten lisääntymiseen, IT-organisaatioiden markkinoiden heilahduksiin ja näin maailman talouteen ja lopulta yleiseen tietoturvallisuuteen.

Päätelmät / yhteenveto

Tor mahdollistaa yksityisyydensuojan ja paremman tietoturvallisuuden peruskäyttäjälle edistämällä sen kolmea ulottuvuutta eli eheyttä, saatavuutta ja luottamuksellisuutta. Käyttäjän on kuitenkin osattava asettaa asiakasohjelmansa asetukset kuntoon, jotta tekniikkaa voitaisiin hyödyntää. Tor-verkostossa nähdään lisäksi olevan vielä paljon puutteellisia ominaisuuksia ja haavoittuvuuksia, joita pyritään tutkimaan ja sen avulla eliminoimaan.

Tor-tekniikkaa käytetään väärin ja rikollisjärjestöjen parempi operointikyky Tor-tekniikan avulla reflektoituu suoraan globaalilla skaalalla yleiseen tietoturvallisuuteen hyvin negatiivisena. Haasteena on kohdistaa resursseja haitallisten piilopalveluiden sulkemiseen ja ehkäisemään rikollisen toiminnan laajenemista. Tämä on mahdollista, sillä huonosti konfiguroitu Tor-liikenne pystytään jäljittämään haavoittuvuuksien kautta.

Lähteet

  • [1] Torproject.org [http://www.torproject.org/]
  • [2] Smh.com [http://www.smh.com.au/news/security/the-hack-of-the-year/2007/11/12/1194766589522.html]

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Kehitteillä
Tyyppi Ydin
Luokitus Uhkat
Mitä Yksityisyys
Miltä Useita
Missä Useita
Kuka Titu-ammattilainen
Milloin Muu
Miksi Muu
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 07 Dec 2011 - 23:02:24 - PetteriNyrhila?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback