1 पॉइंट द्वारा GN⁺ 2024-09-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • लंबे समय पहले retire हो चुके ऐप Ricochet के पुराने संस्करण के 1 उपयोगकर्ता की law enforcement attack के जरिए anonymity हटाई गई, लेकिन Tor Project की जानकारी के दायरे में Tor Browser पर हमला होने या उसका दुरुपयोग होने के संकेत नहीं हैं
  • anonymity हटाने का तरीका guard discovery attack माना जा रहा है, और उस समय इस्तेमाल किए गए software में इसे रोकने के लिए Vanguards-lite या vanguards addon protection नहीं था
  • 10 अक्टूबर 2024 के update में DW की रिपोर्ट में बताए गए v3 Onion Services पर असर की पुष्टि नहीं की जा सकती, और यह संभावना बनी हुई है कि attack के समय Vanguard protection मौजूद नहीं था
  • यह घटना Onion Service के internal access से जुड़ा मामला है, इसलिए exit node वाली चर्चा से इसका सीधा संबंध कम है; और लंबे समय तक connection बनाए नहीं रखने वाले Tor Browser users ऐसे timing analysis के प्रति कम vulnerable होते हैं
  • users को software updated रखना और official channels की guidelines का पालन करना चाहिए; relay operators network की hardware, software और geographical diversity बढ़ाने में योगदान दे सकते हैं

Ricochet घटना और Tor Browser का दायरा

  • लंबे समय पहले retire हो चुकी application Ricochet के पुराने version का उपयोग कर रहे 1 Tor user की Onion Service के जरिए anonymity हटाए जाने की घटना investigative reporting का विषय बनी
  • Tor Project की पुष्टि के दायरे में Tor Browser पर हमला होने या उसका दुरुपयोग होने का कोई evidence नहीं है
  • Tor users Tor Browser से web को सुरक्षित और anonymous तरीके से access कर सकते हैं, और Tor network स्वस्थ स्थिति में है
  • जब दुनिया भर के users को internet browsing के दौरान privacy बचाने की जरूरत होती है, Tor अभी भी उपयुक्त solution है
  • users और relay operators को software versions हमेशा latest रखने चाहिए

अनुमानित attack method और missing protections

  • उपलब्ध सीमित जानकारी के आधार पर, Ricochet के पुराने version के 1 user की पूरी तरह anonymity guard discovery attack से हटाई गई लगती है
  • उस समय इस्तेमाल किए गए software में इस type के attack को रोकने के लिए protection features नहीं थे
    • Vanguards-lite नहीं था
    • vanguards addon नहीं था
  • maintain किया जा रहा fork Ricochet-Refresh जून 2022 में release हुए version 3.0.12 से यह protection feature शामिल करता है
  • Vanguards-lite Tor 0.4.7 में release हुआ था, और attacker द्वारा प्रेरित circuit creation और circuit-based covert channels को मिलाकर user के Guard के पास malicious middle relay की पहचान करने की संभावना घटाने के लिए बनाया गया feature है
  • Guard की पहचान हो जाने पर netflow connection timing का इस्तेमाल करके रुचि के user को ढूंढा जा सकता है
  • इस घटना में Onion Service descriptor से user के online/offline होने का समय पता चल सकता था, और खोजे गए Guard के users कम थे, इसलिए netflow attack तेजी से आगे बढ़ सकता था

10 अक्टूबर 2024 update

  • Deutsche Welle(DW) की report ने संकेत दिया कि v3 Onion Services attack से प्रभावित हुए, लेकिन Tor Project यह पुष्टि नहीं कर पाया कि प्रभावित service में Vanguard protection active था या नहीं
  • attack के समय को देखते हुए संभावना है कि उस service में Vanguard protection नहीं था
  • Vanguard protection न होने पर Onion Services तुलनात्मक रूप से आसान guard discovery attack के प्रति अधिक vulnerable थे, लेकिन exact method अभी भी unclear है
  • Tor Project investigation जारी रखेगा और additional information आने पर update करेगा

responsible disclosure और additional information request

  • Chaos Computer Club(CCC) घटना से जुड़े documents तक access पाकर journalist की assumptions का analysis और verification कर सका, लेकिन Tor Project को सिर्फ अस्पष्ट overview और broad-scope confirmation questions मिले
  • users के लिए potential risk मानते हुए Tor Project ने public response देने का विकल्प चुना
  • Tor Project का उद्देश्य source की identity नहीं, बल्कि anonymity हटाने वाले attack के evidence को समझकर सही response देना और public responsibility का assessment करना था
  • अगर उन्हीं documents तक access होता, तो Tor network की वास्तविक स्थिति और majority users पर impact को ज्यादा स्पष्ट रूप से report किया जा सकता था
  • फिलहाल facts की कमी के कारण Tor community, relay operators और users को official guidance या responsible disclosure देना मुश्किल है
  • जिन लोगों के पास relevant information है, वे security@torproject.org पर संपर्क कर सकते हैं
    • encrypted mail चाहिए तो keys.openpgp.org से OpenPGP public key मिल सकती है
    • Fingerprint: 835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41

exit node discussion और network status

  • Onion Services केवल Tor network के अंदर ही access किए जा सकते हैं, इसलिए इस घटना में exit node discussion relevant नहीं है
  • Tor Project की जानकारी के अनुसार attack 2019~2021 के बीच हुआ
  • exit nodes की संख्या पिछले 2 वर्षों में काफी बढ़ी है और अब 2,000 से अधिक है
  • किसी खास देश या operator के पास nodes concentrate होने की problem पर सवाल उठाया जा सकता है, लेकिन अब तक प्रकाशित articles में बताए गए attack से इसका संबंध बहुत कम है
  • attack Ricochet के पुराने version में हुआ, जिसमें Tor Project द्वारा बाद में जोड़े गए timing analysis mitigation features नहीं थे
  • latest Ricochet-Refresh में ये protection features शामिल हैं
  • लंबे समय तक connection बनाए नहीं रखने वाले Tor Browser users इस तरह के timing analysis के प्रति कम vulnerable होते हैं

relay management और network diversity

  • 2019~2021 के attacks के बाद Tor Network Health team ने हजारों bad relays को flag किया, और Directory Authorities ने उन्हें हटाने के लिए vote किया
  • हटाए जाने वालों में ऐसे relays शामिल थे जो किसी single operator से आए लगते थे या बड़े पैमाने पर network में enter करने की कोशिश कर रहे थे
  • Network Health team ने single operator या malicious actor द्वारा manage किए जाने के संदेह वाले large relay groups की पहचान करने और उन्हें network participation से रोकने की process implement की
  • Tor Project relay diversity को Tor community की urgent problem मानता है, और community तथा relay operators के साथ solutions पर चर्चा कर रहा है
  • पिछले 1 वर्ष में कई initiatives शुरू हुए
  • Tor bandwidth हाल के वर्षों में काफी बढ़ी है, और Tor network पहले से कहीं अधिक तेज स्थिति में है

users कैसे मदद कर सकते हैं

  • जो लोग सक्षम हैं, वे bandwidth और relays देकर Tor network की growth और diversification में योगदान कर सकते हैं
  • Tor network की hardware, software और geographical diversity सुनिश्चित करने से abuse और surveillance की संभावना काफी घटती है और guard attack को execute करना ज्यादा कठिन हो जाता है
  • network health बनाए रखने और users व relay operators को सुरक्षित रखने के लिए Tor software को latest state में रखना और Tor Project के official channels की guidelines follow करना जरूरी है
  • Tor उन कुछ alternatives में से एक है जो decentralized internet का vision और workable model देता है, जिससे large-scale internet user surveillance अव्यावहारिक बनती है
  • फिलहाल Tor उस internet ecosystem की सीमाओं के भीतर है, जिसका ownership और management मुख्य रूप से कुछ बड़ी कंपनियों के पास है

1 टिप्पणियां

 
GN⁺ 2024-09-19
Hacker News की रायें
  • अगर कोई व्यक्ति खुद 1000 Tor nodes चलाए और guard/exit nodes सहित सबकी logs रखे, तो क्या यह महीने में 5000 डॉलर से कम में भी संभव नहीं होगा?
    अगर आप किसी खास hidden service या सामान्य वेब URL पर जाने वाले लोगों को ढूंढना चाहते हैं, तो क्या कभी न कभी ऐसा मामला नहीं आएगा जहां circuit के तीनों nodes मेरे चलाए हुए हों? किसी खास व्यक्ति को निशाना बनाना मुश्किल होगा और समय लगेगा, लेकिन आखिरकार क्या मैं ऐसे लोगों को नहीं ढूंढ सकता जो सिर्फ मेरे control वाले Tor nodes से होकर गुजरते हैं—यही सवाल है

    • “महीने में 5000 डॉलर से कम” बहुत optimistic है; असल में कई साल तक कई nodes चलाने के अनुभव से लगता है कि single-digit multiple गुना ज्यादा मानकर चलना होगा
      5 डॉलर/month VPS में Tor node के monthly traffic को संभालने लायक bandwidth नहीं होती, और guard relay में promote होने के लिए करीब 2–3 महीने लगातार online रहकर traffic handle करना पड़ता है
      bandwidth quota में फिट होने के लिए limit लगाएं तो यह slow node के रूप में दिखता है और connections की संख्या घट जाती है; सिर्फ 1Mbps लगातार बनाए रखने पर भी Digital Ocean या Linode के low-cost plans की monthly transfer limit पार हो जाती है
      https://blog.torproject.org/lifecycle-of-a-new-relay/
    • यहां “कभी न कभी” असली मुद्दे को धुंधला कर देता है। मान लें कि बिना पकड़े Tor network में 1000 servers जोड़ भी दिए जाएं, तब भी मौजूदा network लगभग 8000 nodes का है
      simplification के लिए node types या geographic factors को अनदेखा करके सिर्फ यह देखें कि कोई random user मेरे तीन nodes चुने, तो probability 0.14% से कम है। अगर user अधिक सुरक्षा के लिए 4 nodes इस्तेमाल करे तो यह 0.015% तक गिर जाती है, और हर extra relay जोड़ने पर exponentially घटती है
      Tor nodes को malicious activity रोकने के लिए लगातार monitor और verify किया जाता है, इसलिए ऐसे attacks धीरे-धीरे और कठिन होते जाते हैं। NSA जैसे लगभग unlimited resources वाले organizations के लिए यह संभव हो सकता है, लेकिन किसी individual या सामान्य attacker के लिए यह लगभग असंभव के करीब है
      https://gitlab.torproject.org/tpo/network-health/team/-/wiki...
      Tor पुराना है, लेकिन ऐसी कोई sign नहीं दिखी कि इसकी core anonymity service टूट गई हो और arrests अचानक बढ़ गए हों; वास्तव में famous cases में ज्यादातर Tor users को इसलिए trace किया गया क्योंकि उन्होंने कहीं और गलतियां की थीं
    • default circuit 3 hops का होता है, इसलिए असल में entry node और exit node पर कब्जा कर लेना ही काफी है। क्योंकि आप अपने द्वारा handle किए जा रहे traffic के previous/next hop को जान सकते हैं
      अगर circuit हर 10 मिनट में बदलता है, तो लगता है कुछ ही दिनों में लगभग सभी users के traffic का कुछ हिस्सा de-anonymize किया जा सकता है
      थोड़ी technical capability और 5000 डॉलर खर्च करने की इच्छा रखने वाले adversary के सामने Tor को broken मानता हूं
      मुझे करीब 80% संदेह है कि Tor एक US-supported project है, जो anonymity की जरूरत वाले लोगों को एक service में इकट्ठा कर देता है और इसे सिर्फ उन governments की पहुंच में लाता है जो दुनिया भर के traffic का बड़ा हिस्सा देख सकती हैं
    • कल आया video इस issue से related है: https://www.youtube.com/watch?v=Gs0-8ZwZgwI
      कहा जा रहा है कि Germany में इसी तरीके से child sexual exploitation material site के operator को पकड़ा गया। कुछ specific nodes और उनके बीच आने-जाने वाली file sizes को observe करके forum administrator की पहचान की गई; किसी specific व्यक्ति को खोजने में डेढ़ साल लगा, लेकिन अंततः पकड़ लिया गया
      इस हिसाब से सामान्य users काफी सुरक्षित लगते हैं। क्योंकि लंबे समय तक specific target पर ध्यान लगाना पड़ता है। हालांकि पर्याप्त effort लगाया जाए तो Silk Road की तरह normal web पर गलती किए बिना भी पहचान संभव लगती है
      address पता चल जाए तो बस घर पर छापा मारकर computer के सामने पकड़ लेते हैं, और उसी पल सब खत्म
    • Tor को भी सभी security/privacy tools की तरह use case और threat model के हिसाब से देखना चाहिए
      investigation resources हमेशा सीमित होते हैं, और privacy systems de-anonymization की difficulty और cost बढ़ाकर काम करते हैं। उन्हें perfect होने की जरूरत नहीं; बस महंगा बनाना होता है
      अगर उद्देश्य किसी powerful व्यक्ति की जांच करना या information तक पहुंचने के लिए basic anonymity है, तो यहां बताए गए तरीकों से Tor तोड़ने के लिए expertise, funding और time लगाने की संभावना बहुत कम है
      दूसरी तरफ, अगर आप कई देशों में wanted international terrorist leader, बड़े criminal, या authoritarian state के top-priority enemy हैं, तो ऐसी capability रखने वाला पक्ष वास्तव में अंत तक जाएगा
  • context के तौर पर NDR की report यहां है: https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Inve...
    अतिरिक्त जानकारी यहां है: https://lists.torproject.org/pipermail/tor-relays/2024-Septe...
    NDR का दावा है कि यह “entry server” को identify कर सकने वाला timing attack है, लेकिन attack की nature के बारे में जानकारी बहुत कम है। वे यह भी दावा करते हैं कि इस method से पहले ही arrests हो चुके हैं

    • mitigation के तौर पर padded packets और rate limiting इस्तेमाल करने वाला VPN जोड़कर, हमेशा user-defined bitrate पर send/receive करवाया जा सकता है—ऐसा लगता है
      तरीका यह होगा कि real traffic को higher priority दी जाए, लेकिन traffic shaping ऐसी हो कि वह padding stream से आगे न निकले। शायद assumption यह हो कि किसी server पर सीधे Tor daemon चल रहा हो और VPN उसी node पर terminate हो
      tc sch_htb class shaping या sch_cake, iptables mangle rules से packets को tag करना, और /dev/urandom या किसी बड़ी random file को पढ़ने वाली दो bidirectional rsync streams लगातार चलाना—यह संभव लगता है
      उदाहरण के लिए port 873 पर native rsync को low-priority bulk traffic और port 3128 पर squid mitm ssl-bump proxy को high priority रखा जा सकता है
    • संबंधित child sexual exploitation site Boystown का Wikipedia article भी है
      https://en.wikipedia.org/wiki/Boystown_(website)
  • 2024 में इंटरनेट की अच्छी समझ रखने वाले यूज़र के लिए यह मानना सही है कि कुछ भी 100% “सुरक्षित” नहीं है। परफेक्ट security या परफेक्ट privacy जैसी कोई चीज़ नहीं होती
    लेकिन Tor जैसे tools इंटरनेट इस्तेमाल को ज़्यादा सुरक्षित बना सकते हैं। अगर सिर्फ़ इसलिए Tor इस्तेमाल नहीं करना चाहिए कि वह “सुरक्षित नहीं है/कभी सुरक्षित था ही नहीं”, तो निष्कर्ष यह होगा कि इंटरनेट ही इस्तेमाल नहीं करना चाहिए

    • पूरी तरह “सुरक्षित” होना संभव नहीं है, लेकिन Tor अब भी हमारे पास मौजूद tools में privacy protection के लिहाज़ से सबसे मज़बूत में से एक है
      जो लोग कई कारणों से Tor पर भरोसा नहीं करते और उसे बिल्कुल इस्तेमाल नहीं करना चाहते, वे Tor के करीब की सुरक्षा देने वाले वैकल्पिक tools या उपाय लगभग कभी नहीं बताते
    • सही। कल HN के cavities prevention वाले लेख में भी ऐसी ही झूठी logic आई थी। बहस कुछ ऐसी थी कि cavities के नए treatment में हुई प्रगति यह “गारंटी नहीं दे सकती” कि cavities हमेशा के लिए खत्म हो जाएँगी
      https://news.ycombinator.com/item?id=41573550
      मुझे लगता है कि मैं ऐसी logic के झाँसे में कभी नहीं आया, लेकिन मेरी भी दूसरी कमजोरियाँ ज़रूर होंगी। फिर भी, ऐसे समझदार लोगों को, जो साफ़ गलती पर नहीं फँसेंगे ऐसा लगता है, इस तरह की दलील से प्रभावित होते देखना खास तौर पर ध्यान खींचता है
    • काश 90s में encrypted email बनाने की कोशिश कर रहे लोगों ने यह बात समझी होती
    • साफ़ कर दूँ, Tor को ज़्यादा सुरक्षित तभी कहा जा सकता है जब वह honeytrap न हो। यूज़र के पास यह जानने का कोई तरीका नहीं है, और मुझे लगता है कि शक करने की पर्याप्त वजहें हैं
      Middle East में एक बहुत साफ़ उदाहरण मिला कि कोई state actor अप्रत्याशित तरीके से channel को target कर सकता है
    • यहाँ मुद्दा छूट रहा है। वह यूज़र वास्तव में पूरी तरह de-anonymize हो गया था, और यह blog post कहती है कि वे सफल रही techniques अब इस्तेमाल नहीं की जा सकतीं
      किसी खास defense layer पर सवाल उठाते हुए भी multi-layer defense strategy अपनाना पूरी तरह उचित है
  • darknet seller के नज़रिए से इस विषय को कवर करने वाली एक शानदार DefCon talk है। वाकई अच्छी है
    https://youtu.be/01oeaBb85Xc

    • talk अच्छी है, लेकिन irony यह है कि ?si= parameter tracking के लिए है, इसलिए उसे हटाना बेहतर है
  • याद है Adrian Crenshaw ने Def Con 22 में बताया था कि Tor इस्तेमाल करते हुए लोग कैसे पकड़े गए। तब भी उन्होंने कहा था कि ज़्यादातर मामलों में वजह Tor नहीं, बल्कि संबंधित व्यक्ति की operational security failure थी
    9~10 साल बाद अब यह जानकारी कितनी लागू होती है, यह जानने की जिज्ञासा है
    DEF CON 22 - Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught
    https://www.youtube.com/watch?v=eQ2OZKitRwc

  • ठीक से समझ नहीं आ रहा। CCC Tor Project maintainers के साथ जानकारी share क्यों नहीं कर रहा?

    • लगता है journalist को Tor से शिकायत है, और documents देखने वाले CCC members कानूनी या सामाजिक वजहों से आगे share नहीं कर पा रहे
    • जानकारी का source CCC नहीं, बल्कि पास वाले thread में linked NDR है। CCC ने सिर्फ़ NDR के ज़रिए documents देखे हैं
    • हो सकता है वे दिसंबर में CCC में public करने की सोच रहे हों
  • federal agencies अगर काफी ज़्यादा exit nodes चला रही हैं, तो Tor का इस्तेमाल सबसे अच्छे case में भी risky है। पता नहीं बाद में इसे रोकने वाला feature implement हुआ या नहीं, लेकिन अगर कोई illegal काम करना चाहता हो तो मैं Tor के पास भी नहीं जाऊँगा
    marketplace पर expose की गई personal information को service operator ठीक से protect करेगा, इस पर भी भरोसा करना पड़ता है—यह भी risk है। drug buyers को पकड़ने के लिए investigating agencies अपनी identity reveal करेंगी ऐसा नहीं लगता, लेकिन फिर भी उन पर भरोसा करना मूर्खता लगता है

    • “Western governments ज़्यादातर exit nodes चलाती हैं” यह बात सब “जानते” हैं, लेकिन इसका evidence बहुत कम है
      सभी relays की list design के हिसाब से public होती है, और relays के साथ contact information जुड़ी होती है। बड़े operators जाने-पहचाने individuals और organizations हैं, और वे contribute व interact भी करते हैं
      अगर सच में यह अलग करना मुश्किल है कि कौन से relays सरकार द्वारा नागरिकों के खिलाफ़ बुरे काम करने के लिए हैं, तो सवाल है कि ऐसा दावा किया ही क्यों जाता है
      observable malicious behavior करने वाले relays को network से लगातार हटाया जाता है। अगर वे सरकार हैं, तो इसका मतलब यह भी है कि Tor situation को काफी अच्छी तरह manage कर रहा है
      अगर investigating agencies correlation attacks कर रही हों, तो relay चलाने की ज़रूरत ही नहीं है। major relay hubs के पास IXP को tap करना या पहले से मौजूद taps से data लेना ज़्यादा शांत और व्यापक होगा
      लोगों को Tor से दूर करने पर, assumed attacker model के हिसाब से, de-anonymization उल्टा और आसान हो सकता है
    • सोच से ज़्यादा crime खुलेआम होता है। Instagram पर अपने drugs और cash bundles दिखाने वाली story डालने वाले लोग भी सच में होते हैं
      investigating agencies अक्सर सामने दिख रहे आसान crimes तक ठीक से handle नहीं करतीं, इसलिए Tor users पर prosecution की संभावना तब तक बहुत कम है जब तक मामला काफी बड़ा न हो जाए या सीमा पार करके ध्यान न खींच ले
    • blog post पढ़नी चाहिए। उसमें लिखा है कि “Onion Services सिर्फ़ Tor network के अंदर ही accessible हैं, इसलिए इस case में exit node discussion relevant नहीं है”
    • exit nodes को monitor करने से hidden service reveal नहीं होती
      ठीक कहें तो कभी reveal नहीं होती। क्योंकि exit node उस circuit में शामिल ही नहीं होता
    • अगर सिर्फ़ exit node चला रहे हों, तो फिर भी users को de-anonymize नहीं कर सकते, है न?
  • अगर काफी सारी government agencies Tor nodes चलाएँ, तो theoretically क्या वे मानवता के अधिकांश internet access को surveillance से protect नहीं कर सकतीं?
    यह internet technology की असली progress जैसा लगता है। एक देश अकेले करे तो वह सब कुछ control कर लेगा, लेकिन अगर सभी देश compete करें तो structure कुछ ऐसा होगा जिसमें सभी जीतेंगे
    हालांकि planetary scale पर Tor environmentally sustainable तरीके से scale हो पाएगा या नहीं, यह सोचने वाली बात है

    • ज़्यादातर governments surveillance से protected internet की तुलना में law enforcement obligations या surveillance की इच्छा को ज़्यादा महत्व देती हैं, इसलिए ऐसी दिशा की उम्मीद करना मुश्किल है
  • यह लेख भरोसा तुरंत पैदा करने वाले अंदाज़ में नहीं लिखा गया था
    फिर भी इसमें कुछ बातें भरोसा देती हैं। Tor को इस कमजोरी के वास्तविक रूप से exploit होने की बात सार्वजनिक होने से कई साल पहले ही proactive तरीके से update किया गया था, और Tor Project कई साल पुराने किसी खास Tor client के attack vector की जांच कर रहा था
    बस इतना कहना काफी होता कि “हमने उस vulnerability को 2022 में fix कर दिया था”, और पुराने software पर अलग से एक post निकाल दी होती

    • मुझे “भरोसा दिलाने वाली भाषा” से मनाने की जरूरत नहीं है। अगर उन्होंने सुझाव की तरह कड़ा दावा किया होता, तो मैं उल्टा और ज्यादा चिंतित होता
    • लेख को quote करें तो उसमें लिखा है, “जहां तक हमें पता है, हमले 2019~2021 में हुए”, और “यह protection feature retired Ricochet के maintenance fork Ricochet-Refresh में June 2022 में release हुए 3.0.12 से मौजूद है”
      यह सही है कि इसे कई साल पहले बदला गया था, लेकिन मेरे पढ़ने में यह सिर्फ पुराने software इस्तेमाल करने का मामला नहीं लगा
    • इस vulnerability को असंभव बनाकर “fix” नहीं किया गया, बल्कि आर्थिक प्रोत्साहन बदलकर mitigate किया गया है
      Mixminion या Katzenpost जैसे पूरी तरह अलग network design के बिना इसे बुनियादी तौर पर fix नहीं किया जा सकता। किसी ने I2P सुझाया था, लेकिन मूल रूप से वह Tor से बहुत अलग नहीं है। एक-तरफा tunnel इस्तेमाल करना मददगार हो सकता है
    • समस्या यह है कि details Tor Project के साथ share नहीं की गई थीं, इसलिए वे 100% भरोसे के साथ ऐसा नहीं कह सकते। क्यों share नहीं की गईं, मुझे नहीं पता
  • Tor के “वैध” उपयोगों को लेकर जिज्ञासा है। मैं पूरी तरह follow नहीं कर पाया, लेकिन मेरी समझ है कि इसे US Navy ने इसलिए design किया था ताकि दमनकारी शासन नागरिकों के web उपयोग को track न कर सकें
    Russian नागरिक BBC site तक पहुंच सकें, इसकी इच्छा रखने के अलावा हमें Tor क्यों चाहिए, यह मैं सच में समझना चाहता हूं। हालांकि मैं ऐसा जवाब नहीं सुनना चाहता कि मेरी सरकार जल्द ही बड़े पैमाने पर उत्पीड़न करने वाली है, इसलिए मुझे तैयारी करनी चाहिए

    • यह उसी वजह जैसा है कि इस site पर adult content, दुकानें, bank या personal-info access कुछ भी नहीं है, फिर भी यह SSL इस्तेमाल करती है
      जब सब कुछ SSL से protected होता है, तो यह समझाने की जरूरत नहीं रहती कि कोई खास चीज ही SSL से protected क्यों है। Tor usage पर भी वही वजह लागू हो सकती है
    • सोचिए, अगर सड़क पर कोई अनजान व्यक्ति आपके पास आकर कहे कि कल रात आप जो wiki document पढ़ रहे थे वह अच्छा था, तो कैसा लगेगा
      हर कोई “privacy by default” चाहता है, लेकिन लोग इस तरह की कल्पना को वास्तविकता से ठीक से जोड़ नहीं पाते। असल दुनिया में भी निगरानी होती है, बस कोई सीधे आकर आपसे बात नहीं करता
    • मैं Facebook और Reddit जैसे social media को onion services के जरिए देखता हूं। वजह यह थी कि IP correlation, tracking pixels और embedded “like” buttons के जरिए मेरी सामान्य browsing activity track की गई लगने वाली ads देखकर मैं तंग आ गया था
      इसलिए अब मैंने सामान्य Facebook/Reddit traffic को पूरी तरह block कर दिया है। यह तरीका मुझे anonymous नहीं बनाता। कम से कम Facebook पर तो मैं अपने account से logged in हूं। लेकिन यह Meta द्वारा मेरे बारे में बनाए जाने वाले profile को Facebook पर सीधे observe की गई चीजों और data brokers से खरीदी गई चीजों के union तक सीमित कर देता है
      ऐसा करने के बाद Facebook ads की relevance बहुत कम हो गई, और लगता है कि यह काम कर रहा है। कुछ बार ads अचानक फिर relevant हो गए, और वह information leak का signal है। आमतौर पर ऐसा लगता है कि credit card payment history Meta ने मेरे bank या store merchant से लेकर मेरी identity से जोड़ दी
      VPN भी theoretically यही फायदा दे सकता है, लेकिन व्यवहार में Facebook VPN इस्तेमाल करने पर account को temporarily lock करने की प्रवृत्ति रखता है और Reddit VPN traffic को पूरी तरह block करता है। इसलिए मैं sites द्वारा सीधे चलाए गए onion services इस्तेमाल करता हूं, और इनके malicious traffic माने जाने की संभावना भी कम होती है
      अगर आप ये platform इस्तेमाल करते हैं, तो Tor Browser में onion site को bookmark करके कुछ समय तक default interface के रूप में इस्तेमाल करके देखें। अगर यह बहुत असुविधाजनक न लगे, तो network पर site के non-onion version को block कर दें
      https://old.reddittorjg6rue252oqsxryoxengawnmo46qy4kyii5wtqn...
      https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg...
      अभी जो links मैंने दिए हैं उन पर भरोसा नहीं करना चाहिए। हो सकता है मैंने fake links डाले हों। बेहतर है कि आप इन्हें https://github.com/alecmuffett/real-world-onion-sites से मिलाकर verify करें, जो normal domain names के तहत onion site ownership के proof तक ले जाता है
    • Tor पर निर्भर रहकर privacy और anonymity बचाने वाले लोगों की anonymous user stories इकट्ठी की गई हैं
      https://community.torproject.org/outreach/stories/
    • यह लगभग उसी सवाल जैसा लगता है कि privacy और private communication के पक्ष में वैध तर्क हैं या नहीं
      कई popular messengers में end-to-end encryption अब एक normal mainstream feature के रूप में स्वीकार हो चुका है, लेकिन वही सोच web browsing पर लागू करें तो अब भी उसे fringe माना जाता है। यह फर्क arbitrary और cultural लगता है
      हालांकि यह user experience की समस्या भी हो सकती है। WhatsApp इस्तेमाल करना सुखद है, लेकिन Tor से सामान्य internet इस्तेमाल करने की कोशिश करें तो अनुभव बहुत खराब है। मुख्य रूप से इसलिए कि Cloudflare या तो पूरी तरह block कर देता है या captcha hell में भेज देता है