網絡監察成為現時香港的熱話,很多不法份子會在一些著名的伺服器上殖入一些監察程式,分析用戶從哪裡來、有甚麼活動等等,有些所謂上巿公司的收購消息就是從這得來,這些重要的私隱是重要的商業秘密。另外記者們可能依靠很多針(線人)報料,為保障線人安全他們會設下很多防對手網絡審查的工作,今次我們 unwire 就會把行內記者防追蹤的入門技跟各位讀者分享。
The Tor Project 是一個專門用作匿名上網的計劃,最初由美軍研究實驗室研發,後來成為電子前哨基金會的項目。Tor 已經運營了十個年頭,途中不斷改良及進化。Tor 的原理簡單來說,就是連接時隨機經過很多名為 Tor Node 或者 Relay 的節點,它們都會將資料加密,而且時而斷開,時而隨機尋找新節點,從而令到監控、追蹤變得非常困難。
Tor 的用途有很多,對一般用戶來說,可以確保瀏覽不被監控,對象用戶多半是用來作商業活動、前線記者的資料搜集、媒體採訪及某些國家的軍事活動等都有機會用到。不過有正面亦有反面,Tor 也會被用作不法用途,它是進入 Deep Web 的途徑之一,詳情就不多講了。
以往要使用 Tor 都需要進行繁複的安裝及設定,不過近年 Tor Project 已推出了一個以 Firefox 為基礎的瀏覽器 Tor Browser Bundle,安裝及設定比以往簡化了很多,連一般用戶也可很簡單就連接及使用到 Tor 網絡。
下載地址:https://www.torproject.org/projects/torbrowser.html.en
Tor Browser 也跟著 Firefox 瀏覽器不斷升級,現時版本已是建基於 Firefox 31,而且安裝後幾乎不需再作設定,一般用戶都可簡單使用到。
▲安裝 Tor Browser 時會彈出選項,一般用戶選擇上面的 Connect 便會自動進行設定,之後可立即使用。
▲成功連接 Tor Network 會在首頁上顯示,洋蔥也會是綠色。此時的網上瀏覽及發佈已經會受到 Tor 保護了。
▲按「Test Tor Network Settings」可再進行檢查,在這裡按「Atlas」可查看 Relay 節點的狀況,包括現時被認作的 IP 地址、所在地等。
▲在 Tor Broswer 的左上角有 Forbid Script 的設定及 Tor Browser 的設定按鈕。有需要時可點後者的 New Identity,即時切換 Tor 連接的接點,像變成另一個身份,並會立即關掉所有分頁。
▲必需要注意在 Tor Browser 內的連接已不會被認定為在本地,所以各種服務如 Google 的預設頁會變成不同語言。
▲在 Tor Browser 內如使用 Google 會要求你輸入認證碼,因為它會辨認到你在使用不一般的網絡。有需要可轉用如 DuckDuckGo 的搜尋引擎。
https://duckduckgo.com/
▲另外打開右上角選單亦可看到 HTTPS Everywhere 的插件。可點「SSL Observatory Preferences」。
▲在入面打開 Use the Observatory,可加強 HTTPS 的安全認證,以及當連接一些不安全的網站時可得到警告。
– 避免登入服務
使用 Tor 時應避免登入如 Facebook、Google 等個人服務。因為出入口節點太多,有機會被誤判可疑連接而被封鎖帳號。
– 不要進行 BT/P2P
很多 Tor Relay 都是由網絡義工搭成,進行 BT/P2P 會嚴重影響整個 Tor 網絡的流暢度。而且在 Tor Browser 下連接速度本身已經不快。
– 不要打開 Doc/PDF 文件
使用 Tor Browser 打開文件的話會發出警告,因為文件內有機會含有連出去網絡的內容,這些內嵌連結 Tor 保護不到。
– 不要安裝任何插件
Tor Browser 預設不讓用戶安裝 Firefox 插件,用戶也不應強行安裝,因為有機會經由插件而洩漏用戶的 IP。
雖然 Tor 可讓你上網更加安心,不過它不是 100% 安全。第一是在電腦連接 Tor Network 之間,以及在 Tor 出口節點連接至目標服務之間,仍有被截聽的風險 (這時你應該被針對成為攻擊目標了)。第二就是在 Tor 內做出表露身份的行徑,例如在含有個人資料的 Facebook 上發文、或者使用以 ISP 電郵作登記的帳號發文。那樣不需監察連線,已經可以追蹤到你了,真的是「IP 都唔使 Check」。
另外,其實 Android 手機也有名為 Orbot 的 App 可在手機連接 Tor Network,有需要再與大家介紹。
https://play.google.com/store/apps/details?id=org.torproject.android
