Hur säkert är Tor

Klart det går, sålänge det inte handlar om krypterad trafik så går det spåra

Det använder sig bara av en proxy, dock vet jag inte riktigt hur detta funkar med datalagringsdirektivet? (Om det är det du vill slippa)

Det beror på hur du använder det och vem som försöker spåra dig, det finns ingen av/på-switch för anonymitet.

Tor med den bundlade browsern ser till att din ISP inte kan se var du surfar och att ingen på vägen till servern kan se ditt riktiga ip, men det finns många andra sätt att spåra på.
Vanliga webbläsare och andra program du kan använda genom Tor kan tex läcka information som identifierar dig till servern eller ISPn, men framförallt läcker DU information om du inte ändrar dina internetvanor radikalt.

Som exempel kan nämnas Sabu, hackern bakom lulzsec som använde Tor för allt, men blev spårad av FBI för att han en enda gång hade använt ett av sina nicknames genom sin vanliga uppkoppling.

Om jag inte minns helt uppåt väggarna så satte man upp ett antal egna exit-noder, alltså en gateway från Tor-nätet till det vanliga internet. All okrypterad trafik som går via en sådan kan bli uppsnappad av den som driver den, deras ISP osv. Har de då använt sina vanliga namn, lösen eller addresser och dessutom anslutit okrypterat till slutdestinationen (mailservern) blir de lätta att identifiera även om deras ip inte syns, vilket bara ytterligare illustrerar varför användarna själva och deras lättja förblir en stor säkerhetsrisk, oavsett hur bra tekniken är.

All information om sådana risker och hur man bäst skyddar sig mot dem finns att läsa på Tor-projektets hemsida, men de flesta orkar inte.

TOR har sin nackdelar, och några av dem stösta nackdelarna stötte jag på när jag provade, vilket resulterade i att jag skrotade TOR från mina datorer helt och hållet.

Några av nackdelarna med TOR

• När man deltar, delar man ockå med sig av sin egen bandbredd till andra. Det är "priset" för den anonymitet man får, men vissa missbrukar detta.
  Det rekommenderas att var och en av användarna inte använder TOR för tyngre trafik, och absolut inte för torrents och annat som kräver mycket bandbredd. Tung trafik kan sätta andras anslutningar under en mycket stor påfrestning och även orsaka så att personen / noden ifråga slutar fungera. Ju fler som missbrukar detta, desto sämre fungerar TOR i helhet.
  Jag själv märkte av att min internet-anslutning stundvis proppades igen av tyngre trafik, och det resulterade i att hela min internet-anslutning var så gott som helt oanvändbar, trots att jag sitter på en 100 megabit fiberlina.

• Om någon i nätverket använder TOR för olaglig verksamhet, kommer dem noder som är inblandade att blandas in. Det kan till och med resultera i att personerna som sitter i änden av den "olagliga" verksamheten, ovetandes, blir märkta och övervakade. I värsta fall kan detta leda till att fel person sätts i straffsystemet för landet ifråga.
  Jag själv har inte råkat ut för detta, men jag har hört talas om fall där fel personer åkt dit för innehav av barnpornografi, på grund av TOR. Bevisen var det material som passerats personens IP-adress. Huruvida det har lösts sig eller inte vet jag dock inte.

• Låt inte din egna känsliga information passera TOR-nätverket. Det är en mycket stor risk, då vem som helst i tor-nätverket kan läsa av andras trafik, då ens egen trafik passerar andra främmande datorer. TOR bör endast användas för icke känslig och anonym information. Många misstar sig och tror att TOR skyddar deras information, när det i själva verker är fullständigt tvärtom.

Tycker valet står relativt klart om man ska välja mellan Tor och en vanlig VPN-tjänst faktiskt. Dock är ju Tor gratis.

Att vara en relay är valfritt och du kan själv sätta gränser för bandbredd. By default ansluter man till Tor endast som klient.
https://www.torproject.org/docs/tor-doc-relay.html.en

Det här borde bara vara aktuellt om man väljer att släppa ut Tor-trafik till internet genom att sätta upp en exit relay. Av skälen du anger är det inget man bör göra på sin hemuppkoppling.

Det är bara när du passerar en exit node ut till vanliga internet som din (okrypterade) trafik går att avläsa. Men ja, det är definitivt en risk man bör känna till och anpassa sitt användande efter.

Ja Tor är absolut inget man ersätter sin vanliga uppkoppling med, om man inte t ex bor i Thailand och tänkt kalla kungen för en padda, eller något annat lika fruktansvärt.

Hur är säkerheten med till exempel openVPN? Ser att det finns några rävar i tråden, slänger in en sidofråga

Exempel tjänst:

// openVPN SSL 2048 bit encryption @ 50kr i mån

https://www.anonine.com/sv

Om kryptering är aktiverad ja. Jag är inte så säker på att TOR har kryptering påslaget till 100%. Sedan kan vem som helst vara sista noden i kedjan. Så även om kryptering är aktiverad, så finns det fortfarande risker med att inte ens sista noderna i kedjan är säkrare än andra noder.

Jag sitter och tittar igenom TOR i skrivande stund. Måste säga att en hel del förbättringar har skett sedan jag tittate in i projektet.
Men forfarande är jag själv inget stort fan av TOR, av tidigare nämnda orsaker:
Trafik går igenom andra noder jag inte litar fullt på. I synnerhet dem så kallade exit-noderna. Vem och vad ansvarar för dessa? går dem att lita på?
Bandbredden man ger kan numera justeras. I alla fall bättre än förr. Men det finns forfarande dem som missbrukar TOR till bandbreddskrävande trafik.

Eftersom man inte helt kan lita på vem som får del av ens trafik, bör man fortfarande undvika TOR för känslig trafik, vilket i sig besegrar syftet lite grann.

Jag själv ser att det är bättre att man skyddar sin trafik mer direkt:
HTTPS istället för HTTP där det går. Alltfler sajter har HTTPS-alernativ "per default". Prova med att byta ut mot HTTPS i adressen. Det fungerar många gånger.
De flesta vanliga kommunkationsprotokollen idag stödjer full kryptyering i någon form, och dem få som inte gör det, tunnlar man genom SSH i den mån man kan.
Torrent kan kryptera hela kedjan, och går även att forcera till full kryptering.
FTP har sin motsvarighet: SFTP / TLS.
Dem vanligt förekommande Chat-protokollen stödjer kryptering idag, och dem få som inte gör det bör man undvika att använda för känslig kommunikation.

Jag själv ser ingen direkt anledning till att använda TOR som privatperson. Någon som vill upplysa mig om direkt användbara områden här, som privatperson?

EDIT: Dum fråga kanske. Låt mig svara på den själv:
Vad är det man vill skydda? Spårbarhet till ens egen IP-adress? eller innehållet i ens trafik?
TOR skyddar mot spårbarhet, men där fungerar vilken proxy-service som helst, och många proxy-tjänster erbjuds av företag som man kan lita mer på än vad man kan lita på TOR. TOR skall man snarare se som ett fritt alternativ till annars kostsamma proxy-tjänster.
TOR skyddar inte innehållet, och vissa noder har svagheter.

Är man ute efter att skydda själva trafiken istället, så bör man snarare titta på dem punkter jag listat ovan.
I slutändan så tror jag det inte spelar någon roll om ens IP-adress är spårbar, så länge man själv inte ger ut uppgifter till andra.
Exempel på sårbarhet orsakad av en själv: Man har registrerat ett konto på en populär sajt, som utgår med att dem publicerar IP-adresserna. Många sajter går ut med detta, och ni har säkert sett kontoprofiler där akuella IP-adresser visas publikt. Vem som helst kan läsa kontouppgifterna.
Har man då registrerat sitt konto under sitt riktiga namn, har man automatiskt gett ut namn och adress till sin egen IP-adress. Där är det kört, såvida man inte använt en proxy för ändamålet.

Kort och gott: Om man är spårbar, är det till hjälp för någon, om man krypterat sin trafik korrekt.
För vem har nytta av att veta att det sker krypterad kommunikation mellan ens IP-adress och Sajt X?

Även om det finns ett namn med till IP-adressen:
Kalle Anka från Ankeborg, har anslutit till Sajt X med IP-adressen x.x.x.x. Anslutningen är krypterad. Sajten är en Bank.
Sen då? Vad kan en eventuellt illasinnad kunna göra med den här informationen?

Jag själv tror att folk som vill skydda sin information, tittar på lite fel skydd ibland. Många gånger handlar det inte om spårbarhet, det handlar om åtkomst av själva trafiken.

Anonymitet är däremot bra om man vill utföra tveksamma handlingar som man inte vill skall komma tillbaka till en.

Syftet med Tor är inte att skydda trafiken utan att skydda det faktum att du är avsändaren. HTTPS är som sagt alldeles utmärkt för att skydda innehållet och bör alltid användas oavsett om man vill anonymisera sig eller inte.

Du kanske vill kunna berätta för någon att din statliga arbetsgivare via bulvanbolag hjälper diktaturer få igång egen robottillverkning, utan att behöva sluta som Carl-Fredrik Algernon eller Cats Falck. Sveriges historia på det området är inte finare än andra länders.

Jsg har faktiskt råkat ut för en liknande situation, där jag behövt kommunicera känslig information om illegal verksamhet till Polisen, anonymt.
Är man smart nog använder man inte sin egen dator eller ens egen Internet-linje till detta.
Självfallet nyttjar man ett IT-café, som tar kontant betalning för några minuters lånande av dator med internet, utan att man behöver uppge personliga uppgifter.
Jag själv utnyttjade Pressbyrån i T-Centralen till detta, som mot en slant får man låna en publik dator dem har i butiken.
Tjänsten Hide My Ass: http://www.hidemyass.com/ är ett bra tips.

Poängen är, om spårbarheten är så pass viktig att skydda, är helt andra metoder mycket bättre, såsom lån av anonym dator på obetydlig ort.
Varför litade jag inte på TOR i det här fallet?
Det handlade snarare om om jag kunde lita på min egen dator eller inte. Där spelar det ingen roll om jag använder proxy / TOR eller inte.
Epost-program kan stoppa in lite för mycket spårbar information i brevet man skapar, och tjänster man utnyttjar vet jag heller inte vad för egentlig policy dem kör med. Istället för att jag sitter ner och säkerställa huruvida spårbar information som min dator lämnar ifrån sig, utan min vetskap, så var det lättare att låna en dator som jag vet inte har någonting med mig att göra.

Jag säger inte att det är fel eller dåligt att nyttja proxys eller TOR. Jag vill bara upplysa om att det hjälper inte, om man inte säkerställt sin egen dator i första hand.
Jag försöker bara hitta ett bra användningsområde, där TOR kan användas tillförlitligt.
För i slutändan undrar jag om det är värt "allt besvär" met att sätta upp TOR, om man egentligen inte har något att skydda i första hand.
Dem få gånger det handlar om så pass extremt käsnlig information, tror jag de flesta håller med om att man inte bör använda sin egen dator eller internet-anslutning alls, oavsett hur "bra" skyddet man använder än är, då enkla misstag kan stjälpa skyddet totalt.

Fast att säga att Tor är säkert så länge inte någon sniffar trafiken är ju som att säga att man är helt anonym på Internet tills någon försöker ta reda på vem man är. Vad jag förstått krypteras inte trafiken med Tor, och det är väl där som säkerheten brister ifall man exempelvis sitter på ett IT-cafe. Någon kan fortfarande sniffa all trafik, och även trafik som du skickar vidare till någon annan nod.

Som någon sagt tidigare, Tor är bra för att surfa anonymt, men inte särskilt säkert, medan VPN kanske inte erbjuder riktigt lika mycket anonymitet (beroende på datalagringsdirektivet samt ISP:n) men bättre säkerhet.

Den boken är att rekomendera! Mycket intressanta historier om hur saker och ting kan gå till när man använder Tor...

Stämmer, det är bara den sista noden som kan skala av det sista lagret och få fram det ursprungliga paketet som gick in i din Tor-klient.
Det paketet kan i sig vara krypterat, så det enda slutnoden får veta är att det kom från noden innan den och ska vidare till www.server.nånting.