Anonimato: Tor

Renato R. M. Oliveira
Faculdade de Computao Universidade Federal do Par Belm, Brasil renato.oliveira@icen.ufpa.br
Resumo Muitos dos usurios que navegam na Internet e buscam o anonimato utilizam para tal o Tor, que uma ferramenta criada com o intuito de deixar annimo quem a usa. Neste artigo explicaremos do que o Tor se trata, assim como o seu funcionamento, levando em considerao os tipos de servios disponibilizados. Para alm disso, mostraremos que apesar de alegar o fornecimento de anonimato, o Tor no imune a determinados ataques, e que h falhas que ainda precisam ser resolvidas. Palavras-chave: Tor; anonimato; ataques; segurana.

Rodrigo Folha
Centro de Informtica Universidade Federal de Pernambuco Recife, Brasil rbf2@cin.ufpe.br

II.

POR QU USAR TOR?

Quem usa Tor est protegido contra a anlise de trfego que pode ser feita a uma determinada rede. Sendo assim, ningum ser capaz de determinar quem voc ou de onde voc est acessando a rede, seu perfil nunca pode ser traado, visto que no haver como recolher dados da rede que sejam associadas ao seu uso. A anlise de trfego pode ser feita levando em considerao os cabealhos dos pacotes IPs enviados e recebidos na rede por um host especfico. Nos cabealhos encontram-se informaes sobre quem enviou determinado pacote, para quem destinado, tamanho, tipo do pacote (flag), dentre outras caractersticas. Para tal, basta apenas situar-se entre a origem e o destino da informao, e capturar tais pacotes. Ou at mesmo situar-se em diversos pontos da rede, e atravs de ferramentas estatsticas, descobrir padres nos pacotes, e assim, inferir determinadas informaes [1]. Tanto a anlise simples do trfego de um determinado host, quanto a mais sofisticada pode ser evitada com a distribuio das transaes feitas por tal host por vrias rotas na rede, desse modo fica complicado descobrir de onde determinado pacote veio, ou para onde ser direcionado. Tambm possvel ocultar a localizao de hosts que abrigam websites ou servidores. Dessa forma, ao usar Rendevouz Points, ou traduzindo, Pontos de Encontro, usurios Tor conseguem acessar esses servios escondidos sem saber a identidade uns dos outros, utilizando os protocolos desses servios ocultos [1]. todo esse atrativo de realmente se tornar annimo na internet que atrai a ateno de vrios usurios, e que faz o Tor ser to popular e receber tambm apoio para a continuidade dos servios. Para entender melhor, na prxima sesso explicaremos como se torna possvel ser realmente annimo ao usar o Tor.

I.

INTRODUO

Tor (The Onion Routing) foi inicialmente desenvolvido como Projeto Onion Routing do Laboratrio de Pesquisa da Marinha dos Estados Unidos para reforar a proteo das comunicaes governamentais, mas rapidamente espalhou-se para atender aos diversos tipos de utilizadores que navegam na internet [1]. Tor pode ser visto como uma rede de tneis criados sobre a internet pblica onde, atravs destes tneis, informao possa ser passada sem que haja o comprometimento da sua privacidade e que permita a criao de ferramentas com caractersticas prprias que possam tambm manter a anonimato [1]. A utilizao do Tor pode ir desde o impedimento do rastreamento no acesso a determinados sites ou ao acesso a determinados sites proibidos por uma rede local, at a criao e publicao de sites sem ter que revelar a real localizao do servidor onde o site est hospedado, e o acesso annimo a sites e fruns e outras coisas onde se procura o anonimato. Quanto maior o nmero de usurios do Tor, maior ser a proteo do anonimato. At mesmo organizaes que se sentem ameaadas por estarem sendo acessadas anonimamente, utilizam de tais recursos para no deixar seus rastros pela Internet [1]. Na seo 2 falaremos sobre os motivos que levam os usurios da internet a usarem o Tor. Na seo 3 falaremos sobre o seu funcionamento e de como ocorre o fornecimento de servios de forma annima. Em seguida, na seo 4 mostraremos como ocorre a implementao de alguns protocolos, como HTTP, FTP, Torrent, dentro da rede Tor. Na seo 5 mostraremos alguns testes realizados no Tor. Em seguida, na seo 6, falaremos sobre os ataques aos quais o Tor est sujeito, e se tais ataques so efetivos e pem em risco o anonimato to buscado pelos usurios. Por fim, na seo 7 mostramos nossa concluso sobre o trabalho realizado.

III.

MODO FUNCIONAL DAS REDES TOR

O TOR uma rede de baixo atraso sobreposta camada de rede, que permite que os usurios executem aplicaes interativas como navegar na rede, trocar mensagens instantneas ou compartilhar arquivos. O anonimato obtido na camada de transporte no depende das aplicaes, desde que elas funcionem sobre TCP, tratando os dados dessas aplicaes

ainda desempacotados e empacotando-os diretamente com TCP modificado para TOR, evitando, assim, ineficincias atreladas ao tunelamento de pacotes TCP sobre TCP [2]. A rede composta por um conjunto de ns, chamados Onion Router (OR). Cada OR roda um simples processo sem qualquer privilgio no modo usurio. As conexes entre os ns OR so codificadas usando conexes TLS, RFC 2246. Alm disso, cada usurio executa um software local, o Onion Proxy (OP), que gerencia as conexes das aplicaes do usurio, que usam estritamente TCP, busca diretrios e estabelece o circuito virtual atravs da rede, posteriormente distribuindo os dados sobre o TCP atravs dos circuitos. Os OR encaminham os pacotes entre si, at atingir um n de sada do circuito Tor, sendo, o ltimo, responsvel pela transmisso dos dados para a rede externa ao circuito Tor e pelo recebimento da resposta no sentido contrrio [2]. A. Chaves Criptogrficas Cada OR mantm um par de chaves, a chave de identificao que possui longa durao e a chave de curta durao, conhecida como chave onion. A chave de identificao usada para assinar diretrios, certificados TLS e a descrio do OR (caractersticas como endereo, largura de banda, poltica de sada). A chave de curta durao usada para decifrar pedidos dos usurios que desejam estabelecer um circuito ou negociar chaves efmeras. O TLS estabelece chaves de ligao de curta durao que devem ser trocadas periodicamente, para limitar os danos que podem ser causados pelas suas descobertas; essas chaves servem para manter seguro o canal entre os ns, sejam eles OR's ou OP's, impedindo que intermedirios alterem os dados ou passem-se por um n [2]. B. Unidades Bsicas da Estrutura Tor Os dados so transferidos pela rede Tor atravs de estruturas chamadas clulas, que so a unidade bsica de comunicao dos circuitos Tor, com tamanho fixo de 512 bytes, destinados carga e ao cabealho. Os atributos do cabealho so o identificador do circuito (circID) que indica a qual circuito a clula est atrelada e um comando para descrever o que deve ser feito com a carga das clulas. Atravs do atributo de comando h uma distino entre os tipos de clulas, podendo ser classificadas como clula de controle, que so interpretadas pelos ns que aa recebem, ou clula de retransmisso, que indica que a clula carrega dados fim a fim. Na figura abaixo mostramos como as clulas esto divididas [2].

Padding (manuteno de um circuito); Create (configurar um novo circuito); Created (sinal de resposta ao create); Destroy (descartar um circuito).

J as clulas de retransmisso possuem mais campos antes da carga, que so: identificador do fluxo (streamID), pois vrios fluxos podem ser multiplexadas atravs do mesmo circuito; um verificador de integridade (checksum) fim a fim; o tamanho da carga contida na clula e um comando. Os comandos das clulas de retransmisso so: Relay data (despacha os dados atravs do fluxo); Relay begin (inicia um novo fluxo); Relay teardown (finaliza um fluxo); Relay connected (sinal de resposta para a criao de um novo fluxo); Relay extend (aumenta o circuito inserindo mais um n); Relay extended (sinal de resposta ao relay extend); Relay truncate (destruir parte do circuito); Relay truncated (sinal de resposta ao relay truncate); Relay sendme (usada no controle de congesto); Relay drop (usado para testar a largura de banda nos circuitos). O mesmo circuito pode multiplexar vrios fluxos TCP. A construo dos circuitos feita em segundo plano, sempre havendo alguns circuitos disponveis para o OP, assim o usurio no nota quando h falhas no estabelecimento de um circuito ou um fechamento abrupto ocasionado pela sada de um n intermedirio. Os circuitos so criados antecipadamente, e so constantemente renovados, destruindo os antigos que no possuem nenhum fluxo ativo. Quanto mais ns usarem o Tor para trafegar no anonimato, maior a garantia de anonimato os usurios tero. Se a cada N usurios, C forem mal intencionados, a chance desses ns ocuparem o primeiro n do circuito e o n de sada de . A razo tende a 1 quando vrios circuitos so elaborados, o que facilitaria a obteno de alguns fluxos de dados. Ns de guarda podem ser usados para evitar alguns desses ataques de anlise. Se usarmos ns que so confiadamente seguros, reduzimos as chances de uma escolha errada para , obtendo uma probabilidade de escolha[6]. como possibilidade de boa

Figura 1. Formato das clulas de controle e de retransmisso. Os comandos das clulas de controle podem ser:

C. Circuitos Um circuito construdo gradualmente pelo OP, n por n, negociando uma chave simtrica com cada OR. Suponhamos que Alice, considerada um OP, queira iniciar um novo circuito. Envia, ento, uma clula de controle create para o primeiro n do caminho escolhido, o Bob, sendo-lhe atribudo um circID no utilizado. O contedo da clula, preenchido com a primeira metade do protocolo Diffie-Hellman(gx1) e cifrado

com a chave onion de Bob. Uma clula created enviada para Alice como resposta, contendo (gy1) juntamente com a hash da chave que foi negociada K1 = gx1y1 que origina um par de chaves simtricas sendo uma chave responsvel por cada direo, estabelecendo assim uma conexo entre Alice e Bob. Uma clula extend pode ser usada por Alice para acrescentar mais um n ao circuito. Alice envia uma clula extend para o Bob, com o endereo do n seguinte e com o gx2 cifrado com a chave onion do terceiro n. Ento, o Bob envia para um terceiro n, uma clula create com a chave gx2 para o estabelecimento do novo n na rede. O terceiro n responde com uma clula created para Bob enviando-lhe (gy2) e o hash da chave K2 = gx2y2. O Bob a partir da clula recebida cria uma clula extended e envia para a Alice, finalizando com sucesso a expanso do circuito. Se forem necessrias novas extenses, o protocolo semelhante. Esse processo garante uma autenticidade unilateral, onde Alice conhece o OR, mas o OR no conhece Alice nem tem como identific-la, j que no h o uso de chave pblica da Alice. Alm disso, apenas o OR fica sabendo da chave simtrica (Diffie-Hellman), j que ela foi cifrada com a sua chave pblica, garantindo que a chave secreta e nica j que o OR tambm contribuiu para a chave. D. Comunicao com a rede externa Quando o circuito construdo ele fica a disposio do OP para iniciar um novo fluxo de dados que seja compatvel com suas polticas de sada. Assim que um OR recebe uma clula de transmisso, ele procura o circuito afiliado e a chave de sesso estabelecida para essa clula e decodifica o cabealho e a carga da clula com esta chave que decodifica apenas a parte que lhe cabe, j que as codificaes so sobrepostas. Para fechar o circuito completamente ou apenas uma parte, so usados as clulas destroy ou truncate. Sempre que uma aplicao da Alice desejar iniciar uma conexo TCP at um determinado endereo e porta, o OP, atravs de SOCKS, usa o circuito para criar um novo fluxo atravs da clula relay begin, usando um streamID aleatrio, obtendo em caso de sucesso uma clula relay connected. O OP informa a aplicao que conseguiu estabelecer uma conexo, e a comunicao passa a ser feita diretamente entre a aplicao e o OP; os dados da aplicao, ento, so enviados atravs da clula relay data.

Figura 2. Estabelecimento de um circuito e de fluxo de dados. Os ns de sada podem definir a escrita em disco e a sua poltica de sada, para restringir o uso do seu n e evitar que aplicaes indesejveis sejam usadas a partir de si. Servidores DNS, entretanto, podem acabar revelando a localizao do Alice, caso sejam acessados para fazer a resoluo de nomes antes de passar pelo circuito Tor. Para fechar o fluxo de dados Tor usado um protocolo de duas vias normalmente, e um protocolo de uma nica via no caso de erro, semelhante ao TCP. E. Controle de fluxo Antecipando-se a possveis mal usos e inconvenientes, o projeto Tor aproveitou-se de algumas funcionalidades do TCP, evitando que usurios mal intencionados inundassem a rede de pacotes com a implementao de protocolos no nvel do circuito e do fluxo de dados. A nvel de circuito, para controlar a largura de banda usada, cada OR mantm duas janelas que so responsveis por contar a quantidade de clulas que foram empacotadas (processadas) e para contar a quantidade de clulas enviadas. Quando uma centena de clulas so recebidas por um OR, este envia uma clula relay sendme com streamID zero at o OP. Quando um OR recebe um clula relay sendme com streamID zero, ela incrementa sua janela de clulas empacotadas por 100 valores. Se sua janela de clulas empacotadas atingir o zero, o OR para de ler as conexes TCP de todos os fluxos desse circuito e no envia mais nenhuma clula de dados at receber um comando de relay sendme. O controle de congesto no nvel de fluxo similar ao controle de congesto a nvel de circuito, clulas relay sendme so usadas para controlar os fluxos fim a fim nos circuitos. Cada fluxo inicia com a janela de pacotes com 500 clulas e vai incrementando 50 valores a cada clula relay sendme recebida. Uma checagem sempre realizada quando os dados so postos no fluxo TCP, e uma clula relay sendme s enviada ao n anterior quando o nmero de bytes pendentes menor que um limiar. F. Verificao de Integridade No projeto anterior ao Tor, o fluxo de dados que o OP enviava no era checada antes de chegar ao destino final, assim qualquer n intermedirio poderia alterar o contedo dos dados enviados maliciosamente mesmo sem conseguir

decifr-lo. No Tor, a verificao executada nas arestas, pontos finais da redes Tor, garantindo assim que o contedo mantm-se original. Quando o OP negocia uma chave com um n, um resumo SHA-1 criado a partir dela em ambos os ns. Os gastos computacionais quando comparados ao AES so mnimos, sendo impossvel qualquer n interno alterar o contedo do pacote. G. Pontos de Encontro (Rendezvous Points) e servios escondidos ou ocultos Pontos de Encontro (PE) so locais onde podem ser oferecidos os chamados Servios Escondidos, como por exemplo, um servidor ser o hospedeiro de um site sem precisar revelar seu endereo IP. Isso faz com que possveis atacantes no possam utilizar o ataque de DoS (Denial of Service), exatamente por no saberem o endereo IP do tal servidor, sendo forados assim a atacar toda a Rede Tor. A implantao dos Servidores Ocultos tem como objetivo tornar possvel: o controle de acesso, para que tais servidores consigam filtrar as mensagens que recebam, e assim, evitem ser sobrecarregados com mensagens de possveis atacantes; a robustez, para que tais servidores sejam capazes de manter sua identidade pseudnima e alm disso no fiquem restritos a um nico OR, mas sim, capazes de migrar seus servios para outros OR, quando necessrio; a resistncia manchas, ou seja, no permitir que um atacante diga que est funcionando como um Servidor Oculto e envie essa informao a um Ponto de Encontro que eventualmente iria distribuir essa informao e outros usurios acreditariam que este PE criou tal Servio Oculto; a transparncia de aplicao, pois apesar de ser necessrio rodar softwares especiais para acessar os Servidores Ocultos, necessrio que esses softwares no sejam alterados, apesar de isso no ser pedido [2]. Para entender o processo de como um servio oculto criado, suponhamos que Bob queira oferecer um servio qualquer na rede Tor. Gera ento um par de chaves de longo prazo para identificar seu servio e anuncia seu servio a alguns pontos de contato, assinando os anncios com sua chave pblica. Bob ento, cria um circuito para cada um dos pontos de contato que escolheu e diz a eles para esperarem por solicitaes. Alice fica sabendo dos servios disponibilizados por Bob e quer acess-lo anonimamente. Para isso, retira do sistema de procura de servios (lookup service), que um diretrio onde todos os servidores provedores de algum servio esto listados, as informaes referentes ao Bob. Em seguida, Alice escolhe um Ponto de Encontro PE para poder se conectar ao servio do Bob, e cria um circuito para este PE, criando um cookie de encontro aleatrio, para que o circuito reconhea Bob. Alice, ento, envia um fluxo cifrado com a chave pblica de Bob para um dos pontos de contato dele dizendo que ela deseja o contatar, informando seu PE, o cookie de encontro e o incio do Protocolo Diffie-Hellman, ou seja, a negociao da chave. O ponto de encontro, por sua vez, envia essa mensagem para Bob, que caso queira se conectar com Alice, apenas cria um circuito para o PE de Alice e envia o cookie de encontro, a segunda parte da negociao de chaves e um hash da chave de sesso que agora compartilham. O PE conecta o circuito que possui com Alice ao circuito que possui com Bob, sem ao menos saber de que se trata de Alice e Bob, ou do contedo dos dados que passam por ele. Alice envia ento um relay begin ao

longo do circuito, que chega ao Onion Proxy de Bob e conecta ao servidor web de Bob. Dessa forma um fluxo annimo foi estabelecido e Alice e Bob podem se comunicar normalmente [2].

Figura 3. Processo de criao de um servidor oculto atravs de um Ponto de Encontro.

IV.

IMPLEMENTAO DE PROTOCOLOS NO TOR

Independentemente do protocolo, todos os pacotes na rede Tor so tratados pela mesma maneira nos ns internos, recebendo um tratamento diferenciado no n de sada. O n da sada recebe o dado da mesma maneira que foi produzido pela aplicao para, ento, envia-los para o mundo exterior usando o protocolo original, seja ele SSH, Telnet, HTTP, SSL ou outro.

aceitamos todos os tipos de aplicaes como websites, mensageiros instantneos e e-mails. O resultado, como esperado, a captura do pacote que levava a senha e o nome de usurio do nosso cliente, conforme a figura 4. Apesar de parecer um procedimento ingnuo um pesquisador teve sua casa invadida e foi interrogado pois conseguiu obter o nome a senha de milhares de contas de emails de companhias, embaixadas e ONGs, mostrando que as pessoas no usam o Tor corretamente[5].

Figura 4. Ilustrao que demonstra a encriptao em camadas dos dados no Tor. No artigo [4], houve um experimento para medir a quantidade de dados produzidos por aplicaes, os resultados obtidos foram colocados na tabela 1.

Figura 5. Pacote que levava a senha e o usurio capturado no n de sada. No nosso segundo experimento, atravs de um cliente, definimos os ns de entrada e de sada do circuito. Assim, foi possvel observar os pacotes na extremidades da rede e, eventualmente, informaes adicionais poderiam ser extradas sobre o cliente que usa esse circuito, mesmo sem conhece-lo. Outra possvel manipulao o n de sada retornar pacotes falsos para rede Tor ou modificar os pacotes, por isso importantssimo saber utilizar bem a ferramenta. VI.
ATAQUES AO TOR

Tabela 1. Porcentagem dos dados e conexes que circulam no Tor. A resposta recebida sem nenhuma proteo extra em relao ao protocolo usado pela aplicao, assim a resposta pode ser capturada pelo n de sada. Por isso sugere-se que no se use aplicaes que necessitem de autenticao, pois algumas delas podem usar HTTP, por exemplo. V. TESTES

Um atacante visa obter alguma informao sobre quem est comunicando com quem atravs da rede Tor. Apresentaremos em seguida algumas tcnicas que um atacante pode usar para rastrear a comunicao e as limitaes introduzidas pelo modelo de ameaa restritivo do Tor. A. Anlise de Trfego Tradicional Anlise de trfego consiste em extrair e inferir informaes de dados da rede, assim como o volume do trfego, os tempos dos pacotes de rede, e os endereos de origem e destino, violando dessa forma o anonimato que o sistema deveria prover. Assumimos que o atacante tem que recorrer anlise de trfego devido ao fato de que os dados que passam entre os ns da rede Tor so devidamente cifrados. As anlises de trfego so classificadas em diferentes nveis de granularidade. A primeira classe de ataques considera a rede annima como uma caixa-preta onde apenas considerado os momentos em que usurios iniciam conexes, e estas so retransmitidas para servios de rede que se situam fora da rede Tor. Outros tipos de ataques consideram a repetio de comunicaes, trabalhando dessa forma com estatsticas variantes. Esses ataques so muito poderosos e

Utilizamos a ferramenta Tor para testar o anonimato oferecido atravs do Tor e tentamos observar algumas situaes que aconteceram nas referncias [3] e [4]. Como um n cliente possvel definir quais so os ns de entrada e de sada do nosso circuito. No primeiro experimento definimos como n de sada um n conhecido e tentamos acessar um site que no cifra as senhas para as quais so enviadas. Do lado do cliente Tor, tentamos acessar ao site de legendas, o www.legendas.tv, e tentamos nos autenticar. No lado do n de sada, por sua vez,

podem revelar muito sobre os padres de comunicaes que so repetidas na rede. Por exemplo, a longo prazo, pode acabar por ser revelado se um usurio em particular se conecta todos os dias a determinado sites atravs do Tor. Isso iria requerer que o atacante observasse uma enorme quantidade da rede para poder associar quem est acessando o Tor e quais os servios de sada que esto sendo utilizados [3]. Uma segunda categoria de ataques trabalha em numa granularidade bem melhor. Eles inspecionam o trfego que corre dentro da rede de comunicao annima, e posteriormente, a forma do trfego em cada ligao na rede. Por exemplo, um atacante pode observar o fluxo de dados da resposta de um servidor web para um usurio do Tor. Esse fluxo de dados pode ser representado como uma funo do volume de trfego por tempo. Tal funo sofre uma convoluo com uma funo exponencial decrescente e como resultado se obtm um template que tenta prever qual ser a forma do fluxo de dados dentro da rede annima. Sendo assim, o atacante compara o template que possui com todas as ligaes existentes da rede e confirma se tais fluxos combinam. Dessa forma, cada conexo da rede passa a ter um grau de similaridade, e assim o template pode ser usado para ser classificado como sendo usado depois do primeiro, segundo ou terceiro n no caminho da conexo. O problema bvio para esses ataques que para que toda essa anlise possa acontecer, necessrio que o atacante seja global, ou seja, consiga enxergar todos os ns da rede, porm, esse tipo de atacante no faz parte do modelo de ameaa ideal do Tor, alm disso, vale frisar que tais ataques so robustos, pois quanto menos parciais forem, mais tempo levaro para se obter todas as evidncias que provm o atacante com o mesmo grau de certeza, mas a longo prazo, continuaro a funcionar. Alm disso, qualquer atacante que controle parte da rede, como o Tor assume, pode ainda estar interceptando e rastreando comunicaes aleatrias, porm isso no muito atrativo para um atacante devido quantidade de esforo na interceptao e a anlise que requerida [3]. B. Anlise de Trfego no Tor As anlises mencionadas acima no so necessrias na anlise de trfego do Tor. O simples fato de que qualquer pessoa pode se tornar um OR j permite que tal pessoa, se m intencionada, consiga estimar o trfego carregado em especficos ns com uma preciso o suficiente para realizar a anlise de trfego, e h aqueles adversrios de alta capacidade que podem at detectar o caminho a ser utilizado na rede Tor. Os sistemas de mistura consistem no fato de que aes, sejam elas mensagens de retransmisso, clulas de fluxo, etc, de diferentes usurios, so processadas por um mix de forma a que elas se tornem no conectveis com o usurio que enviou tais dados. No caso do Tor, as mltiplas conexes dos diferentes usurios devem ser retransmitidas pelo mesmo n Tor, para que possa ser provido o anonimato para tais usurios. E por conta disso, os fluxos interferem uns aos outros, j que utilizam os recursos do mesmo n. Porm, se um atacante for

um dos OR da rede Tor, atravs dessa diferena de latncia, ele pode tentar rastrear os fluxos que passam por ele. Pior ainda, se o atacante for um servidor corrupto dentro do Tor (isso acontece por tentar garantir que um determinado site seja acessado de dentro da rede Tor, garantindo assim ainda mais o anonimato), ele pode inserir padres nos fluxos que retorna ao usurio que o tentou acessar, e assim, consegue supor os caminhos que seus fluxos seguiram por dentro da rede Tor at chegar ao usurio.

VII. CONCLUSO O Tor mostra-se uma tima alternativa para quem busca acesso sigiloso a contedos genricos e no comprometedores. Porm, fundamental fazer um bom uso para no ser identificado, evitando acessar contedos que exijam uma autenticao ou demonstrem pistas sobre a personalidade. Usurios externos a rede sabem pouqussimas informaes sobre os ns internos, no havendo possibilidade para intercepo. Porm, como o projeto Tor objetiva uma rede de baixo atraso, ns internos podem tentar mapear os ns da rede analisando o trfego ou, como ns de sada, podem repassar contedos falsos para os clientes e intercept-los. Um potencial contra balano so as leis que vo reclamando paulatinamente mais restries no domnio virtual. O anonimato no visto com bons olhos por instituies polticas, j que alguns governos foram derrubados com a ajuda dessa ferramenta. Uma briga constante est sendo travada nos tribunais e na internet para manter e melhorar a privacidade virtual. Por isso essencialmente importante o aumento de usurios do Tor, que procurem a rede buscando anonimato, aumentando assim, as possibilidades de circuito e a entropia de um n interno mal intencionado, aumentando tambm a chance do usurio ficar realmente no rastrevel e diminuindo a probabilidade de um atacante obter pontos estratgicos no circuito.

REFERNCIAS
[1] [2] Tor Project, https://www.torproject.org. R. Dingledine, N. Mathewson e P. Syverson. Tor. The secondgeneration onion router. NAVAL RESEARCH LAB WASHINGTON DC, 2004. S. J. Murdoch e George Danezis. "Low-cost traffic analysis of Tor."Security and Privacy, 2005 IEEE Symposium on. IEEE, 2005. D. McCoy et al. "Shining light in dark places: Understanding the Tor network." Privacy Enhancing Technologies. Springer Berlin Heidelberg, 2008. K. Zetter. Tor Researcher Who Exposed Embassy E-mail Passwords Gets Raided by Swedish FBI and CIA (November 2007) http://www.wired.com/threatlevel/2007/11/swedish-researc/. R. Dingledine, N. Mathewson. Tor Path Specification. https://gitweb.torproject.org/torspec.git?a=blob_plain;hb=HEAD;f=path -spec.txt

[3] [4]

[5]

[6]