Dansk Tor-udvikler: Sådan vil vi gøre det lettere at være anonym på mobilen

Illustration: Bogdan_MHN/Bigstock
I erkendelse af, at en del brugere anvender anonymiseringstjenesten Tor på mobiltelefonen, forsøger folkene bag teknologien at forbedre den mobile oplevelse.

Hos organisationen bag udviklingen af anonymiseringstjenesten Tor er der fokus på at gøre den mobile oplevelse bedre. En af dem, der arbejder på dette, er Alexander Færøy, der bor i Danmark.

Siden februar 2017 har han været ansat hos Tor Project, organisationen bag Tor-tjenesten, hvor han arbejder som Tor Core-developer.

Alexander Færøy fortæller, han altid har været interesseret i netværkssikkerhed, kryptografi, privatliv og den slags. For et par år siden så han et diagram fra Electronic Freedom Foundation over, hvordan Tor virker.

Illustration: Electronic Frontier Foundation

»Jeg synes ikke, diagrammet sagde så meget. Så jeg gik i gang med at undersøge de tekniske specifikationer nærmere, og så prøvede jeg at implementere det i det programmeringssprog, der hedder Erlang.«

Alexander Færøy har været Tor-udvikler siden februar 2017. Illustration: Alexander Færøy

Erlang-projektet gav anledning til nogle spørgsmål, som blev starten på en dialog mellem Alexander Færøy og nogle af de udviklere, der allerede var knyttet til Tor-projektet.

»De begyndte at lære mig at kende. Jeg begyndte også at møde dem til diverse konferencer rundt om i Europa.«

På et tidspunkt opstod der en ledig stilling hos Tor Project, som Alexander Færøy blev opfordret til at søge. Tanken om et udviklingsarbejde, der alene skulle foregå via cyberspace, tiltalte dog ikke Alexander Færøy videre til at starte med.

»I starten havde jeg ikke rigtigt lyst til det, jeg var vant til at være i et kontormiljø og var rimeligt glad for det.«

Alexander Færøy valgte at søge alligevel og endte efter flere jobsamtaler via blandt andet IRC at blive tilbudt jobbet, som han nu har bestridt i mere end et år.

Forbedring på mobilen

Færøy har haft særligt fokus på at forbedre Tor på en mobiltelefon.

»Der er et stort fokus på at lave en officiel Tor-browser til Android. Og vi laver en masse performance-optimeringer på core-delen til Android.«

Det vil blandt andet sige, at der har været fokus på at skære båndbredde- og batteriforbruget ned. Hvad batteriforbruget angår, så er den del eksempelvis forsøgt reduceret ved at begrænse, hvor ofte softwaren 'vågner' og tjekker netværket. Med hensyn til båndbredde så er der nogle store tekstfiler med informationer om de knudepunkter, som udgør Tor-netværket.

Denne kommunikation har Alexander Færøy arbejdet med at komprimere, så det kun er informationer om de knudepunkter, hvor der er sket ændringer, der bliver transmitteret.

Som Alexander Færøy er inde på, så bliver der udover tekniske forbedringer af den mobile oplevelse også arbejdet på en egentlig Tor-Browser til Android.

Orbot

Via Orbot-pakken kan det allerede lade sig gøre at koble på Tor fra en Android-telefon uden en særlig browser. Orbot kan hentes fra blandt andet Google Play. Programmet kan sættes op som VPN på telefonen. Version2 har kort testet Orbot, der umiddelbart gjorde det muligt at sende trafikken fra telefonens Chrome-browser via Tor-nettet.

Anonymiteten i Tor-fungerer ved at sende trafikken gennem tre knudepunkter. De enkelte knudepunkter kender kort fortalt ikke hele ruten for datatrafikken, og derved opnås anonymiteten.

Det er dette netværk af knudepunkter, som Orbot på en Android-telefon kan bruges til at sende datatrafik ind i.

Men når nu Chrome og alle mulige andre apps på Android kan benytte Tor via Orbot, hvorfor så overhovedet udvikle en selvstændig browser til formålet? Det er af samme grund, som at Tor Project udgiver og vedligeholder en særlig browser baseret på Mozillas Firefox ESR til almindelige desktop-computere.

Fingerprinting

Almindelige browsere som Chrome og Firefox kan afgive en stribe oplysninger ved besøg på en hjemmeside. Det kan være oplysninger om fonts, skærmstørrelse, og i hvilket tempo en bruger trykker på tastaturet. Når disse oplysninger bliver kombineret, kan de generere en værdi, der kan være så entydig, at den kan bruges til at identificere Tor-brugeren med. Og så går anonymiteten altså fløjten.

Og her kommer den selvstændige Tor-browser ind i billedet. Udviklerne forsøger nemlig at gøre det svært at skelne de forskellige browser-installationer fra hinanden.

»Vi prøver at få alle instanser af browseren til at se ens ud,« fortæller Alexander Færøy.

Det foregår blandt andet ved at hardcode informationer om størrelsen på vinduet ind i browser-softwaren - en værdi, der kan bruges til at spore brugere med.

En anden måde at identificere unikke brugere på er som nævnt ved at aflæse, hvor hurtigt der bliver tastet på et keyboard. For at imødegå denne form for fingerprinting samler Tor-browseren tastetryk sammen og genererer flere events i browseren samtidig.

»Det er grunden til, vi har et browser-team. Det er en ret stor opgave at vedligeholde en browser ved siden af. Men det er på grund af de fingerprinting-muligheder, der er,« siger Alexander Færøy.

Når der kommer nye web-standarder, kan der også løbende dukke nye muligheder for fingerprinting op. Færøy fortæller, at at det er et ræs, hvor browser-udviklerne hver gang skal forsøge at finde ud af, hvordan og om det kan påvirke muligheden for at identificere brugerne af Tor.

Udover fingerprinting-problematikken forklarer Alexander Færøy, at der også kan være en risiko for utilsigtet læk af data fra software, der sættes op til at køre via en Tor-proxy, så eksempelvis brugerens rigtige IP-adresse bliver kendt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017