1 pontos por GN⁺ 2025-08-10 | 1 comentários | Compartilhar no WhatsApp
  • O Tor começou em pesquisa militar e hoje desempenha um papel central como infraestrutura de privacidade digital
  • A técnica de Onion routing, para proteção dos metadados da rede, tornou-se a base do Tor
  • Por meio da cooperação entre o Exército dos Estados Unidos e o grupo de hackers cypherpunk, o Tor evoluiu para uma plataforma de anonimato utilizada pelo público em geral
  • A necessidade de ferramentas como o Tor se destaca em meio ao conflito contínuo entre proteção da privacidade e segurança pública
  • O papel do Tor é ressaltado como alternativa aos riscos sociais de uma infraestrutura concentrada de controle e vigilância

Origem e evolução do Tor

  • O Tor começou como um projeto do Naval Research Laboratory (NRL) dos Estados Unidos e hoje se firmou como tecnologia central para proteção da privacidade
  • O Tor oferece anonimato de identidade do usuário por meio de uma rede de servidores distribuídos e do Tor Browser
  • Com essa rede, o tráfego do usuário é passado por vários servidores em diferentes países e entregue de forma criptografada de modo complexo, dificultando rastreamento e censura

A ascensão da darknet e das tecnologias de privacidade

  • As tecnologias de privacidade como o Tor formam a base da sociedade digital e são essenciais para proteger pessoas contra crimes cibernéticos, ao lado de ferramentas como VPNs, mensageiros criptografados como o WhatsApp e diversas tecnologias de segurança
  • Como as tecnologias de privacidade inevitavelmente bloqueiam tanto crimes digitais quanto a vigilância estatal, segue um debate constante entre política, tecnologia e valores sociais

Criptowar e cyberpunk

  • Na era inicial da internet comercial dos anos 1990, ocorreu a Crypto Wars em torno da adoção pública da criptografia
  • Grupos cypherpunk e cientistas da computação queriam disseminar a criptografia militar para o público em geral, para que a internet se tornasse uma ferramenta que quebrasse autoridades e desse poder aos indivíduos
  • Governos e grandes empresas, por motivos distintos, compartilhavam a percepção de que a criptografia era importante

Espionagem, submarinos e metadados da internet

  • A internet foi projetada para expor a estrutura de caminho do tráfego (metadados), representando uma vulnerabilidade para a segurança de militares e agentes de inteligência, especialmente quando localizados no exterior
  • O conteúdo de mensagens confidenciais pode ser protegido por criptografia, mas as informações de origem e destino (metadados) ficam visíveis para operadoras de serviço ou provedores de internet (ISP)
  • A equipe de pesquisa do NRL buscou uma forma de ocultar não apenas o conteúdo, mas também a origem e o destino

Onion Routing e arquitetura de anonimização

  • O princípio central do Onion routing é encapsular a informação de rota em três camadas de criptografia e decodificá-las uma a uma à medida que passam por vários nós de retransmissão
  • Cada nó conhece apenas uma parte do caminho completo, de modo que nenhum nó de retransmissão consegue determinar simultaneamente toda a origem e o destino
  • A anonimidade é fortalecida quanto maior a escala de usuários, portanto a estrutura precisa ser aberta para o público em geral, não limitada a uso militar

Colaboração entre cypherpunks e militares e a transição para plataforma aberta

  • A equipe de pesquisa do Tor reconheceu que o anonimato real só se concretiza com uso público e, por isso, buscou colaboração com hackers cypherpunk
  • Em 1997, no Information Hiding Workshop, houve uma troca de ideias e valores entre cypherpunks e pesquisadores do NRL
  • O Tor foi construído com a combinação das exigências de alta segurança do meio militar e da visão de privacidade distribuída e democrática dos cypherpunks

Debate de privacidade e implicações sociais

  • A história do Tor é um processo de busca por um novo equilíbrio de poder por meio da aliança de múltiplas forças, e não uma simples dicotomia entre Estado e indivíduo
  • Em debates políticos atuais, como a Lei de Segurança Online do Reino Unido, fica claro que tecnologias de privacidade, na prática, tendem a fortalecer a proteção de populações marginalizadas
  • Tentativas de enfraquecer a criptografia violam ainda mais a autonomia de grupos vulneráveis, como mulheres e crianças, e podem ser exploradas por detentores de poder
  • O enfrentamento real de riscos deve se basear em sistemas de moderação de conteúdo democráticos e transparentes e na reconstrução da confiança social; soluções técnicas baseadas em vigilância isoladamente são insuficientes

Conclusão: o significado social do Tor

  • Em um ambiente de internet cada vez mais centralizado e com maior poder de controle por uma minoria, intensificado por IA, cresce a importância de ferramentas como o Tor
  • Além de proteger dados pessoais e combater crimes cibernéticos, o Tor também aponta um caminho para uma sociedade digital mais democrática e confiável

1 comentários

 
GN⁺ 2025-08-10
Opinião do Hacker News
  • Eu usei o Tor para monitoramento, mas considerei que foi uma abordagem adequada. Em uma startup de integridade da cadeia de suprimentos, construímos um crawler para monitorar discretamente um grande marketplace internacional. Para cada site regional, escolhemos nós de saída do Tor apropriados para conseguir ver exatamente o mesmo conteúdo que um usuário daquela região veria. O Tor funcionou perfeitamente para esse tipo de uso. Ainda assim, deixamos bem claro para a equipe que não devíamos se gabar ou vazar esses dados. (Estávamos numa situação em que uma única notificação de C&D poderia barrar a coleta de dados a qualquer momento.) Como o marketplace lucrava com produtos falsificados e vendas no gray market que tentávamos bloquear, um certo conflito era inevitável. Em vez disso, fizemos o crawler operar de forma suave, porém eficaz, para não causar danos a ninguém e evitar chamar atenção desnecessária. (Só posso dizer isso agora, porque na Covid a startup ficou sem dinheiro quando os investidores hesitaram)
    • Em outra ocasião assim, um VPN de cerca de US$5 (como Mullvad) já seria suficiente para ter o mesmo efeito. É menos chamativo que um nó de saída do Tor e é mais rápido em latência, largura de banda e na velocidade de troca de região. Nesse caso, basta um VPN; não é preciso roteamento onion.
    • Isso não é uma boa abordagem. Um nó de saída do Tor é público e pode ser marcado como alvo por um marketplace. Então, é difícil acreditar que se está obtendo informação real. Para fazer certo, o padrão é combinar Tor/VPN com proxy residencial para ocultar a intenção.
    • Se você escolheu nós de saída do Tor por região, isso foi praticamente usar como proxy. Nesse tipo de uso, roteamento onion não faz muito sentido.
    • Fiquei curioso sobre quais dados foram coletados exatamente.
    • A imaginação foi estimulado e me fez dar um leve sorriso, achei legal.
  • Se você se interessar no livro do autor sobre o Tor, ele pode ser baixado gratuitamente
    [https://direct.mit.edu/books/oa-monograph/5761/TorFrom-the-D...] (aliás, sou da MIT Press)
    • Excelente livro! Achei que ele capturou bem várias complexidades, pois o período e o tema que tratei se sobrepõem. Foi marcante o fato de começar de uma pesquisa única baseada em entrevistas diretas com operadores de nós de saída do Tor.
    • Se quiser apoiar o autor, também dá para comprar
      https://mitpress.mit.edu/9780262548182/tor/
    • Fiquei curioso se há formato EPUB. Quero ler no Kindle.
  • Um relay Tor é bem leve de operar. Eu rodo um relay Tor em um VPS de US$5/mês entre outros usos. 1 GB de RAM já é suficiente e um núcleo básico de CPU basta. Meu relay envia/recebe cerca de 150 GB de tráfego por dia (cerca de 15 Mbit). Como não é nó de saída, não fico preocupado com problemas legais
    (compartilhando exemplo de config e override do systemd)
  • Acredito que a popularização do Tor serviu para disfarçar seu uso militar. Se só houvesse usuários militares, seria um alvo fácil demais, então a ideia era se passar por tráfego normal.
    • Não fica claro se isso foi de fato o motivo, ou apenas retórica para convencer o governo. De toda forma, os próprios inventores do Tor disseram ao governo diretamente que esse era o objetivo.
    • Eu também ouvi histórias parecidas. Como todos usam uma rede acessível apenas ao governo americano para invadir servidores externos, fica difícil diluir responsabilidades.
    • Todas as fontes confiáveis que ouvi contaram narrativas semelhantes.
  • Eu não usei Tor, mas já fiz scraping quando precisei de IPs variados. Acho que muitos desses endpoints já devem estar bloqueados.
    Desde que o Reino Unido e outros lugares impuseram bloqueio de conteúdo adulto, o recurso "Nova Janela Privada com Tor" do navegador Brave é bastante conveniente. Se a regulação ficar ainda mais rígida, talvez ferramentas como o Tor passem a ser ainda mais necessárias para privacidade.
    Atualmente há muitos casos em que serviços de "residential proxy" ou bots como o Perplexity tornam o IP irrelevante. Estamos numa era em que se paga US$1 por GB para usar milhões de IPs.
    • Entre os ataques cibernéticos que analisei recentemente, há muitos casos em que parece que usam IP residencial da Califórnia e de Nova York, mas a origem real era a Índia. Hoje isso é muito fácil.
    • No trecho sobre o bloqueio de pornografia adulta no Reino Unido, o aspecto positivo é que o aumento da censura do governo pode impulsionar tecnologias de privacidade e segurança.
    • A maior parte da infraestrutura tem falhas de segurança graves causadas por centralização e transparência. Ver estudos de caso como o ataque Raptor, da Princeton (2015), ajuda a entender o princípio.
  • Se você já entende o funcionamento do Tor e quer saber mais sobre os ataques, recomendo estes documentos
  • Sempre assumo que, sempre que uso Tor, todos os pacotes são coletados e analisados como prioridade máxima. Às vezes, acho mais seguro se misturar na multidão.
    • Essa visão de curto prazo acaba tornando mais difícil, no longo prazo, misturar-se na multidão.
  • Eu nunca cheguei a ter confiança plena na forma correta de usar o Tor. Também não confiava em aprender esse método com alguém.
    • O certo é instalar e usar o Tor Browser. Esse navegador é uma versão hardenada do Firefox conectada à rede Tor. Você não deve redimensionar a janela do navegador nem instalar extensões adicionais. Usa-se sempre o mesmo tamanho de janela para evitar rastreamento. Também não use contas comuns ou informe dados pessoais. Em redes onde o Tor é bloqueado, pode-se contornar com os métodos do FAQ (bridges etc.)
      https://www.torproject.org/download/
      https://support.torproject.org/censorship/
    • Eu também acho que um pouco de paranoia é saudável. Prefiro plataformas como o "Tails", um Linux bootável por USB com Tor integrado (vale a pena investigar por conta própria)
      https://tails.net/
    • Geralmente o método recomendado é instalar o Tails no USB e bootar diretamente a partir dele. Isso aumenta muito a segurança do sistema em comparação com usar só o Tor Browser e, mesmo se alguém for hackeado, meus dados reais não ficam no OS.
      https://tails.net/
    • Lembro que da última vez que usei o Tor ele era basicamente um Firefox modificado.
  • A meu ver, o Tor não é tão perfeito em privacidade. Penso que alguém com mais servidores pode ver todo o tráfego.
    • Fico curioso se, de fato, quem tem mais servidores consegue ver todo o tráfego. Por exemplo, se houver um milhão de servidores e eu tiver 10, e os outros tiverem no máximo 9, isso não significa que vou perder quase todo o tráfego?
    • Pergunto como garantir sempre que se possui os nós de entrada e saída próprios. Não espero que grupos com essa capacidade todos cooperem entre si.
  • Tor também é bom, mas eu ainda prefiro o i2p
    • Acredito que um dia o i2p substituirá o Tor; ou, no mínimo, deveria. O Tor tem um problema básico de deanonymization, porque basta alguém implantar muitos nós para isso acabar. Já é provável que alguma instituição já tenha tentado isso, mas é impossível saber.
    • O I2P é melhor por design de rede; é uma pena que, sendo tão bom, passe despercebido.
    • A única desvantagem é ser mais difícil de operar.
    • No fim, tudo se resume a confiança.