2025年1月30日,Tor项目官方的X(以前称为Twitter)帐户遭到入侵,并被用于推广欺诈性的加密货币计划。Tor项目迅速在其他社交媒体提醒用户对网络钓鱼和诈骗保持警惕,尤其是涉及加密货币的诈骗。截至目前,Tor项目已经重新获取账号控制权限,并删除了盗号者发布的诈骗推广推文。
发现X账户被入侵后,Tor项目迅速通过其包括BlueSky和Mastodon账户在内的其他官方社交媒体渠道发出了警告:
Our X (Twitter) account has been compromised. We are working to regain access.
Please do not trust or interact with any posts, DMs, or links from our account until further notice.
Tor项目在声明中确认其X帐户已被入侵,并敦促粉丝不要信任或与来自被黑帐户的任何帖子、直接消息或链接互动。他们向用户保证,正在努力重新控制该帐户(最新:账户已经恢复)。
Tor项目建议其社区通过其博客和Mastodon等经过验证的渠道获取最新信息,并敦促其粉丝在另行通知之前不要与受感染的X帐户分享的任何帖子或链接互动。
在评论中,有网友在评价中质疑这一切怎么发生的,称X账户是怎么被盗的,他们应该知道什么是安全密码和2FA?还有网友说Tor项目的X账户被黑了,本来可以走得更远,赚更多的钱,结果只发了一条推文?
盗号者利用Tor项目官方X账户推广是的一个基于Solana区块链的Meme币$TOR,地址为:Du24pykXZDNvpcJBRfDaXV8AtwoxN1UB6AGcjPvupump,盗号者精心设计了该Meme币,并盗取Tor项目官方X账户进行推广,已经成功销售(骗取)了超过340万美元。
这一事件凸显了网络犯罪分子瞄准知名账户、利用其信誉进行诈骗日益增多的趋势。此次X账户被盗事件也强调了加强数字平台安全措施的必要性。
“暗网下/AWX”强烈建议用户在进行任何在线加密货币投资交易之前核实来自官方来源的信息。如需了解Tor项目的真实最新情况,需同时访问Tor项目自己的博客或关注其在其他平台上的已验证帐户。
Tor官方在2024年底对该非盈利性重大隐私保护工程一年的工作进行了回顾,“暗网下/AWX”对Tor项目的文章进行了翻译与总结。Tor官方称,每当人们谈论Tor时,总会提到几个关键问题:性能、安全性和网络健康、审查规避以及第三方集成的兼容性。这些是Tor项目工作的重中之重,2024年Tor项目在这些领域都取得了重大进展,这篇文章里,Tor官方回顾了其是如何为解决这些核心问题和挑战而开展的一些新项目和正在进行的项目。
一、提高性能和安全性 洋葱服务改进:洋葱服务是一种使用Tor网络交换数据的通信技术。它们通过将所有通信保留在Tor网络内,来提供端到端加密和增强的匿名性。2024年,Tor项目推出了OnionSpray,这是一款即插即用的工具包,可以更轻松地将现有明网网站转换为可以使用.onion域名访问的暗网网站。OnionSpray具有代理功能,允许现有网站与“洋葱服务”无缝集成。通过简化设置,运营者可以快速受益于.onion暗网网站的抗审查和拒绝服务保护功能,而无需修改其现有基础设施。如需深入了解该功能,可以查看Tor项目早期采用者之一的案例研究。
支持Vanguards:从2024年夏天开始,Arti支持Vanguards,这是一种针对针对洋葱服务和洋葱服务客户端的防护发现攻击的防御措施。Vanguards于2018年首次作为v3洋葱服务的附加组件推出,旨在降低去匿名化攻击的风险并确保用户安全。
内存配额跟踪:Tor工程师和志愿者在Arti方面取得了重大进展,Arti是Tor核心的现代重写版本,采用Rust语言编写。Arti的模块化设计提高了可维护性、安全性和性能。为了抵御内存耗尽攻击,2024年Tor项目实现了内存配额跟踪。此功能允许Tor监控和限制其内存使用情况,优先关闭较旧的连接,以降低内存使用率并保持系统稳定性。这为所有用户提高了可靠性,并降低了高流量期间系统超负荷的风险。
带宽扫描仪:Tor保持网络稳定和健康的持续策略依赖于有效利用网络数据的能力。带宽扫描仪通过测量Tor网络中的中继容量,在网络的性能和安全性中发挥着重要作用。然后,这些数据会被用来指导如何构建与Tor网络连接的路径。这样做的目的是优化网络中的负载分布,最终提高浏览速度和可靠性。
二、扩大抗审查能力 发布WebTunnel:2024年年初,Tor项目成功推出了WebTunnel,这是一种新型桥接器,旨在与普通网络流量无缝融合,使审查者更难阻止Tor连接。通过模仿常见的互联网协议,WebTunnel提高了Tor网络在审查严格的地区的适应能力和弹性。自2024年上半年推出以来,该桥接器确保优先考虑较小流量的下载,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛使用的浏览器的特性。这使得Webtunnel对普通用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。在为用户提供可靠的开放网络访问方面,这种方法已经显示出良好的前景,尤其是在像俄罗斯这样审查严格的地区。Tor官方一直希望扩大这些努力,如果有用户愿意通过运行新桥接器来支持Tor,可以考虑参与并学习相关的技术知识。
Snowflake更新:浏览器扩展程序Snowflake于2021年推出,是Tor对抗网络审查的一大飞跃。它使设置代理变得像打开网页一样简单。为了遵守Google Chrome扩展程序框架的变化,Tor项目重新设计了Snowflake的WebExtension,以符合Manifest V3标准。更新后的版本已于9月份成功部署,确保在Google逐步停止对Manifest V2的支持后,Chrome浏览器上的用户仍可使用Snowflake。Tor项目还通过自动化发布流程、替换过时的内容交付网络和修订协议来不断改进Snowflake。这些努力确保Snowflake对全球用户保持可靠和有效。
过渡到Rdsys:2024年,Tor项目从BridgeDB成功过渡到Rdsys,这是Tor项目的下一代桥接分发系统。Rdsys采用模块化架构,可帮助Tor项目快速适应新出现的审查策略,并允许Tor项目试验桥接分发渠道,更有效地覆盖用户所在的地理位置。
三、推进外联和宣传 与Tails联手:合作一直是Tor项目工作的核心,例如Tor项目与Tails的合并,就是一个很好的例子。Tails是一个便携式操作系统,使用Tor保护用户免受数字监控。2024年,Tails推出了几项影响深远的更新,包括一项防止数据丢失的新备份功能。展望未来,该团队正在探索如何在Tails上支持Signal等消息应用程序,使用户能够安全地进行通信,同时将敏感通信与可能受到入侵的设备隔离开来。
分散培训工作:Tor官方从自己开展全球培训课程转变为为当地培训师提供教授Tor的技能。Tor官方将2022年首次启动的”隐私弹性资助计划“扩展到49个国家/地区,使培训师能够开展本地化的Tor活动。培训师们报告了培训带来的重大影响,例如改善了对监控和协作学习的保护。
中继倡导:Tor官方继续扩大与大学的合作伙伴关系,以促进中继运营。这些努力不仅通过访问强大的中继节点增强了Tor网络,而且还通过树立积极的榜样鼓励更多组织为其基础设施做出贡献。
四、为Tor的未来做好准备 RPC子系统:2024年Arti最重要的进展之一是开发了一个完全重新构想的RPC子系统。该系统通过提供进程外应用程序接口(out-of-process API)、改进模块化和应用隔离,重新定义了应用程序与Tor的交互方式。与现有的控制端口不同,RPC子系统可防止应用程序访问敏感信息。。这种设计将使开发人员能够更轻松、更安全地构建使用Tor的工具和服务。
人性化的.onion地址:冗长复杂的.onion域名一直是可用性方面的难题与挑战。今年,Tor官方开始研究创建更人性化的替代方案,旨在提高新用户的可访问性,同时保持强大的安全性。这些努力将使”洋葱服务“更加平易近人,更加方便用户使用。
Android版本辅助功能:为了准备使用“辅助功能”——一项意在自动规避审查的功能——Tor项目重新设计了Android版本Tor浏览器的连接体验,采用了全新的“原生”实现方式。这是Tor项目长期努力将“连接辅助”引入安卓系统的长期努力的必要步骤,并为安卓用户提供了一系列小的改进,使其体验与桌面更加一致,并允许用户在连接前访问设置,从而实现更顺畅的故障排除和更高的可访问性。
Tor官方最后总结称,所有这一切都得益于Tor社区和用户的持续支持。Tor官方可以共同为数字权利打造一个更强大、更具弹性的未来。
11月6日,X用户Andrew Morris(@Andrew___Morris)发布推文称,有人正在攻击Tor,而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址,并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉,然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。
Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are…
— Andrew Morris (@Andrew___Morris) November 6, 2024 目前,Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉:https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击,他正在与合作伙伴合作,以三角测量这些流量的真正来源,然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站:r00t[.]monster,并给出了社区报告的参考:
https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85
https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html
11月8日,Tor官方在博客做出回复,称正在保卫Tor网络,号召社区共同努力,减少针对Tor的IP欺骗。
Tor官方称,10月底,Tor目录管理机构、中继运营者,甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击,攻击者欺骗非出口中继和其他Tor相关IP,以触发滥用报告,目的是破坏Tor项目和Tor网络。
根据Tor项目官方博客的消息,Tor浏览器13.5版本现已从Tor浏览器下载页面和Tor项目的分发目录中提供。
经常阅读”暗网下/AWX“文章和Tor官方博客文章的朋友们一定知道,在过去的两年里,Tor官方一直在逐步提高Tor项目的能力,不仅维护了Tor浏览器,而且还为Android版Tor浏览器带来了切实的改进。在这方面,Tor浏览器13.5版本具有里程碑的意义:除了更新日志中提到的数十个错误修复和小改进之外,该版本还对Android的连接体验进行了重大更改,为将来添加连接辅助功能做准备,包括在连接前完全访问”设置“,以及为Tor日志提供一个永久的新主页。
对于桌面版本Tor浏览器,Tor官方将继续努力改善指纹保护的用户体验。继Tor官方在Tor浏览器13.0桌面版中引入新窗口大小的更改之后,此版本又对letterboxing设计进行了受欢迎的更改,包括记住用户上次使用的窗口大小和在常规设置中调整letterboxing对齐方式的新选项。桥接(Bridge)用户还将发现桥接设置中的大量改进,包括桥接卡的全面重新设计和共享功能的改进,以及旨在帮助用户在其他地方找到更多桥接的新部分。最后,洋葱网站错误的设计已进行了视觉更新,使它们与Tor浏览器中其他类型的网络错误保持一致。
Android版本Tor浏览器有哪些新功能? 全新的连接体验 Tor官方已用全新的“原生”实现完全替换了Android版Tor浏览器的连接界面。这是Tor官方长期努力的第一步,也是必要的一步,Tor官方将在未来的主要版本中为安卓系统带来”连接辅助“(Connection Assist)——一种可以自动规避 Tor 网络审查的功能。。然而,在等待连接辅助功能到来的同时,Tor浏览器的新连接屏幕已经为安卓用户提供了一系列小改进。
为了建立坚实的基础,以便在未来可以扩展Android版本Tor浏览器的连接功能,这些屏幕也与桌面版本更加一致。最终,希望能够实现成功绕过桌面版本审查的用户也能够使用安卓版本,而无需重新学习其工作原理。
除了视觉更新之外,用户现在还可以在启动应用程序时启用自动连接选项(基于上次使用的连接设置)。此外,用户还可以在连接到Tor之前访问完整的设置菜单——通过点击设置图标,或通过新按钮“配置连接”——在这里也可以找到新的Tor日志。
Tor日志的永久主页 正如许多人可能了解的那样,Tor浏览器会保留Tor后台活动的日志,以便在出现问题时帮助排除故障。Tor日志不包含有关用户浏览活动的任何敏感信息,而只是揭示Tor在幕后试图做什么——例如,这些日志通常包括Tor启动进度的记录,以及发生的任何警告或错误。
如果用户遇到问题并联系技术支持人员,支持人员可能会要求提供Tor日志副本,以帮助他们诊断问题。但是,在安卓版Tor浏览器的早期版本中,只有在连接过程中向侧面滑动才能找到Tor日志。这意味着一旦Tor浏览器成功建立连接,用户就无法返回此屏幕查看和复制他们的Tor日志。
为了解决这个问题,Tor官方重建了Tor日志并将其重新定位到“设置”中名为“连接设置”的新部分——在桌面版本Tor浏览器也可以在这里找到Tor日志。鉴于现在无论用户的连接状态如何都可以访问设置菜单,这意味着用户可以在使用Tor浏览器时随时检索Tor日志。最后,”暗网下/AWX“看到,还有一个方便的按钮,用户可以使用它来一键复制所有日志,而不需要费力地选择文本。
桌面版本Tor浏览器有哪些新功能? 介绍 Betterboxing 新用户经常提问:“那些灰色条是什么?”Tor官方的支持网站上也有自己的条目。答案是:letterboxing!
回顾一下,Tor浏览器的9.0版本引入了letterboxing模式,通过将内部内容窗口四舍五入到最接近的100像素,用户可以调整浏览器窗口大小而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列公共“桶”中,保护这些桶中的个人用户不会根据其窗口或屏幕大小被单独挑出。
虽然现有的letterboxing模式实现可以很好地防止指纹识别,但其视觉设计经常会被新用户误解为浏览器的错误或正在浏览的网站的渲染问题。
用户在浏览暗网网站时可能会遇到一些问题。根据Tor官方在网上收集的用户反馈、用户研究活动和培训课程中发现的问题,发现了以下问题:
设计看起来不太刻意,因此用户会误解letterboxing是浏览器故障。为此,Tor官方对letterboxing的视觉设计进行了些许润色——但引入的元素被刻意保持低调,以避免分散用户对实际浏览内容的注意力。 letterboxing功能在“设置”中的任何地方都没有提及,因为以前版本没有任何选项可以配置。从此版本开始,用户现在可以在“常规设置”中找到一个新的letterboxing部分,其中包括记住上次已知的窗口大小的选项,以及选择是否希望letterboxing与浏览器窗口的顶部或中间对齐。 专业提示:如果需要手动调整Tor浏览器的大小以隐藏letterboxing功能引入的边距,现在可以双击letterboxing边距,以将Tor浏览器缩小到下一个窗口大小。
更好的网桥设置 桥接用户会注意到,此版本中对连接设置进行了一系列改进,旨在帮助受审查的用户找到可用的网桥,并改进添加多个网桥时的管理。
桥接卡首次在Tor浏览器11.5版本中推出,现在显示在一张更紧凑的卡片中,而不是以前的一堆卡片。为了帮助用户记住桥接的来源,新的桥接卡还预先标明了桥接的来源,无论是内置的、从Tor请求的,还是用户自行添加的。最后,当用户添加三张或更少的桥接卡时,现在可以一次共享所有桥接卡,而不是像以前那样每次只能共享一张。
当Tor浏览器的内置选项无法满足用户的需求时,用户还可以找到一个新的“查找更多桥接”部分,它为受审查用户提供了获取桥接的其他渠道,包括Telegram、“获取桥接”网站和电子邮件。现有的“请求桥接”功能也已移至此处,允许用户从Tor浏览器的内置桥接机器人检索桥接,而无需先连接到Tor。
简化的洋葱网站错误 除非是完美主义者,否则可能在某个时候拼错了暗网网站地址,结果却进入了错误界面。当用户遇到类似问题时收到的用户友好信息被称为”网络错误“(Network Errors),简称”网错“(neterrors),火狐浏览器早在1.5版本中就引入了这种信息。
”暗网下“发现,在过去的Tor浏览器版本中,洋葱网站错误与Tor浏览器中的其他类型的网络错误有所不同。尽管这一变化背后的设计决策初衷是出于好意,但有时会导致人们对问题根源产生混淆。作为回应,Tor官方简化了洋葱网站错误的设计,使用户体验与在浏览洋葱网站时可能遇到的其他类型的网络错误保持一致。
版本说明 本站(anwangxia.com)注意到,Tor浏览器13.5版本将是支持Windows 8.1及更旧Windows版本和macOS 10.14及更旧macOS版本的最后一个主要版本。
保持Tor浏览器的最新版本对于维护用户的隐私、安全和匿名性至关重要。”暗网下“看到,Tor官方已经表示,在Tor浏览器14.0于今年第四季度发布后,这些平台的用户将不再收到重要更新。因此,强烈建议受影响的用户在下一个版本发布前将其操作系统升级到受支持的Windows和macOS版本,运行旧版本Windows和macOS的用户将开始在Tor浏览器中看到相关提示信息。
近日,Tor项目官方博客发布文章,推荐了隐私操作系统Tails的6.0新版本。
Tails是基于Debian的专注于安全隐私的Linux发行版,旨在保护互联网隐私和提供匿名性,“暗网下/AWX”曾介绍过5.1版本,目前已更新至版本6.0,这是一个引入大量新功能和更新组件的主要版本。
Tails 6.0基于最新的Debian GNU/Linux 12 “Bookworm”操作系统系列,默认附带GNOME 43桌面环境,并具有持久存储错误检测功能,可帮助用户诊断硬件故障、防范恶意USB设备并支持自动安装外部设备。
新的自动挂载功能支持加密设备,因此系统会提示用户输入密码以自动解锁加密。但是,作为安全防护功能,新的“针对恶意USB设备的防护”将在屏幕锁定时自动忽略插入计算机的任何设备。
随着新的GNOME 43桌面更新,Tails 6.0还引入了对黑暗模式的支持。此外,现在还有夜灯模式,可以将屏幕更改为更暖的颜色和更低的亮度。此外,GNOME 43还带来了内置的屏幕截图和截屏功能。
此版本还包括在Mozilla Thunderbird电子邮件客户端中更轻松地配置Gmail帐户,因为用户现在可以直接登录,而无需配置任何特殊内容。此外,持久存储密码现在可以生成加泰罗尼亚语、德语、意大利语、葡萄牙语和西班牙语。
Tails 6.0中包含的默认软件包括Tor Browser 13.0.10匿名网络浏览器、KeePassXC 2.7.4密码管理器、Electrum 4.3.4比特币钱包、Metadata Cleaner 2.4.0隐私工具、Inkscape 1.2.2 SVG编辑器、Audacity 3.2.4音频编辑器、GIMP 2.10.34图像编辑器和Kleopatra 22.12证书管理器。
Tails 6.0现已可以从官方网站下载ISO或USB镜像。现有用户必须按照这些说明执行手动升级。有关此更新中包含的更改的更多详细信息,请查看完整的发行说明。
新功能 持久存储上的错误检测 Tails 6.0会在用户从Tails USB设备中读取或写入数据时发生错误时提出警告。
这些警报可以帮助用户诊断U盘上的硬件故障,并在出现问题之前备份用户的持久存储。
自动挂载外部设备 当用户插入外部存储设备(U盘或移动硬盘)时,Tails 6.0会自动挂载。如果存储设备包含加密分区,Tails 6.0会自动解锁加密。
此功能还简化了解锁VeraCrypt加密卷的方法。
防范恶意USB设备 如果攻击者设法将恶意USB设备插入用户的电脑,他们可能会在用户不知情的情况下运行软件,破坏Tails内置的安全性。
为了在用户离开电脑时防止此类攻击,Tails 6.0会忽略屏幕锁定状态下时插入的任何USB设备。
只有在屏幕解锁时插入新的USB设备,用户才能使用它们。
深色模式和夜灯 从Tails 6.0的系统菜单中,用户现在可以在以下各项之间切换:
颜色更冷、亮度更高的默认灯光模式 黑暗模式 色彩较暖、亮度较低的夜光模式 暗光模式和夜光模式的组合 更方便的截图和截屏 GNOME 43在系统菜单中引入了一个新的快捷方式,使截屏或录制截屏视频变得更容易。
Thunderbird中使用Gmail更简单 由于Thunderbird和Gmail的变化,在Tails 6.0系统里,Thunderbird中配置Gmail帐户变得更加容易。
除了常规的两步验证之外,用户无需在Gmail帐户中进行任何特殊配置。
在Thunderbird中配置Gmail帐户时,用户可以直接登录该帐户。
Diceware密码短语支持另外5种语言 创建持久存储时,建议的口令现在还能以加泰罗尼亚语、德语、意大利语、葡萄牙语和西班牙语生成。
更改和更新 附带软件 Tails 6.0更新了Tails中包含的大部分应用程序,其中包括:
Tor浏览器升级至13.0.10; Electrum从4.0.9升级到4.3.4,改进对闪电协议和硬件钱包的支持; KeePassXC从2.
近日,Tor官方发布公告称,Radially Open Security完成Tor项目的代码审计。针对Tor匿名网络的多个组件的全面代码安全审计发现了十多个漏洞,其中包括一个被归类为“高风险”的问题。
这项审计由非营利网络安全咨询公司Radiically Open Security在2023年4月至8月期间进行,涵盖了Tor浏览器、出口中继、暴露的服务、基础设施以及测试和分析工具。评估结果已经于本周公布。
根据Tor博客发布的公告,本次代码审计重点关注Tor生态系统的几个组成部分:
Tor浏览器和安卓版Tor浏览器; 出口中继器(Tor核心); 公开服务(度量服务器、SWBS、Onionoo API); 基础设施组件(监控和警报)以及测试/归档工具。 此次审计是一项水晶盒(白盒)渗透测试(测试人员可以访问源代码),主要目的是评估为提高Tor网络速度和可靠性而进行的软件更改,总共发现了17个安全问题,并提出了一系列建议,例如:
减少面向公众的基础设施的潜在攻击面; 解决过时的库和软件问题; 实施现代网络安全标准; 在所有HTTP客户端中默认遵循重定向。 发现的问题大多数是中低风险缺陷,可被利用来发起DoS攻击、降级或绕过安全性以及获取信息访问权限。有些问题与使用过时或未维护的第三方组件有关。
最严重的漏洞是影响洋葱带宽扫描器(Onbasca)的跨站点请求伪造(CSRF)错误。此高风险漏洞可能允许未经身份验证的攻击者向数据库注入桥接程序。
Onbasca是一种带宽扫描器,由目录管理机构(维护当前运行中继站列表的特殊中继站)运行。带宽扫描器可以帮助监控性能、分配Tor网络的负载和检测攻击。
桥接器是一种未列入名单的中继器,由于更难被阻止,因此对高压政权下的用户很有帮助。
“只要受害者的浏览器与Onbasca在同一个网络中运行,攻击者就能将目录授权受害者引诱到他们的网站,并成功实施CSRF攻击。当受害者使用Django Web界面时就是这种情况。因此,经过预先身份验证的攻击者可以将攻击者控制的IP注入数据库。”Radically Open Security在其报告中解释道。
Radically Open Security补充说:“当调用定期运行的bridgescan(桥接扫描)命令时,Onbasca应用程序将连接到攻击者控制的网桥。通过这样做,攻击者可能能够对Onbasca的托管实例进行守护进程,或实施进一步的攻击。”
此外,修复与拒绝服务漏洞、本地攻击、不安全权限和输入验证不足相关的问题也被认为是当务之急。
在这次最新的安全审计之前,渗透测试公司Cure53进行了一次安全评估,该评估的重点是识别用户界面变化带来的漏洞以及与规避审查制度相关的审计。
Radially Open Security(@ROSecurity)提供非营利计算机安全咨询,介绍自己是一群理想主义的安全研究人员、网络/取证极客和夺旗获胜者,他们热衷于让世界变得更加安全,他们相信透明度和开放性,目标是首先确保社会的安全,让他们能够经营一家公司。
Tor官方表示,衷心感谢开放安全公司(Radically Open Security)执行此次审计,感谢美国国务院民主、人权和劳工局(DRL)赞助此项目,并“为全球各地的互联网用户提供更快、更可靠的Tor网络”。
如果您是技术人员,想要了解更多详情和信息,请点击此处查阅完整的审计报告。
2023年对Tor项目而言是艰难且辛苦的,本文是Tor项目针对2023年的总结文章,总结了Tor项目团队的辛勤工作,回顾了他们在改善Tor的功能以及为全球数百万用户带来的体验方面所取得的许多值得一提的成就。一方面通过重写Tor的代码库提高了Tor网络的性能和安全性,使其更易于维护并嵌入到新的第三方应用程序中,另一方面通过本地化、推广、宣传和培训使Tor技术更广泛地可用。
总结中,Tor项目团队隆重感谢了他们的捐助者、支持者和志愿者的慷慨捐助,同时也感谢他们的用户、志愿者、中继运营商、合作伙伴和捐助者社区,大家的支持使得2023年成为取得诸多成就的一年。Tor项目2023年推出了许多新版本,得益于来自世界各地的志愿者花费无数时间测试新工具并为提供宝贵反馈的直接结果,持续帮助官方改进和部署新功能。
Mullvad浏览器的主要视觉效果 Tor项目与Mullvad VPN合作推出了Mullvad浏览器,这是一款基于Tor浏览器原理构建的注重隐私的Web浏览器。它提供与Tor浏览器类似的隐私功能,例如防指纹和防跟踪保护,但独立于Tor网络运行。Tor浏览器将继续作为匿名上网的强大选择而存在,而Mulvad浏览器则提供替代的隐私浏览器。
Tor项目提供了一个如何以不同方式打造技术的示例。Mullvad浏览器就是一个很好的例子,它证明了以隐私为核心的技术是可以被数百万人使用的。
通过这种合作关系,Tor项目能够对Tor浏览器进行必要的改进,使两款浏览器和更大的隐私技术生态系统都从中受益。Tor项目团队可以更自由地开发实验性功能,满足Mullvad浏览器alpha频道用户的需求,同时又不影响Tor浏览器严格的匿名标准。
Tor浏览器 在2023年发布的Tor浏览器12.5和13版本的新功能中,一些有益的连锁反应已经显现。Tor项目团队解决了许多遗留问题,并对Tor浏览器的自定义组件进行了可访问性审查。尤其值得注意的是,在过渡到Firefox ESR 115后,Tor浏览器的可访问性得到了改善,同时用户界面的视觉效果也发生了变化,这对于使用屏幕阅读器和其他辅助技术的用户来说,无疑将大大提高浏览器的性能。
2023年全年,Tor项目团队旨在打造成熟的用户体验,推动Tor浏览器在质量和用户UI方面更加走向主流,包括更新的网络显示、.onion网站的新图标、连接体验的改进、应用程序图标的更新、主页功能,以及更大的新窗户。最新版本还删除了与Torbutton相关的遗留代码,这使得Tor代码库更加面向未来,并提供更好的集成和更无缝地过渡到新的Arti实施。
Arti Tor项目团队在2023年用Rust重写Tor的多年项目Arti并完成了反审查支持,提供了功能齐全的桥梁和可插拔传输。团队还对洋葱服务方面做了大量工作,为可用的客户端支持和即将到来的服务器端准备铺平了道路,并与应用程序团队合作探索各种API设计,将Arti打造成Tor浏览器之外各种程序和服务的基础。除了简化可维护性和可扩展性之外,Arti还通过网络团队的众多努力解决了安全和性能问题。
网络团队 2023年,网络团队部署了关键的新功能,以改进Tor网络的防御机制、速度和性能。拥塞控制(Congestion Control)和流量聚合(Conflux)这两项设计旨在通过选择不那么拥塞的中继站和创建多条网络路径来优化流量,目前已经取得了可喜的成果,包括下载速度提高了2倍,以及通过更长时间的连接提供了更稳定的用户体验。
该团队还投入了大量工作来减轻对Tor网络的攻击,并增强对洋葱服务的防御,最终在Tor 0.4.8版本中引入了工作量证明(PoW)防御。这种动态PoW机制优先考虑来自真实用户的流量,从而有效的阻止攻击者使用大规模DoS攻击来发动攻击。
这些根据流量需求动态调整的强大解决方案是用户反馈、赞助项目和志愿者贡献的直接结果。Tor项目团队称要感谢中继运营商社区在功能发布期间升级到0.4.8的快速部署,再次证明Tor网络的优势在于其协作精神,可以满足数百万用户不断增长的需求。
社区工作和外联 但是,要建立一个可信赖的网络,不仅需要不断迭代和改进技术解决方案,还需要在志愿者、中继运营商、盟友、捐助者和赞助商社区中保持这种协作精神。在这一年中,社区团队实施了多项综合计划,强调社区建设、教育和积极主动的倡议,以增强Tor项目的全球影响力。
无论是在月度聚会、活动中的一对一会议、专用聊天频道、Tor论坛还是活跃的邮件列表中,Tor的中继运营者社区都会定期进行交流,目的是介绍想法、促进倡议并建立共识。这种团结对于维护分布式网络的力量和防御恶意行为者非常重要。
作为Tor项目团队深入社区活动的一部分,Tor项目在全球范围内为记者、活动家、人权维护者和律师举办了数字安全和Tor培训。许多在线和线下会议吸引了来自全球多数国家的参与者,并在东非和拉丁美洲组织了地区会议,分享最新信息,解决合作伙伴面临的具体挑战,并利用这些见解推出新功能。
2023年最引人注目的活动是Tor培训学院,聚集了20多名网络安全从业人员,参加为期两天的现场训练营。该学院旨在培训从业人员教授Tor,内容涵盖Tor网络和工具生态系统的细微差别。来自网络干扰开放观察站的特邀演讲者讨论了网络篡改测量问题,而本地化实验室则介绍了他们通过将Tor工具本地化为更多语言,使Tor工具更广泛地使用所做的努力。为此,Tor项目团队还创建了斯瓦希里语、中文和阿拉伯语的本地化视频系列,其中包含有关如何使用Tor浏览器、Bridges和OnionShare的简单易懂的教育内容。
然而,由于有组织或者个人蓄意阻止访问,更多用户仍然被禁止访问Tor网络,无法获得Tor网络提供的隐私和匿名优势。
反审查工作 幸运的是,Tor项目的反审查团队在前几年应对大规模审查事件的过程中学到了很多,测试并发现了现有的抗审查基础设施的弱点。2023年,Tor项目团队投入了大量的时间和精力来改进其中一些系统,扩展和改进Tor工具包中的工具,以便在审查事件发生时能更好地做出反应。
Tor项目团队专注于开发和测试新工具:WebTunnel和Conjure。WebTunnel是一种可插拔的传输方式,它能使流量看起来像与网站的常规安全连接,从而使审查人员很难确定该网站是否也是WebTunnel桥接器。Conjure利用友好的ISP提供商地址空间中大量未使用的IPv6地址。由于这个空间非常大,并且连接地址可能不断变化,因此审查者很难在不对部署ISP托管的真实网站造成重大附带损害的情况下阻止所有潜在的”幽灵“代理。
Tor项目团队在2023年面临的一项重大挑战是协助解决土库曼斯坦的审查制度。这确实挑战了Tor现有反审查工具的极限。他们的许多策略并不像其他地区那样有效,因为土库曼斯坦审查机构毫不犹豫地封锁了整个IP区块。虽然我们能够通过meek和obfs4网桥支持一些用户,但Tor所依赖的一些域名前端提供商将在2024年停止提供服务。
Tor项目团队称,这说明了为什么Tor项目需要不断投资,建立先进的反审查对策,开发新的工具,以便在高度动态和不断变化的审查环境中领先于对手。其掌握的工具越多,就越能有的放矢地采取应对措施,让审查者无所遁形,让数百万用户能够访问自由开放的互联网。
Tor项目团队表示,他们的目标是确保Tor适合所有人。地缘政治冲突和气候灾难使数百万人面临风险,互联网对于人们沟通交流、了解世界各地正在发生的事情、组织、捍卫人权和建立团结至关重要。”暗网下/AWX“将持续保持关注与跟进报道Tor项目在2024年的进步发展。
2022年2月,Tor官方中成立了一个名为”洋葱支持小组“的小团队。它的发起目标很简单,即提高民间团体、人权组织和新闻媒体机构对洋葱服务的采用率。
促使Tor官方创建该小组的原因是,其意识到洋葱服务并未得到充分利用,而且它们的功能在那些促进人权的人中也没有被很好地理解。更重要的是,对于世界各地想要建立自己的洋葱网站的团体,没有足够的支持和指导。
在开放技术基金的支持下,Tor官方已经能够帮助许多组织了解洋葱的世界并建立他们自己的洋葱服务。Tor官方通过为他们部署洋葱服务然后将其移交给他们使用来支持各家组织,但对于具有技术能力的组织,Tor官方为洋葱服务部署提供高级支持。此外,还对团队成员进行了与Tor相关的一切培训,并围绕Tor网络和洋葱服务共同开展了宣传活动。
因此,今天,当人员在Tor浏览器上访问各家组织的网站时,越来越多的组织会出现“.onion available”紫色提示。
使洋葱服务更广泛可用的工具 在上述工作的同时,Tor官方发布了开源工具,以更广泛地支持洋葱服务开发,包括:
Onionprobe,这是一个开源工具,用于监控洋葱服务的状态和正常运行时间,并使服务运营商能够诊断问题:https://gitlab.torproject.org/tpo/onion-services/onionprobe,Debian软件包,Arch Linux软件包 Onion Launchpad,一个可定制的登陆页面,向普通观众解释如何下载Tor浏览器、连接到Tor和访问指定的Onion服务(内容被翻译成超过61种语言):https://gitlab.torproject.org/tpo/onion-services/onion-launchpad Onionmine,一个方便的包装器,用于地址和TLS证书生成:https://gitlab.torproject.org/tpo/onion-services/onionmine。 倡导洋葱服务 Tor官方也一直在利用这段时间反思其团队如何谈论洋葱,以及该如何以理性和负责任的方式促进洋葱服务的使用。Tor官方喜欢用一种方式来框定洋葱服务,即它们是目前最耐审查的技术。从某种意义上说,这在技术上是不真实的,因为只要用户没有访问Tor网络,他们就无法访问任何洋葱服务。但我们所说的抗审查性来自于洋葱地址本身是不可审查的,没有互联网供应商或政府可以检测到与该服务的连接并阻止对它的访问。
此外,当连接到洋葱服务时,可以确保的是,通信是端到端加密的,并且不会在用户活动中记录任何元数据。用户也在为去中心化网络做出贡献,因为要启动洋葱服务,不需要静态IP地址或购买域名;事实上,洋葱地址基本上就是一个公钥。
一个无国界的、与国家无关的空间 Tor官方一直在做一个思想实验,就是把这个洋葱空间想成一个无国界的国家空间。当通过VPN访问一个网站时,你会从位于特定国家的VPN服务器退出,而浏览该网站的体验将根据你从哪个国家访问它而有所不同(即VPN服务器的位置)。当通过Tor访问一个网站时,这取决于出口节点的位置。另一方面,当访问洋葱服务时,您不会从任何地方“退出”,而是会遇到Tor网络内的网站。
以这种方式考虑洋葱服务有积极的一面:
与国家无关的访问意味着可以消除不同司法管辖区提出的风险和压力(类似于VPN提供商和Tor出口节点面临的风险)。 一个无边界互联网类似于一个安静祥和的房间,远离Tor网络和“常规”互联网之外的喧嚣。 最后,与访问常规站点或通过Tor访问站点相比,洋葱服务可最大程度地减少危害。 Tor官方认为与朋友或同事分享.onion地址是一种温和地影响他们仅使用Tor浏览器打开和浏览网站的方式。通过这种方式,可以保证他们不会用普通的浏览器访问,冒着被发现访问敏感内容的风险,并因此而暴露在一系列的威胁之下。
如果某个组织有兴趣了解更多关于洋葱和洋葱支持的信息,请通过这个表格联系Tor官方:https://nc.torproject.net/apps/forms/s/bGswKTbTj8ikYb4oPen9W9ig,同时也可以在The Tor Project论坛上提出问题并展开讨论。
Tor项目是501(c)(3)非营利组织,每年10月、11月和12月,Tor项目都会向其社区寻求资金支持。一般第二年,Tor项目会公布去年的筹款详情。近期,Tor项目在其博客公开了2022年的筹款结果。
2022年的筹款数额 Tor项目称,2022年,慷慨的Tor友们一共筹集了367,674美元来保护在线隐私,其中,1790人首次为Tor做出贡献。无论是一次性捐赠还是承诺每月捐款,他们都非常感谢所有Tor友们来到这里并成为Tor社区的一员。
Tor项目正在进行的工作 通过本地化用户支持、新的网桥和Tor浏览器分发机制以及新的Telegram频道、更好的GetTor支持,以及基于用户研究改进Tor浏览器的用户界面和审查规避工具,帮助用户克服互联网审查。
通过Arti这个用Rust重写Tor的项目,推进让Tor更安全、更灵活的工作。在2023年,我们预计将发布Arti 2.0.0,这是用一个更安全、更容易维护的Rust实现来取代Tor C客户端的下一步。
支持下一代Tor客户端。去年Tor项目与LEAP和Guardian项目合作,一直在为Android开发Tor VPN客户端。这对Tor来说是一个相当大的变化,并且优先考虑的变化。2023年Tor项目预计发布用于内部测试的最小可行产品。
为数百万有需要的人提供在线隐私保护。在捐赠者的支持下,那些无法做出贡献的人可以免费使用Tor。
2022年的筹款数额少于前两年 年度捐款数额2020年376,315美元2021年940,361美元2022年367,674美元 为什么2022年与2021年如此不同?过去几年对每个人来说都是不可预测的。2021年,加密货币捐赠的数量猛增,超出了所有人的预期——2021年筹集的总额中约有60%来自加密货币。但是2022年,由于经济放缓、科技行业大规模裁员、加密货币市场崩溃以及未来的普遍不确定性,因此2022年筹款活动的结果有所下降,也反映了Tor社区此刻所感受到的压力。
在过去的五年中,Tor项目投资于战略筹款活动、财务监督、董事会参与和运营基础设施,使该组织在动荡时期保持弹性。为了应对不可预测的情况,Tor项目在每个筹款计划和预算中都考虑了一定比例的风险。回报是保持强大、稳定和可持续发展,并且已经考虑到被拒绝的申请或经济的低迷。
具体来说,在2022年,Tor项目决定将2021年期间获赠的巨额加密货币礼物视为反常现象,毕竟市场一直在变化,因此他们设定了我们看到的与现实紧密匹配的现实目标。但尽管经济低迷,加密货币市场不断变化,但Tor项目仍处于强势地位。
Tor项目在推特分享了免费壁纸 2023年,Tor项目期待与用户及社区继续合作,为隐私权、言论自由和获取信息的人权而奋斗。Tor项目感谢在年终筹款活动中为Tor做出贡献的所有人,并且为大家的桌面和移动设备准备了免费的Tor壁纸。
OnionShare是一种用于Tor网络的开源文件共享工具,可以使用OnionShare下载免费壁纸:
http://onionshare:dealing-corridor@hqcvwpnlspoxj2yoem5vavskgmy52tiwrilh7wxcgzvoidlxxxbd34qd.onion
也可以使用Tor浏览器/Brave的Tor选项卡直接访问此链接。
非营利组织Tor Project昨天发表新的博客文章,宣布发布适用于Windows(32位和64位)、Mac、Linux和Android的Tor浏览器12.0。12.0版本的主要变化是其底层代码现已更新为Firefox Extended Support Release102.5。
Tor浏览器是Firefox浏览器的一个变体,旨在通过开放的Tor网络访问互联网,通过结合多层加密和使用中继来提高匿名性,使用户更难在线被跟踪。此外,通过默认使用隐私浏览以及其他反跟踪工具,该浏览器的配置考虑到了最大限度的隐私。
Tor浏览器12.0版本的主要更新如下:
一、升级到Firefox最新的扩展支持版本 自7月初Tor的最后一次重大更新(11.5)以来,Firefox 102大版本已经发布了三个小版本,但Tor的开发人员没有匹配每个版本,而是在发布之前花时间仔细检查Firefox代码的所有更新是否与Tor浏览器兼容。他们强调:”任何可能与Tor浏览器严格的隐私和安全原则相冲突的内容都被小心地禁用了“。
二、桌面的多语言环境支持 以前,如果用户想使用非英语语言的桌面版Tor浏览器,需要从Tor官方的下载页面找到并下载一种匹配的语言版本。安装Tor浏览器后切换语言也不是一件容易的事,要么需要将新语言包添加到现有安装中,要么从头开始重新下载Tor浏览器。
Tor浏览器12.0版本为桌面浏览器引入了多语言环境支持,这意味着所有支持的语言现在都包含在一个包中。现在用户无需费力地使用特定语言环境构建的特定版本浏览器或设置语言包,只需通过“设置>通用>语言”即可在语言之间切换。
当然,将所有语言合并到一个包文件中会增加其文件大小,但Tor的开发人员强调,通过在其他地方“节省效率”,使得新版本浏览器大小与以前的版本差异很小。
三、原生Apple Silicon支持 配备最新M1和M2 Apple Silicon芯片的Mac用户将会很高兴地了解到,该应用程序已经效仿Firefox推出了一个本地构建,它与现有的英特尔兼容构建结合在一个软件包中。这意味着 x86-64(即Intel兼容)和 ARM64(即Apple Silicon兼容)构建与运行时自动选择的正确版本捆绑在一起。
四、Android版本的两个更新 新版本Android浏览器已经在Google Play推出,访问“设置>隐私和安全”可以发现Android版本的两个明显变化。
一是默认启用HTTPS-Only模式以提高安全性——这包括对SSL剥离攻击的保护,桌面版本用户自11.5发布以来一直享有这种保护。二是“优先处理 .onion 站点”的选项,启用后,用户将自动重定向到任何配置了Onion-Location的网站的匹配 .onion 站点——帮助在野外发现新的 .onion 站点。尽管桌面版本地址栏中的紫色“.onion avilable”按钮尚未移植,该按钮仍然是桌面版本Tor浏览器所独有的。
其他改进包括tor-launcher(在Tor浏览器中启动tor的工具)和有助于掩盖浏览器指纹的letterboxing。。对后者的改进包括对潜在泄漏和绕过的各种修复,删除全屏视频的1px边框,以及在浏览受信任的网页时禁用该功能的选项。
这次更新还包括一系列常规的小错误修复、安全补丁和其他调整,可以在Tor博客的发布公告中详细阅读。
Tor浏览器12.0现在可以免费、开源下载,适用于Windows64位、Windows32位、Mac和Linux,并且可以通过Google Play商店下载适用于Android的版本。