But could a website trick you - e.g. into downloading an executable file that connects to the internet outside of TOR and gives away your ip address?
Tecnicamente? Certo che potrebbe. Sembra che sia . Se ti interessa davvero, devi assicurarti che non ci sia modo per nessuno del tuo traffico di passare attraverso Tor.
Nel 2014 c'è stata una discussione DEF CON che ha approfondito questa questione. È Zoz - Do not Fuck It Up! , disponibile su Youtube. La discussione su Tor inizia a 21 minuti e molte parti di esso sono molto pertinenti alla tua domanda:
- A circa 23 minuti e 30 secondi, un esempio reale di un attacco di correlazione del traffico basato sul traffico di rete locale (in quel caso wireless) ai nodi Tor corrispondenti alla partecipazione ad azioni illegali. Questo tipo di attacco non richiede affatto l'attacco a Tor.
- A circa 24 minuti, la morale della storia della vita reale è non fallire non sicuri con Tor . Se stai facendo qualcosa in cui ti affidi all'anonimato fornito da Tor, rendi certo che se non usi Tor il traffico non può lasciare il tuo computer o la tua LAN. Questo include software diverso dal tuo browser web.
- A circa 27 minuti e 50 secondi, il relatore inizia a discutere degli attacchi di deanonymization di Tor. In conclusione: anche per NSA e GCHQ, almeno nel 2012, non è stato possibile il deanonimetria di Tor su larga scala, ma sono stati possibili casi di casi specifici di deanonimizzazione di Tor (tale reclamo specifico viene reso 28 minuti e 30 secondi in il video).
Tuttavia, rimane la domanda più grande: Perché mai stai scaricando e eseguendo software non affidabile? Questo è il vettore di attacco nel caso che stai descrivendo, e il fatto che lo stai facendo su Tor è in gran parte irrilevante. Non eseguire software non affidabile o aprire documenti non attendibili su un sistema attendibile.
Soprattutto se hai motivo di credere che il governo abbia un interesse per te, sii estremamente attento a ciò che scarichi, installi ed esegui sul tuo sistema. Forza tutto il tuo traffico web per utilizzare HTTPS (Tor non protegge il tuo "traffico di base", né VPN); utilizzare NoScript con una politica restrittiva; o addirittura disattivare Javascript completamente nel tuo browser (ci sono plugin per renderlo facile) se non ne hai assolutamente bisogno. Metti il tuo intero computer dietro un gateway Tor, in modo che non possa comunicare con il mondo esterno senza passare per Tor.