التخطي إلى المحتوى الرئيسي

ما هو متصفح تور؟ TOR

كتبت هذه الإجابة لموقع كورا العربي..

متصفح تور، هو مشروع مفتوح المصدر، مشتق من فايرفوكس، ويعمل على شبكة بتقنية تسمى (The Onion Routing) TOR، وهي شبكة تواصل عبر الانترنت تأسست في البدء لأغراض عسكرية، ثم أصبحت الشبكة تستخدم من عامة الناس بغرض السرية والخصوصية.

فكرة العمل

الفكرة من شبكة تور، هو تفادي وجود نقطة ضعف وحيدة في الاتصال، بمعنى، أنك أثناء الاتصال العادي بانترنت، تكون نقطة ضعفك هي مقدم الخدمة، فهو يستطيع معرفة الكثير عنك أثناء تصفحك، لماذا؟..طبعاً لأن كل اتصالاتك تمر من خلاله ولا مفر من ذلك، فعند طلبك لموقع كورا، مثلاً، يطلب المتصفح (العادي) من خلال مقدم الخدمة أولاً عنوان الآيبي المرتبط بعنوان http://quora.com، وهكذا يستطيع القائم على تقديم الخدمة لك أن يتتبع اتصالك وان يراقب كثيراً من البيانات..كذلك في حالة شبكات VPN، فمن غير الأكيد أن مقدم خدمة VPN لا يسجل اتصالاتك ووجهتها أثناء استخدامك للخدمة؟

هذه ليست الحال في شبكة تور، في شبكة تور، تطلب مبدئياً انشاء دائرة من نقاط التحويل، تتكون عادة من 3 سيرفرات عشوائية مختلفة يديرها متطوعين من مختلف بقاع الأرض، وهذه النقاط تقسم كالتالي:

  1. نقطة الدخول Entry Node
  2. نقطة، أو نقاط وسيطة Middle Node(S)
  3. نقطة الخروج Exit Node

بعد تشكل الدائرة، يحصل جهازك على ثلاثة مفاتيح تشفير، بعدد النقاط في الدائرة..ويقوم بانشاء اتصال مشفر بنقطة الدخول، بمعنى، أن كل طلب صادر عن جهازك الآن هو مشفر ثلاث مرات بالمفاتيح الخاصة بالنقاط الثلاثة، لا يمكن قراءته الآن من قبل متجسس على شبكتك الداخلية مثلا، ولا من قبل مقدم خدمة الانترنت نفسه، لكن ماذا سيحدث هناك؟..

في نقطة الدخول، يتم فك تشفير الاشارة مرة واحدة، يمكن أن تقول، أنك إذا كنت قد وضعت ثلاثة اقفال على حزمة البيانات الصادرة منك، فنقطة الدخول ستفتح القفل الأول، ثم تمرر الحزمة إلى النقطة الوسيطة..

لاحظ الآن، أن كل ما لدى نقطة الدخول من معلومات، هي مصدر الاشارة، أي انت، والنقطة الوسيطة، نقطة الدخول لا تعرف إلى أين تتجه حزمتك أبعد من ذلك، لا تعرف أيضاً محتوى الحزمة..

نحن الآن في النقطة الوسيطة: والنقطة الوسيطة ستفك التشفير بالمفتاح الثاني، لتمرر إلى نقطة الخروج..الآن صار لدينا رسالة مشفرة بمفتاح واحد..

هل تلاحظ هذه الطبقات؟..لهذا سميت الشبكة The Onion Router، التوجيه البصلي، إذ يتكون من طبقات بعضها فوق بعض.

طيب ماذا يحدث في نقطة الخروج؟ تقوم نقطة الخروج بفك تشفير الحزمة وارسالها إلى المستقبل النهائي، نقطة الخروج لا تعرفك، هي فقط تعرف النقطة الوسيطة التي مررت إليها الحزمة المشفرة، تعرف مفتاح فك التشفير النهائي وبالتالي تعرف محتويات الحزمة وإلى أين تذهب..

طيب نقطة الخروج هنا تعرف الكثير؟ أليست هذه نقطة ضعف؟

نعم ولا، صحيح أن نقطة الخروج ترى محتويات الرسالة، لكنها لا تعرف مرسلها على أي حال، وهذا الوضع أفضل بكثير من التعامل مع بروكسي مثلا أو VPN، أو انترنت مفتوح، حيث يعرف مقدمي هذه الخدمات شخصيتك كما يعرفون وجهة رسائلك بالضرورة، الشئ الآخر هو:

عند استعمالك لبروتوكول https فإن الرسالة النهائية أيضاً مشفرة، بالتالي، فالرسالة التي توجهها نقطة الخروج لو انها موجهة إلى سيرفر يستخدم https، فالتشفير النهائي لن يفتح إلا عند المستقبل، وبذلك يكون اتصالك مشفرا تماماً، لاحظ أن حتى السيرفر المتلقي للرسالة، ليست لديه فكرة عن عنوان الآيبي الخاص بك أو هوية المرسل، لأنه لا يرى إلا نقطة الخروج وحسب!

طيب هل من مشاكل تضعف هذا النظام؟

نعم بالطبع، أشهر هذه المشاكل هي عملية "التحليل الزمني" والفكرة فيها كالتالي:

إذا أردنا أن نعرف مصدر اشارة وصلت إلى سيرفر معين من خلال تور، هل يمكننا أن نراقب كل الاشارات الداخلة إلى شبكة تور من نقاط دخول مختلفة، ونحلل توقيت دخول الحزم لكل اتصال، ونراقب نمط خروج الحزم إلى السيرفر الخاص بنا؟..بذلك نتوصل إلى مصدر الاشارة، بالطبع عملية كهذه تحتاج إلى قدرات الدولة أو ربما تعاون دولي، لكنها ممكنة على اي حال..لذلك تجد أن جزءاً كبيراً من المتطوعين لتقديم خدمات نقاط الدخول هم في الواقع جهات حكومية أو استخباراتية، يعني كالأب الذي يقول لابنه "دخن أمامي أحسن من وراي"..

هناك طرق أخرى متبعة ايضاً لخداع مستخدم النظام وجعله يصدر بعض الطلبات من خارج تور، وبهذا ينكشف غطاءه..

بالنهاية إليك شرح بالفيديو لأحد علماء الحوسبة من جامعة نوتنجهام:



تعليقات

المشاركات الشائعة من هذه المدونة

كيف تضع المتغيرات في جملة SQL داخل البرنامج؟

من الأخطاء التي تبدو لي شائعة هي كيفية تكوين جمل SQL داخل البرامج، أصادف سطورا يكتبها بعض المبرمجين كالتالي:

"select * from users where UPPER(uname)= UPPER('".$uname."')"
هذه الطريقة في ادخال القيم إلى جملة SQL هي طريقة خطرة للغاية، فهي أولا تعيق عمل البرنامج عند ادخال أحرف معينة (أحد من عرفتهم حل المشكلة باخبار المستخدم بأن ادخال هذه الحروف ممنوع!)، وثانيا، وهو الأهم: أنها تترك قاعدة بياناتك عرضة للاختراق، أو التدمير، إذ يمكن للمخترق، وبمجرد اكتشافه للثغرة أن يقوم باغلاق جملة SQL الخاصة بك واضافة جملة جديدة كما يشاء، افترض مثلا أن قيمة المتغير uname (المدخلة بواسطة المستخدم) كالتالي:
');DROP TABLE users; -- في تلك الحالة تصبح جملة SQL الكاملة المنفذة بواسطة البرنامج هي: "select * from users where UPPER(uname)= UPPER('');DROP TABLE users; --')"
وبالطبع، تكون النتيجة هي محو بيانات المستخدمين "إن كان البرنامج يملك صلاحية تنفيذ الأمر".
تسمى هذه الطريقة SQL Injection وهي دائما فعالة مع البرامج المكتوبة بهذه الطريقة، فكتابة الك…

أوراكل وتحديد عدد الصفوف الناتجة

لم أعتد العمل على ORACLE، كانت قاعدة البيانات التي أستخدمها عادة هي mysql، لكن في وظيفتي الجديدة كان علي أن أعمل على جلب البيانات لبرنامجي من قاعدة أوراكل، كانت المشكلة هي في تحديد عدد الصفوف الناتجة عن عملية البحث، وهي ما يفترض بها أن تتم ببساطة عن طريق كلمة limit في نهاية جملة SQL.

إلا أنها لم تعمل اطلاقا، بقليل من البحث (ومساعدة من مدير قواعد البيانات) وجدت التالي:
في أوراكل تجعل جملتك بالكامل جملة فرعية داخل الجملة الأكبر التي تقوم بالتحديد، خذ باعتبارك أن كل صف في أوراكل يسبقه حقل ROWNUM المشير لرقم الحقل، قم بتضمينه في الجدول وأعطه اسما بديلا لتتمكن من التعاطي معه في جملة التحديد الخارجية.

مثلا، إذا كانت جملتك هي:
SELECT f1,f2,f3 FROM my_table
عليك أولا أن تقوم باضافة حقل يحمل أرقام الصفوف كالتالي: SELECT ROWNUM rn, f1, f2, f3 FROM my_tableالآن صارت الجملة السابقة جدولا يمكنك وضعه كجملة فرعية في جملة تحديد أكبر، كالتالي: SELECT * FROM (SELECT ROWNUM rn, f1, f2, f3 FROM my_table) WHERE rn BETWEEN :Min AND :Max وهذه الطريقة ليست الأسرع وإن كانت الأوضح منطقيا في كتابتها، بهذه الطري…