Si, me refiero a privacidad.
Primero lei acerca de Tor que permite anonimizarte rebotandote por varios nodos, pero que es vulnerable en el nodo de salida, ya que se pueden capturar en el informacion al no ir cifrada.
Tambien he visto que recomienda una VPN, pero no se si eso añade el cifrado a la red Tor, y a la mayoria de mortales nos resulta practicamente imposible acceder a esos datos. (Con excepcion claro esta, de policia, gobiernos y demas....)
Que opinais?
El nodo de salida es el encargado de retirar la última capa de cifrado, pero si la consulta que estás realizando es sobre un servicio SSL (google via HTTPS), entonces el atacante verá que te comunicas con google, pero no sabrá que información estás enviando. Pero no todo acaba aquí, podrías hacer SSL Stripping y redireccionar el tráfico HTTPS a HTTP y ver los datos en plano. También podrías presentar un certificado falso expedido por una CA de confianza, así el navegador se la come o bien el usuario lo acepta.
Ando investigando a fondo la red TOR y la seguridad en los navegadores. El resultado, ALARMANTE...
En cuanto la VPN, de esta forma tu ISP (timofonica, orange..) no sabrá que te estás conectando a TOR, por lo que si hay una operación anti-terrorista en contra de ti, será díficil que tu ISP detecte el tráfico hacia tor, por lo que no podrá registrar las veces que te conectas a tor.
P.D= En cuanto a la seguridad de los exit node, cabe destacar que tor incluye procedimientos para detectar exit nodes que intentan interceptar los datos de las conexiones, lo malo es que no aseguran que sea 100% seguro ya que en cualquier segundo puede surgir un nuevo nodo de salida falso y no darse cuenta al momento
Añado info sobre el tema en cuestión:
Como no existe un registro de qué certificados han sido emitidos por cada CA, no es fácil detectar qué casos se han filtrado de manera fraudulenta o qué certificados refieren a un nombre igual o muy parecido al de otra entidad. Para evitar este tipo de problemas, Google ha lanzado la iniciativa certificate transparency, que registra todos los certificados emitidos por las CA a través de unos ficheros de auditoría criptográficamente infalsificables, lo que puede ayudar a combatir el phishing.
Saludos!