Choć dokładamy wszelkich starań, aby zaoferować ci dobre narzędzia do ochrony prywatności podczas używania komputera, to nie istnieje żane magiczne, idealne rozwiązanie dla tak skomplikowanego problemu. Dobre zrozumienie ograniczeń takich narzędzi jest kluczowe do po pierwsze zdecydowania, czy Tails jest dla ciebie, a po drugie – jak dobrze go używać.

Tails does not protect against compromised hardware

Jeśli komputer został złamany przez kogoś z fizycznym dostępem do niego i kogoś, kto zainstalował na nim niebezpieczny hardware (np. keyloggera), to używanie Tails może nie być bezpieczne.

Tails can be compromised if installed or plugged in untrusted systems

Gdy uruchamiasz Tails na komputerze, to nie może on zostać złamany przez wirusa jak twój standardowy system, jednak:

  • Tails powinien być instalowany z zaufanego systemu. W innym wypadku może zostać uszkodzony podczas instalacji.

  • Podłączenie pamięci USB zawierającej Tails do złamanego systemu operacyjnego może uszkodzić twoją instalację Tails i zniszczyć ochronę, jaką Tails gwarantuje. Używaj pamięci USB z Tails tylko i wyłącznie do uruchamiania Tails.

See the corresponding FAQ.

Tails does not protect against BIOS or firmware attacks

Tails nie jest również w stanie ochronić cię przed atakami wykonanymi za pośrednictwem BIOS-u lub innego firmware'u dołaczonego do twojego komputera. Nie są one zarządzane lub dodawane bezpośrednio przez system operacyjny i żaden system nie może chronić przed takimi atakami.

Zobacz na przykład ten atak na BIOS autorstwa LegbaCore.

Tor exit nodes can eavesdrop on communications

Tor ukrywa twoją lokalizację, nie służy do szyfrowania komunikacji.

Zamiast łączyć się bezpośrednio ze źródła do celu, komunikacja wykonywana przez sieć Tor wykorzystuje losową ścieżkę poprzez różne przekaźniki Tora, które zacierają twoje ślady. W związku z tym żaden obserwator na żadnym etapie nie może powiedzieć skąd pochodzą dane i dokąd zmierzają.

Połączenie wykonywane przez Tora zazwyczaj przechodzi przez 3 przekaźniki, gdzie ostatni nazwiązuje właściwe połączenie z jego ostatecznym celem

The last relay on this circuit, called the exit node, is the one that establishes the actual connection to the destination server. As Tor does not, and by design cannot, encrypt the traffic between an exit node and the destination server, any exit node is in a position to capture any traffic passing through it. See Tor FAQ: Can exit nodes eavesdrop on communications?.

Na przykład w 2007 roku tester bezpieczeństwa przechwycił tysiące poufnych e-maili wysyłanych przez obce ambasady i grupy działające na rzecz praw człowieka z całego świata poprzez szpiegowanie połączeń wychodzących z węzła końcowego, który uruchamiał. Zobacz Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise.

Aby chronić się przed takimi atakami powinieneś używać szyfrowania „end-to-end”.

Tails zawiera wiele narzędzi pomagających ci używać silnego szyfrowania podczas przeglądania internetu, wysyłania e-maili lub czatów na żywo, jak opisano to na stronie „O Tails”.

Tails makes it clear that you are using Tor and probably Tails

Twój dostawca usług internetowych (ISP) lub lokalny administrator sieci może zobaczyć, że łączysz się z przekaźnikiem Tora a nie normalnym serwerem sieciowym. Używając mostków Tora w określonych warunkach możesz spróbować ukryć fakt używania przez ciebie Tora.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Tak więc używanie Tails nie sprawia, że wyglądasz jak dowolny losowy użytkownik internetu. Anonimowość dostarczana przez Tora i Tails działa poprzez sprawianie, że wszyscy ich użytkownicy wyglądają tak samo, więc nie da się zidentyfikować kto jest kim pośród nich.

Zobacz także „Czy mogę ukryć fakt używania Tails?

Man-in-the-middle attacks

Atak typu „man-in-the-middle” (MitM) jest formą aktywnego podsłuchiwania, w którym to atakujący nawiązuje niezależne połączenia pomiędzy ofiarami i przekazuje wiadomości pomiędzy nimi, przez co wierzą, że rozmawiają ze sobą bezpośrednio przez prywatne połączenie, podczas gdy cała konwersacja jest tak naprawdę kontrolowana przez atakującego.

Atakujący w przypadku MitM manipuluje komunikacją wymienianą przez nieświadome niczego ofiary

Ataki man-in-the middle wciąż mogą mieć miejsce pomiędzy węzłem wyjściowym a serwerem docelowym, gdy używasz Tora. Sam węzeł wyjściowy może zachowywać się jak „man-in-the-middle”. Przykład takiego ataku znajdziesz w MW-Blog: Węzeł wyjściowy Tora przeprowadza ataki MITM.

Znowu, aby chronić się przed takimi atakami powinno się używać szyfrowania end-to-end i przykadać szczególną uwagę do weryfikowania autentyczności serwera.

Zazwyczaj dzieje się to automatycznie poprzez certyfikaty SSL sprawdzane przez twoją przeglądarę pod kątem podanego zestawu rozpoznawanych urzędów certyfikacji). Jeśi otrzymasz ostrzeżenie jak poniższe, może to oznaczać że jesteś ofiarą ataku man-in-the-middle i nie powinieneś omijać go bez posiadania innej, zaufanej metody sprawdzenia podpisu certyfikatu z administratorami usługi.

To połączenie nie jest zaufane

But on top of that the certificate authorities model of trust on the Internet is susceptible to various methods of compromise.

For example, on March 15, 2011, Comodo, one of the major SSL certificates authorities, reported that a user account with an affiliate registration authority had been compromised. It was then used to create a new user account that issued nine certificate signing requests for seven domains: mail.google.com, login.live.com, www.google.com, login.yahoo.com (three certificates), login.skype.com, addons.mozilla.org, and global trustee. See Comodo: The Recent RA Compromise.

Later in 2011, DigiNotar, a Dutch SSL certificate company, incorrectly issued certificates to a malicious party or parties. Later on, it came to light that they were apparently compromised months before, perhaps as far back as May of 2009, or even earlier. Rogue certificates were issued for domains such as google.com, mozilla.org, torproject.org, login.yahoo.com and many more. See The Tor Project: The DigiNotar Debacle, and what you should do about it.

This still leaves open the possibility of a man-in-the-middle attack even when your browser is trusting an HTTPS connection.

On one hand, by providing anonymity, Tor makes it more difficult to perform a man-in-the-middle attack targeted at one specific person with the blessing of a rogue SSL certificate. But on the other end, Tor makes it easier for people or organizations running exit nodes to perform large scale MitM attempts, or attacks targeted at a specific server, and especially those among its users who happen to use Tor.

Quoted from Wikipedia: Man-in-the-middle attack, Wikipedia: Comodo Group#Certificate hacking and Tor Project: Detecting Certificate Authority compromises and web browser collusion.

End-to-end correlation attacks

Tor is designed for low-latency communications: the time for a request to go from your computer to the destination server and back is generally less than 1 second. Such a low latency makes it possible to use Tor for web browsing and instant messaging.

As a consequence of Tor being designed for low-latency communications, an attacker could in theory correlate the timing and shape of the traffic entering and exiting the Tor network to deanonymize Tor users. Such attacks are called end-to-end correlation attacks, because they require observing both ends of a Tor circuit at the same time.

For example, an ISP and a website could potentially collaborate to deanonymize a Tor user by observing that the same particular network traffic pattern enters the Tor network at the ISP and then reaches the website shortly afterward.

End-to-end correlation attacks have been studied in many research papers but we are not aware of any actual use to deanonymize Tor users. In the past, law enforcement agencies preferred exploiting vulnerabilities in Tor Browser and Tails to deanonymize users instead of performing end-to-end correlation attacks.

Tails protects better than Tor Browser from such software vulnerabilities but does not protect better from end-to-end correlation attacks.

See also:

Tails doesn't encrypt your documents by default

The documents that you might save on storage devices are not encrypted by default, except in the Persistent Storage, which is entirely encrypted. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you might create will contain evidence that they were created using Tails.

If you need to access the local hard-disks of the computer you are using, be conscious that you might then leave traces of your activities with Tails on it.

Tails doesn't clear the metadata of your documents for you and doesn't encrypt the Subject: and other headers of your encrypted email messages

Numerous files formats store hidden data or metadata inside of the files. Word processing or PDF files could store the name of the author, the date and time of creation of the file, and sometimes even parts of the editing history of the file, depending on the file format and the software used.

Please note also, that the Subject: as well as the rest of the header lines of your OpenPGP encrypted email messages are not encrypted. This is not a bug of Tails or the OpenPGP protocol; it's due to backwards compatibility with the original SMTP protocol. Unfortunately no RFC standard exists yet for Subject: line encryption.

Image file formats, like TIFF of JPEG, probably take the prize for most hidden data. These files, created by digital cameras or mobile phones, contain a metadata format called EXIF which can include the date, time and sometimes the GPS coordinates when the picture was taken, the brand and serial number of the device which took it, as well as a thumbnail of the original image. Image processing software tends to keep this metadata intact. The internet is full of cropped or blurred images in which the included EXIF thumbnail still shows the original picture.

Tails doesn't clear the metadata of your files for you. Yet. Still it's in Tails' design goal to help you do that. For example, Tails already comes with the Metadata anonymisation toolkit.

Use Tails sessions for one purpose at a time

For example, don't use the same Tails session to both check your work email and anonymously publish a document. That is, unless you're OK with an adversary being able to correlate those tasks.

Adversaries could relate different tasks done in a Tails session by:

  • Analyzing your Tor circuits

    Tails and the Tor Browser naturally connect to different websites via different circuits in the Tor network. But if you connect to the same website several times in one session, like logging into two accounts on the same social media website, Tails and the Tor Browser use the same circuit. This website could then link those activities by noting that they come from the same Tor circuit.

    To ensure you use new Tor circuits for Internet traffic:

    • If you only use the Tor Browser to connect to the Internet, you can click its New Identity button to create a new circuit.
    • If you use multiple applications, you can restart Tails.

    For more about how Tor does or does not preserve anonymity, see the Tor Project's support pages.

  • Gaining access to your Persistent Storage

    You can prevent the information in your Persistent Storage from being linked to other activities by switching between several USB sticks that run Tails. That way the Persistent Storage of, say, your activist email in Thunderbird can be kept separate from your use of Tails for work.

    We also recommend this step if you worry about someone gaining physical access to your computer or USB sticks. This is particularly a concern if you have to use Tails on an insecure or public computer, because Tails can't protect against compromised hardware.

Tails doesn't make your crappy passwords stronger

Tor allows you to be anonymous online; Tails allows you to leave no trace on the computer you're using. But again, neither or both are magic spells for computer security.

If you use weak passwords, they can be guessed by brute-force attacks with or without Tails in the same way. To know if your passwords are weak and learn good practices to create better password, you can read Wikipedia: Weak Passwords.

Tails is a work in progress

Tails, as well as all the software it includes, are continuously being developed and may contain programming errors or security holes.