Tor-gebruikers die het netwerk helpen te beheren moeten er rekening mee houden dat ze een hidden service van het anonimiseringsnetwerk niet draaien op dezelfde Tor-router, een verbindend knooppunt binnen het Tor-netwerk. De routeringsinformatie is openbaar en kan eenvoudig worden gecombineerd met gegevens van de hidden service.

Uptime vergelijken

Het beveiligingsblog CyberSmashup wijst op een issue met Tor-anonimiteit dat vrij logisch is, maar desondanks niet algemeen bekend is. Het gaat hierbij om Tor-gebruikers die een hidden service draaien, zoals een Tor-dienst voor de privacybewakende zoekmachine DuckDuckGo, ondergrondse marktplaats Silk Road of e-maildienst Tor Mail.

De uptime van de Tor-router, komt vrijwel een-op-een overeen met de uptime van de hidden service als deze op een eigen beheerd knooppunt draait. Het is daarom erg makkelijk voor iemand die Tor-netwerk monitort om aan de hand van pieken en dalen in hidden service te bepalen welk publiek bekende knooppunt daaraan hangt.

Probleem in het wild

Een anonieme beveiligingsonderzoeker wilde weten of dit alleen een theoretisch issue is of in de praktijk daadwerkelijk problemen geeft. Daarom begon de onderzoeker zelf de uptime van een lijst van hidden services te monitoren en deze resultaten werden gecombineerd met publiek beschikbare gegevens over de voor Tor ingezette verbindingspunten.

Uit de vergelijking van 70 dagen kon hij door correlerende downtime-momenten van de totaal 360 gemonitorde hidden services bij 15 á 20 met enige zekerheid vaststellen wie de eigenaar is van de server. De blogpost tekent daarbij aan dat het probleem minder groot is dan het op het eerste gezicht lijkt, maar dat dit wel degelijk een issue is waar Tor-gebruikers rekening mee moeten houden.

Advies in hoofdletters

“In alle documentatie die ik heb gelezen over het Tor-netwerk ben ik nooit een advies tegengekomen om een Tor-router als een hidden service niet tegelijk te draaien”, schrijft de deskundige, die het advies wel is tegengekomen voor het onderzoek begon. “Maar deze waarschuwing zou in vette hoofdletters moeten verschijnen en niet weggestopt zijn in een hoekje van een website.”

Beveiligingsgoeroe HD Moore van Rapid7 tweet over deze simpele opsporingsmethode.