Wetenschappers van Georgetown University en het US Naval Research Laboratory simuleerden netwerkpaden van het Tor-netwerk om te zien hoe snel je door een knooppunt te beheren de identiteit van Tor-gebruikers achterhaalt. Dit onderzoek wordt in november in Berlijn gepresenteerd tijdens computerbeveiligingscongres CCS.

De onderzoekers (PDF) konden de identiteit van gebruikers met grote zekerheid binnen een half jaar vaststellen, maar een organisatie met meer resources kan die tijd fors verkorten. Een aanvallende partij die bij twee internet exchanges kan, acherhaalt de identiteit van Tor-gebruikers zelfs binnen één dag.

BitTorrent-gebruikers kwetsbaarder

Het onderzoek gaat uit van onder meer een aanvaller die een Tor-knooppunt beheert. Die moet minimaal twee verschillende relays draaien, omdat een Tor-verbinding nooit twee keer gebruikmaakt van hetzelfde punt. Gebruikers van BitTorrent worden sneller gevonden, omdat de client meerdere streams aanspreekt en daardoor sneller punten gebruikt die worden gemonitord.

“Deze resultaten tonen aan dat Tor blootgesteld is aan een groter risico van de correlatie van verkeerpatronen dan waar eerder onderzoek vanuit ging”, staat te lezen in het rapport. “Een aanvaller die niet meer bandbreedte aanbiedt dan sommige vrijwilligers nu doen kunnen een willekeurige gebruiker binnen met een zekerheid van 50 procent drie maanden achterhaald worden en binnen zes maanden met 80 procent zekerheid.”

Meer resources = sneller achterhaald

Eerder onderzoek naar het achterhalen van Tor-gebruikers ziet volgens het rapport één ding over het hoofd en dat is dat een gevaarlijke aanvaller de controle heeft over meerdere ISP’s en internet-exchanges. Met het gebruik van dergelijke capaciteit is de anonimiteit van gebruikers niet te garanderen.

“Een aanvaller die twee internet exchanges beheert in plaats van één, vermindert de deanonimisatie van een client met een factor tien: van meer dan drie maanden tot één dag voor een gemiddelde internetgebruiker.” De onderzoekers denken dat zo’n scenario verre van ondenkbaar is. “Zo’n aanvaller is erg relevant in de huidige opstelling, waarin grote organisaties meerdere netwerksystemen (zoals ISP’s, red.) of internet exchanges beheren.”

Anonieme gebruikers gevolgd

Dat overheden geïnteresseerd zijn in Tor-gebruikers bleek vorige maand toen de FBI een beheerder van een hidden server oppakte voor het verspreiden van kinderporno. Daarvoor had de overheidsdienst malware ingezet die de identiteit van Tor-gebruikers achterhaalde door een lek in de gebundelde browser.

Tor wordt gebruikt als anoniem netwerk door journalisten en dissidenten, maar ook door handelaren in illegaal materiaal. Het gebruik ervan is sinds kort verdubbeld. De suggestie dat dit het gevolg zou zijn van een Tor-botnet wordt door de makers van de hand gedaan; die zien een stijging van het daadwerkelijke aantal clients.

Klik voor groot