Dat het mogelijk is om Tor-gebruikers te deanonimiseren is al meerdere malen gebleken, maar twee onderzoekers wilden volgende maand presenteren dat het makkelijk kan en zelfs met een beperkt budget mogelijk is. De meeste methodes draaien om het gebruik van bijvoorbeeld een zeroday in een plug-in of het monitoren van nodes binnen het netwerk. Voor zulke operaties heb je nogal wat resources nodig.

Waarom censuur?

De onderzoekers van de Carnegie Mellon University hadden een demonstratie gepland op beveiligingscongres Black Hat over hoe het goedkoper kan, maar die is nu van de baan. Het verzoek om de presentatie op te schorten kwam van de universiteit, omdat het Software Engineering Institute (bekend van CERT) geen toestemming heeft gegeven voor publicatie.

Er wordt in securitykringen druk gespeculeerd over wie er nou precies achter het censureren van het praatje zit en waarom eigenlijk. (Roger Dingeldine van Tor heeft in ieder geval al officieel laten weten niets met de zaak te maken te hebben.)

Maar nog veel verontrustender is dat het blijkbaar mogelijk is om op een goedkope manier Tor-gebruikers in kaart te brengen en dat we nu niet zullen weten hoe dat gaat en hoe we ons daar tegen kunnen beschermen. Gaat het om een kwetsbaarheid, een monitoringssysteem of iets heel nieuws?