Tijdens het Chaos Computer Club Congres in Berlijn is een aanval gedemonstreerd die het mogelijk maakt om meer inzicht te krijgen in welke websites Tor-gebruikers bezoeken. The Onion Router (Tor) is een populaire tool voor gebruikers die anoniem willen surfen. De aanval zorgt er niet voor dat het surfgedrag van iemand een "open boek" wordt, maar geeft luistervinken wel een goed idee welke websites iemand bezoekt. Daarvoor moet een aanvaller wel toegang tot hetzelfde lokale netwerk hebben, bijvoorbeeld een WiFi-hotspot of een internetprovider die met justitie samenwerkt.

"Ontwikkelaars moeten bewust van dit soort aanvallen zijn en tegenmaatregelen ontwikkelen. Maar dat blijkt erg lastig te zijn", aldus student Dominik Herrmann. Tor gebruikt allerlei nodes om de identiteit van de gebruiker te verbergen. Herrmann ontdekte een probleem met de rankschikking van de nodes. Een aanvaller op hetzelfde netwerk zou een lijst met potentiële interessante sites kunnen opstellen die het doelwit mogelijk zal bezoeken. De aanvaller gebruikt vervolgens zelf Tor om deze sites te bezoeken en kan zo een database met "vingerafdrukken" maken.

Oplossing
Zodra het doelwit online kwam, kon Herrmann de packet stream over het lokale netwerk opnemen en met de database vergelijken. Met de hulp van patroonherkenningssoftware kon de student met zo'n zestig procent zekerheid zeggen welke website het doelwit bezocht. Daarbij is het eenvoudiger om ongewone websites, met bijvoorbeeld grote afbeeldingen, te identificeren.

Om luistervinken te dwarsbomen zouden websites zich zoveel mogelijk moeten laten lijken op veel bezochte websites, zoals bijvoorbeeld Google. Gebruikers kunnen zich tegen dit soort aanvallen beschermen door meerdere sites tegelijkertijd op te vragen.