Wetenschappers hebben twee manieren gevonden om hidden services op het Tor-netwerk, alsmede hun gebruikers, te identificeren, maar volgens het Tor Project valt de impact van de aanvallen mee. Hidden services zijn bijvoorbeeld websites die op het Tor-netwerk kunnen worden gehost. Het adres van de website is in principe alleen bij de beheerder bekend en de website zelf kan alleen via het Tor-netwerk worden bezocht.

De bekende marktplaats Silk Road was een voorbeeld van een hidden service. Volgens wetenschappers van MIT en het Qatar Computing Research Institute (QCRI) is er een kwetsbaarheid (pdf) in het ontwerp van Tor aanwezig, waardoor kan worden vastgesteld dat een Tor-gebruiker van een hidden service gebruik maakt. Hidden services zelf zouden met een nauwkeurigheid van 88% kunnen worden geïdentificeerd en met een zelfde percentage zou kunnen worden vastgesteld welke websites een gebruiker heeft bezocht.

Tor-netwerk

Het Tor-netwerk bestaat uit verschillende nodes, ook wel relays genoemd, waarover het verkeer loopt. Het gaat in dit geval om servers die het verzoek van de gebruiker om bijvoorbeeld een website via het Tor-netwerk op te vragen doorsturen. Zo is de eerste node de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze node naar de "exit-node", die het verzoek naar het internet stuurt. Een aanvaller of inlichtingendienst kan één of meerdere servers aan het Tor-netwerk toevoegen. De aanvallende partij kan echter niet bepalen welke node de gebruiker gaat gebruiken.

Volgens Tor-ontwikkelaar Roger Dingledine bestaat de aanval van de wetenschappers uit drie fases, zo laat hij in een blogposting weten. Tijdens de eerste fase moet de aanvaller het geluk hebben dat zijn server als entry guard wordt gebruikt door de gebruiker die hij op het oog heeft. Tijdens de tweede fase laadt de gebruiker een website via het Tor-netwerk en gebruiken de onderzoekers een classifier om te raden of het gaat om een website op het Tor-netwerk zelf of op het "gewone" internet.

Vervolgens wordt er een tweede classifier gebruikt om te bepalen welke Tor-website het was. Volgens Dingledine is het de vraag in hoeverre de classifier die de onderzoekers gebruiken om websites te identificeren nauwkeurig is. Voor het onderzoek werd van duizend websites uitgegaan, maar volgens eerder onderzoek zouden er miljoenen websites op het Tor-netwerk worden gehost. In dit geval zouden de onderzoekers in de meeste gevallen de identiteit van een website niet weten vast te stellen.

Daarnaast zijn er ook maatregelen die het Tor-netwerk kan nemen die het lastiger voor een aanvaller maken om te bepalen of een doelwit met een Tor-website verbinding maakt of niet. Al met al is Dingledine blij met het onderzoek, omdat het een aantal interessante vragen oproept, maar zou de impact van de beschreven aanvallen in het echt meevallen.