Gebruikers van Tor-netwerk zijn het doelwit van een aanval geworden die mogelijk 5 maanden lang plaatsvond voordat die werd ontdekt en waarbij waarschijnlijk werd geprobeerd om de identiteit van Tor-gebruikers te achterhalen. Het Tor-netwerk laat gebruikers hun echte IP-adres verbergen.

Ook maakt Tor het mogelijk om bijvoorbeeld gecensureerde websites of sites te bezoeken die alleen via Tor toegankelijk zijn. Het Tor-netwerk bestaat voornamelijk uit vrijwilligers die hun servers, computers en internetverbinding ter beschikking stellen zodat anderen anoniem kunnen internetten. Om de anonimiteit van Tor-gebruikers te beschermen wordt er met verschillende nodes, ook wel relays genoemd, gewerkt.

Het verkeer van een Tor-gebruiker verloopt via drie nodes voordat het naar het internet wordt doorgestuurd. Op 30 januari zijn er verschillende relays aan het Tor-netwerk toegevoegd die waarschijnlijk als doel hadden om Tor-gebruikers te deanonimiseren. Het gaat dan waarschijnlijk om mensen die Tor hidden services beheerden of bezochten. Tor hidden services zijn bijvoorbeeld websites die alleen via het Tor-netwerk toegankelijk zijn. Het kan dan bijvoorbeeld gaan om online marktplaatsen, zoals de uit de lucht gehaalde Silk Road.

Aanval

Bij de aanval werden de Tor protcolheaders aangepast om een zogeheten "traffic confirmation" aanval te doen. Een traffic confirmation-aanval is mogelijk als de aanvaller de relays aan beide kanten van een Tor-circuit beheert of kan bekijken. De aanvaller kan dan de timing van het verkeer, volume en andere eigenschappen vergelijken om te bepalen of de twee relays zich op hetzelfde circuit bevinden. Als de eerste relay in het circuit (de entry guard) het IP-adres van de gebruiker weet, en de laatste relay in het circuit (de exit-node) de bestemming kent die wordt opgevraagd, kan op deze manier de gebruiker worden gedeanonimiseerd.

In dit geval ging het om een actieve aanval waar de relay aan één kant een signaal aan de Tor protocolheaders toevoegde, waarna het signaal door de relay aan de andere kant werd gelezen. De relays werden op 30 januari 2014 aan het Tor-netwerk toegevoegd en op 4 juli verwijderd. Het is echter onbekend wanneer de aanval precies begon. Ontwikkelaars van het Tor Project waarschuwen dat Tor-gebruikers die in deze periode een hidden service beheerden of bezochten mogelijk getroffen zijn.

Hidden services

Het is echter nog niet bekend wat dit precies inhoudt. Het lijkt erop dat het de aanvallers voornamelijk om hidden services was te doen. Het is inmiddels wel bekend dat de aanvallers zochten naar gebruikers die hidden services opvroegen, maar de aanvallers hebben waarschijnlijk niet het verkeer op applicatieniveau kunnen bekijken, zoals de bezochte pagina's of dat gebruikers de opgevraagde hidden service ook daadwerkelijk bezochten. Ook is er waarschijnlijk geprobeerd om de locatie van hidden services te achterhalen.

Veel gegevens ontbreken echter nog. Het Tor Project raadt beheerders van een relay aan om naar Tor 0.2.4.23 of 0.2.5.6-alpha te upgraden, aangezien deze versies het protocol-lek dat de aanvallers gebruikten dichten. Daarnaast krijgen beheerders van een hidden service het advies om de locatie van hun hidden service te veranderen. Het Tor Project heeft daarnaast ook nog andere maatregelen aangekondigd om dit soort aanvallen in de toekomst te voorkomen.