Onderzoekers hebben begin dit jaar meer dan 100 malafide servers op het Tor-netwerk ontdekt die verborgen Tor-sites probeerden te vinden en zelfs aanvielen. Dat laten twee onderzoekers van de Amerikaanse Northeastern University in een onderzoeksrapport weten.

Het onderzoek van Amirali Sanatinia en Guevara Noubir wordt later deze maand tijdens de Security&Privacy Week 2016 in het Duitse Darmstadt gepresenteerd. Het onderzoeksrapport (pdf) van de onderzoekers is echter al wel online verschenen. Voor hun onderzoek keken de onderzoekers naar Hidden Service Directories (HSDirs). Via deze servers kunnen Tor-gebruikers Tor-websites bezoeken. Dit zijn websites die alleen via het Tor-netwerk toegankelijk zijn en waarvan het adres niet altijd openbaar is. Deze verborgen Tor-sites uploaden hun 'descriptor' naar de HSDirs. Tor-gebruikers maken verbinding met de HSDir en halen daar de descriptor op zodat ze vervolgens met de Tor-site verbinding kunnen maken.

In totaal zijn er volgens de onderzoekers en cijfers van het Tor Project zo'n 3.000 HSDirs. Deze servers horen de adressen van de verborgen Tor-sites niet op te slaan. Het komt echter voor dat sommige partijen opzettelijk de HSDir aanpassen zodat die wel alle bezochte websites opslaat. De onderzoekers plaatsten honeypots in het Tor-netwerk genaamd 'HOnions' om dergelijke malafide HSDirs te vinden. Tijdens een periode van 72 dagen werden er door de onderzoekers 110 ontdekt. De partijen achter deze servers zouden zo het adres van de verborgen Tor-websites kunnen achterhalen.

De partijen in kwestie probeerden niet alleen het adres te achterhalen, maar vielen in bepaalde gevallen de Tor-sites ook actief aan via sql-injectie, cross-site scripting en brute force-aanvallen. Een deel van de malafide HSDirs werd bij clouddiensten gehost, wat het lastig maakte om kwaadaardige Tor-servers te vinden. Daarnaast accepteren verschillende cloudaanbieders bitcoin, waardoor de partijen achter de malafide Tor-servers lastiger zijn te identificeren.