Het netwerk Tor stond de laatste tijd behoorlijk in de belangstelling. Ongeveer twee weken geleden verdubbelde plotseling het aantal gebruikers van het anonieme netwerk. Niemand weet waarom. Misschien komt de plotselinge spike doordat mensen de nieuwe op Tor gebaseerde browser van The Pirate Bay zijn gaan gebruiken. Misschien is het een resultaat van de recente webcensuur van de Russische regering. Ook zou het kunnen dat steeds meer mensen zich ongemakkelijk voelen bij het idee dat de Amerikaanse overheid de hele tijd kwijlend over je schouder meekijkt.
Jammer dan. Want volgens een onderzoek door de IT-wetenschappers van de US Naval Research Laboratory en Georgetown University in Washington DC is Tor dus helemaal niet zo anoniem als je denkt. Sterker nog, het blijkt totaal niet moeilijk te zijn om het grootste deel van de gebruikers te achterhalen als je als hacker bereid bent om de tijd en de moeite erin te steken, schrijft ook the Register. Die tijd en moeite is voor de typische hacker misschien veel gevraagd, maar voor bijvoorbeeld inlichtingendiensten, grote corporaties of landen is het prima te doen om over een periode van een aantal maanden dataverkeer te monitoren.
Het feit dat Tor niet 100 procent anoniem is komt op zichzelf niet als een verrassing. Het project meldt het zelfs gewoon op zijn eigen website, en hackers wisten al jaren van het probleem van datacorrelatie: hoewel verbindingen beveiligd zijn binnen het gelaagde netwerk, is het toch mogelijk voor snuffelend schaduwvolk om te zien waar verkeer het netwerk binnenkomt en uitgaat. Van daaruit is het mogelijk om de gebruikers te identificeren.
Het komt erop neer dat dit slecht nieuws is voor de belangrijkere functies van het dark net.
Het interessante aan dit onderzoek is de nadruk op potentiële en zeer realistische aanvallen vanuit groepen die één of meerdere routers beheren. Om maar even met technopraat te smijten: informatie beweegt zich door de geëncodeerde lagen van het Tor-netwerk via Internet Exchange Points (IXP's) of autonome systemen (AS) die meerdere routers beheren, zoals ISP's (providers). Aangezien aanvallers in theorie ingaand en uitgaand verkeer kunnen zien binnen elk van de beheerde routers, kunnen deze logischerwijs sneller en makkelijker achter de identiteit van gebruikers komen naarmate ze meer routers beheren.
In theorie zou een staatsgefinancierde cyberattack alle routers binnen een land kunnen controleren. Mijn gok is dat het onderzoek, dat deels door DARPA (het Amerikaanse defensieproject dat onder andere aan het kraambed van het internet stond) gefinancierd is, vooral geïnteresseerd is in het verkennen van potentiële cyberaanvallen vanuit buitenlandse regeringen. "Zo'n tegenstander is relevant aangezien vandaag de dag vele organisaties over meerdere ASes of IXPs beschikken," melden de onderzoekers.
Waar het op neerkomt is dat dit dus erg slecht nieuws is voor de belangrijkere functies die het dark net heeft: politieke dissidenten die staatscensuur proberen te ontvluchten, journalisten die hun bron proberen te beschermen, klokkenluiders die ontmaskering willen voorkomen of snuggere burgers die overheidssurveillance proberen te ontlopen.
Wat nog ironischer is, is dat de NSA niet alleen een Tor-gebruiker zou kunnen identificeren, maar het nog wel eens waarschijnlijker zou kunnen zijn dat ze hun pijlen op jou gaan richten. Een onbekende locatie kan immers overal zijn, zo bleek uit een geheim document dat werd gepubliceerd door the Guardian.
De grote kinderpornozaak van de FBI van de afgelopen zomer deed een paar belletjes rinkelen bij privacyactivisten over hoe makkelijk het voor de Amerikaanse federale inlichtingendienst is om Tor te infiltreren. De FBI wist het anonieme netwerk te kraken door malware in de browser te injecteren van wat volgens hen "de grootste facilitator van kinderporno in de wereld" is. Ondertussen onthulde de malware de IP-adressen van honderden gebruikers.
Zelfs als een hacker geen enkele router onder zijn controle had, kunnen 80 procent van de Tor gebruikers binnen zes maanden worden onthuld. Met één enkel AS werd dit bijna 100 procent van de gebruikers binnen drie maanden. Met twee zou het in een dag klaar kunnen zijn.
"Dit zijn sombere resultaten voor de huidige stand van de beveiliging van het Tor-netwerk", schrijven de onderzoekers. "Gebruikers van Tor moeten zich terdege bewust zijn van de risico's die het netwerk met zich meebrengt en zich afvragen of Tor voldoet aan hun beveiligingsbehoefte."
Screenshot van het aantal directly connecting Tor users, via Tor Project
Informatie die door het Tor-netwerk reist kaatst over het gehele netwerk in het rond voordat het op haar eindbestemming opduikt. In plaats van een directe route naar haar bestemming kiest het een willekeurig pad via verschillende relays, individuele punten in het netwerk die geen benul hebben van de rest van de route, zodat in ieder punt niet te zien is waar de data vandaan komt en waar het naartoe gaat. Er zijn een stuk of drieduizend van zulke verbindings- en herdistriputiepunten in de wereld.
Daarom zou de recente boost in gebruikers wel eens voordelig kunnen zijn voor de integriteit van het netwerk: hoe meer gebruikers, hoe meer relaypunten er ontstaan, en hoe moelijker het is voor een aanvaller om de route te traceren en iemands echte identiteit te achterhalen.