Ein aktuelle Recherche welche an der 20ten ACM Computer und Communications Security Konferenz CSCS 2013 in Berlin im November vorgestellt werden soll hat demonstriert dass Tor User im Verlauf der Zeit mit einer hohen Genauigkeit identifiziert werden können.
Tor – the Onion Router – ist eine Methode um das Internet anonym nutzen zu können. Das Konzept wurde ursprünglich in den 90er Jahren für als Weg sichere Verbindungen von David Goldschlag, Michael Reed und Paul Syverson im im Naval Research Laboratorium entwickelt. 2002 hat Syverson mit Roger Dingledine und Nick Mathewson Tor selbst entwickelt, was zu Tor Project Inc führte. Nun hat Syverson mit Aaron Johnson, Chris Wacek, Rob Jansen und Micah Sherr zusammengearbeitet um zu zeigen dass Tor nicht so sicher ist wie manche sich eroffen – wenn ein einzelner User Tor über längere Zeit verwendet ist es wird seine Anonymität fast mit Sicherheit aufgehoben.
Es ist seit einiger Zeit bekannt dass Tor verwundbar ist wenn jemand den eingehenden und ausgehenden Traffic beobachten kann. Diese Daten mit den Verbindungsdaten machen es möglich, den User und sein Ziel zu identifizieren.
Dieses Resultat wird alle betreffen welche Tor verwenden um die Internet Aktivitäten zu verschleiern – Einzelpersonen welche Überwachung umgehen möchten, Journalisten welche Quellen schützen möchten, Politische Dissidenten oder illegale Aktivisten. Die Analyse zeigt dass 80% der User innerhalb von 6 Monaten entanonymisiert werden können durch eine Tor-Relay Überwachung. Bei einer ÜBerwachung eines AS können sogar 100% der User in häufig genutzten Regionen innerhalb von 3 Monaten enttarnt werden.
Bereits früher wurde berichtet dass die Anzahl von Tor Clients sich seit dem 19. August verdoppelt hat – die Ursache dafür ist noch unbekannt. Vermutet wird dass seit den neuesten Enthüllungen über die NSA und andere Regierungsaktivitäten mehr User Ihre Online-Aktivitäten schützen möchten.
Da den Regierungen aber auch die Existenz von Tor bekannt ist werden sie die oben beschriebenen Schwachstellen mit Sicherheit auch von den Regierungen ausgenutzt werden um die Aktivitäten von Internet Usern zu überwachen.
Die Studie kann bei Cryptome abgerufen werden.