Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 11/9/2007
Ambassader og regeringskontorer sender brugernavne og passwords uden kryptering over anonymiseringstjenesten TOR. En sikkerhedsforsker har offentliggjort 100 koder som bevis.TOR (The Onion Router) er et netværk af computere, der gør det muligt at skjule, hvor datatrafik kommer fra. Dermed kan det bruges til at anonymisere ens færden på nettet: Hvis man sender trafikken gennem TOR, kan andre ikke se ens IP-adresse. De ser kun adressen på den sidste TOR-server i netværket.
Trafikken mellem TOR-computere er krypteret. Men der er ikke kryptering fra den sidste computer, som datapakken forlader på vej mod sin endelige destination. Administratoren af den computer kan derfor opsnappe al kommunikation, der ikke er krypteret.
Det har den svenske sikkerhedskonsulent Dan Egerstad demonstreret. Han satte fem computere op på TOR-netværket. Her aktiverede han et snuserprogram, der opsamlede e-mails, brugerkonti og adgangskoder. Han har offentliggjort 100 sæt kontonavne og passwords på sit websted. Men han oplyser, at der var langt flere, og at multinationale firmaer også var blandt brugerne.
"TOR er ikke problemet, men brug det til det, som det er beregnet til," skriver han på sin blog. Hermed mener han, at TOR giver anonymisering, men ikke kryptering.
Dan Egerstad påpeger i øvrigt at flere computere på TOR-netværket drives af hackere. Andre med meget stor båndbredde drives af anonyme sponsorer fra Washington DC.