TOR piilottaa käyttäjän sijainnin, se ei salaa liikennettä päästä-päähän automaattisesti muutoin kuin onion-palveluihin kytkeydyttäessä. TOR verkossa viimeinen solmu, exit-solmu, muodostaa yhteyden lopulliseen palvelimeen. TOR ei salaa exit-solmun ja kohdepalvelimen välistä yhteyttä (ts. yhteys on samanlainen kuin jos se alkaisi suoraan selaimesta, selain on ikään kuin siirretty exit-solmuun). Yhteys exit-solmusta eteenpäin voi toki olla https-salattu, joka on melko vahva salaus sekin.
Liikenne exit-solmusta eteenpäin julkiseen verkkoon on täysin selväkielistä salaamattoman http-yhteyden tapauksessa. Käyttäjän alkuperä ei selviä, mutta liikenne voidaan purkaa – ainakin sen ajan jonka exit-solmu on aktiivisena. Isot valtiolliset toimijat (esim. NSA) kykenevät avaamaan joitakin https-salattujakin yhteyksiä.
Kuva havainnollistaa tilannetta. Salaamaton (http-yhteys) Googleen on luettavissa exit-solmussa. Vakoilun haitallisuus riippuu siitä, selviääkö hakusanoista käyttäjän henkilöllisyys – useimmin ei selviä.
Jos kyseessä olisi salaamaton keskustelufoorumi, jossa lähetetään henkilötietoja (maili, puhelinnumero, nimi jne) yksityisviestinä toiselle käyttäjälle, vakoilija voi lukea viestinnän. Näin henkilöllisyys paljastuisi.
TOR verkossa on vaihteleva määrä haitallisia exit-solmuja jatkuvasti. Tor Projekti estää näitä ajoittain, mutta uusia syntyy tilalle joko valtioiden (ei kuitenkaan Suomen mittakaavassa) tai verkkohuijareiden toimesta. Tämän takia Tor verkon käyttäjän tulee pitää mielessä:
- salaamattoman (http) ja salatun (https) sivuston ero
- henkilötietojen vuotomahdollisuus exit-solmussa
- verkosta ladattujen ohjelmien mahdollinen manipulointi exit-solmussa
- exit-solmun mahdollisuus ohjata www-sivu haittasivulle todellisen sijasta (onion-sivut ovat tältä turvassa)
Vuonna 2007 tietoturvatutkija avasi tuhansia sähköpostiviestejä, joiden lähettäjinä oli lähetystöjä ja ihmisoikeusryhmittymiä. Menetelmänä oli exit-solmun perustaminen ja liikenteen seuraaminen. Sähköpostit eivät olleet salattuja, ne liikkuivat exit-solmusta eteenpäin puhtaana tekstinä. Luottamuksellisen henkilön tunnistetietoja sisältävä viestintä tulisi tehdä aina https-yhteydellä tai PGP-salattuna.
Kaapattu exit-solmu voi muokata sen läpi ladattuja ohjelmatiedostoja, tässä eräs havainto.
TOR verkko takaa tietosisällön salauksen vain jos salaus on voimassa päästä-päähän (end-to-end encryption). Toisin sanoen: silloin, kun salaaminen tehdään käyttäjän selaimessa ja salaus avataan vasta kun se on saapunut määränpäähänsä. Tällainen tilanne on esimerkiksi onion-sivustoon kytkeydyttäessä. Tai kun lähetetään sähköposti PGP salattuna.
Usein yllä kuvaillusta vakoilusta ei ole haittaa. Esimerkki tällaisesta:
1. Käyttäjä osallistuu suomalaisen nettifoorumin keskusteluun nimettömänä TOR verkon kautta
2. Käyttäjä luo foorumille tunnuksen tekemättä Epic Fail – virheitä
3. Käyttäjä osallistuu keskusteluun aina TOR-verkon kautta
4. TOR-verkosta käyttäjä ilmestyy foorumille milloin mistäkin, joskus intialaisesta, joskus japanilaisesta exit-solmusta. Yhteys on salaamaton, tieto liikkuu selväkielisenä exit-solmusta suomalaiseen palvelimeen.
Exit-solmuissa tai suomalaisessa palvelimessa oleva vakoilija ei silti voi selvittää käyttäjän alkuperäisiä tunnistetietoja. Ei reaaliajassa, eikä jälkikäteen.
Poikkeus on Windowsissa oleva haittaohjelma, joka voi tallentaa kaiken liikenteen. Riskiä voi minimoida käyttämällä Tails-käyttöjärjestelmää.
Exit-vakoilun lisäksi Tor verkossa on käytetty Man-in-the-Middle -hyökkäyksiä. TOR Verkon käyttö on joka tapauksessa monin verroin turvallisempaa ja yksityisempää kuin avoimen verkon.
Windows 7/8/10 yksityisyyden suoja 