13 May 2016

Mozilla хочет через суд обязать ФБР раскрыть найденные в Tor Browser уязвимости

Не успел утихнуть скандал, связанный с судебными тяжбами Apple vs ФБР, как уже с пылу, с жару готов новый — компания Mozilla Corp обратилась к федеральному судье с просьбой обязать правительство США раскрыть информацию об уязвимости её браузера Firefox, которая использовалась ФБР для отслеживания посетителей сайтов с детской порнографией. Соответствующий иск был подан в федеральный суд города Такома, штат Вашингтон. Mozilla хочет получить в свое распоряжение данные о браузере, которые помогли ФБР взломать анонимную сеть Tor, созданную на основе Firefox.

Руководитель юридической службы бизнес-подразделения Mozilla Денель Диксон-Тэйер заявила, что судья обязал правительство раскрыть обнаруженную в браузере брешь адвокатам одного из арестованных по делу о распространении детской порнографии — школьного учителя Джея Мишо, а не специализирующимся на подобных делах организациям. Диксон-Тэйер в своём блоге написала, что для устранения слабых сторон браузера им необходимо знать подробности взлома:

«Не думаем, что это имеет смысл, поскольку это не позволяет устранить уязвимость, пока не будет представлена более подробная информация».

.

Мишо — один из 137 обвиняемых по делам о детской порнографии, арестованных в результате масштабной операции ФБР в феврале 2015 года, в ходе которой бюро конфисковало серверы Playpen, популярного сайта с детской порнографией, который действовал в сети Tor.

В феврале текущего года сотрудниками Университета Карнеги-Меллон в США по требованию ФБР была взломана защищенная сеть Tor, и полученные данные о преступниках были переданы американским силовикам.

После многомесячной атаки на Tor в 2014 году, в сети удалось обнаружить уязвимость, которая позволила ее взломать. Атака являлась частью исследовательского проекта министерства обороны США. О взломе стало известно из материалов уголовного дела в отношении одного из администраторов площадки Silk Road 2.0 Брайана Фарелла. Представители ФБР потребовали у сотрудников университета предоставить данные о некоторых преступниках, после чего исследователи передали ведомству реальные IP-адреса. Представители Tor, в свою очередь, утверждают что все уязвимости были устранены.

В ноябре прошлого года Tor Project обвинил ФБР в выплате экспертам из Университета Карнеги-Меллон как минимум $1 млн за атаку на сеть с целью деанонимизировать пользователей ресурса. В июле 2014 года представители Tor Project обнаружили длившуюся шесть месяцев атаку, направленную на отслеживание скрытых серверов. Атакующие не могли осуществлять мониторинг входных и выходных узлов Tor, однако у них была возможность отслеживать трафик скрытых сайтов. Как тогда заявили представители Tor Project, ФБР использовало экспертов из Университета Карнеги-Меллон в обход действующего законодательства. В свою очередь, ФБР опровергло все обвинения, выдвинутые в свой адрес.

Узнав об исследованиях Университета Каргеги-Меллон совместно с Минобороны США, сотрудники ФБР через суд потребовали предоставить информацию о некоторых преступниках. В итоге эксперты передали ведомству некоторые реальные IP-адреса. На вопрос, откуда ФБР узнало о проекте, представитель спецслужбы Джиллиан Стиклз (Jillian Stickels) ответила:

«Этот вопрос я бы задала им [сотрудникам Университета Карнеги-Меллон]. Если данная информация и будет обнародована, скорее всего, инициатива будет исходить от них».

.

В итоге найденная уязвимость была успешно использована для деанонимизации пользователя через проведение атаки на Tor Browser. Атака была совершена в соответствии с ордером суда в процессе сбора доказательств. По мнению интернет-издания Opennet.ru:

«…проблема состоит в том, что детали использованной уязвимости не разглашаются и проблема с большой вероятностью остаётся неисправленной в кодовой базе Firefox, которая используется и в Tor Browser, что ставит под угрозу миллионы добропорядочных пользователей.

В настоящий момент судья уже постановил предоставить информацию об атаке стороне защиты подозреваемого, которая может стать источником утечки сведений об ещё не исправленной уязвимости. Mozilla настаивает, что суд должен запретить правоохранительным органам утаивать сведения о неисправленных уязвимостях, и просит обязать раскрыть подробности и разработчикам Firefox, предоставив возможность выпустить исправление до попадания информации в третьи руки.

Инцидент также демонстрирует, что использование Tor Browser не гарантирует сохранение анонимности в случае взлома браузера — получив доступ к системе атакующие могут получить доступ ко всем данным пользователя и информацию об основном канале связи. Для обеспечения надёжной защиты следует использовать дополнительный слой изоляции, скрывающий параметры соединения, благодаря запуску Tor Browser в виртуальном окружении с фиктивными адресами и внешней блокировкой трафика, передаваемого не через Tor».

.

Однако, судя по настроениям специализирующихся на интернете и связи российских чиновников, для российских спецслужб вскрытие Tor’а и других анонимайзеров в настоящий момент недоступно, поэтому единственные меры, которые они сейчас могут предпринять — это наказывать за «пропаганду обхода блокировок» операторов связи и интернет-провайдеров.

Напомним также, что в последнее время уже несколько серьёзных компаний начали или планируют сотрудничество с Tor. В 2014 году Facebook полноценно пришел в сеть Tor, чтобы облегчить доступ к своим ресурсам тем пользователям, кто осуществляет защищенный веб-серфинг. А позже социальная сеть добавила в своё официальное приложение для платформы Android и собственно саму поддержку подключения через анонимную сеть Tor. Также представители Tor Project недавно провели переговоры с сетью микроблогов Twitter, поэтому вполне возможно, что в недалёком будущем возникнет новый союз, подобный Facebook и Tor.

Читайте также:

1 миллион человек зашли в Facebook через Tor за последний месяц
🔓
Поисковик DuckDuckGo, защищающий конфиденциальность пользователей, выделил грант на развитие открытых проектов
🔓
Tor проникает в Twitter: социальный сервис готов дать своим пользователям анонимность и конфиденциальность
🔓
Министр связи против иностранного влияния через шрифты, мессенджеры, браузеры и Tor

_____

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.