Некоммерческая организация Tor Project обвинила американский университет Карнеги-Меллон, расположенный в Питтсбурге, во взломе системы «луковичного» шифрования с целью получения данных о пользователях сети Tor. Об этом сообщает Wired.
Спустя почти полтора года после инцидента стало известно, что в Tor Project, по мнению её представителей, нашли виновного. Сотрудники организации считают, что за взлом Tor в ответе ФБР и исследователи из университета Карнеги-Меллон, которые получили от правительства за свою работу миллион долларов.
В Tor Project утверждают, что атака на Tor началась в феврале и завершилась в начале июля 2014 года. Взломщики использовали сразу несколько методов, чтобы вычислить пользователей Tor, поэтому в некоммерческой организации не были уверены, какие данные нарушителям удалось получить.
Свою технологию взлома Tor сотрудники университета Карнеги-Меллон представили на конференции Black Hat в 2014 году. Им удалось деанонимизировать пользователей луковичного шифрования с помощью оборудования стоимостью около трёх тысяч долларов. В Карнеги-Меллон сообщали подробности о найденной уязвимости с февраля по июнь, однако в начале июля, после обнаружения взлома, резко перестали отвечать на письма из Tor Project.
Поводом для обвинения в адрес ФБР и Карнеги-Меллон стала публикация в сети документов по делу Брайана Ричарда Фаррелла (Brian Richard Farrell), сотрудника нелегального интернет-магазина оружия, краденой информации и наркотиков Silk Road 2.0.
В них сообщалось, что ФБР смогли вычислить преступника с помощью данных, полученных в результате исследования, проведённого неким университетом. Агентам ведомства удалось получить ордер на обыск дома Фаррелла, благодаря «источнику, предоставившему IP-адрес пользователя Tor» в промежутке с января по июль 2014 года — как раз во время атаки, зафиксированной в Tor Project.
В некоммерческой организации считают, что информация, полученная во время взлома, легла в основу Onymous — совместной операции Европола, Евроюста, ФБР, Министерства внутренней безопасности США и других правительственных ведомств. В результате неё было арестовано 17 торговцев запрещёнными товарами, закрыто 410 нелегальных магазинов, работавших в Tor, а также конфисковано биткоинов на сумму около миллиона долларов.
В Tor Project считают действия сотрудников университета Карнеги-Меллон незаконными, так как их взлом подверг опасности данные не только преступников, но и обычных пользователей Tor. Кроме того, в организации убеждены, что помощь учебного заведения ФБР — это нарушение базовой этики независимых научных исследований.
В разговоре с Wired представители Карнеги-Меллон заявили, что у Tor Project нет никаких реальных доказательств причастности университета ко взлому и что им неизвестно ни о какой выплате в миллион долларов. В самом Tor Project заявляют, что о сумме сделки им стало известно из неназванного источника.
В некоммерческой организации утверждают, что жертвами взлома могли стать все, кто пользовался Tor с февраля по июль 2014 года. После этого все «очевидные уязвимости» сети были устранены.
Горячие темы