Állítólag a Carnegie Mellon Egyetem kutatói egymillió dollárt kaptak az FBI-tól, hogy feloldhatóvá tegyék a Tor biztosította anonimitást. A sztori azonban ennél bonyolultabb.
Hirdetés
 

Áll a bál a Tor projekt körül. Egyre több bizonyítékot találtak arra, hogy az FBI megbízásából a Carnegie Mellon Egyetem kutatói olyan módszereken dogoztak, amikkel feloldható a Tor hálózatok felhasználóinak az anonimitása. Mindezért persze az FBI fizetett is, mégpedig állítólag egymillió dollárt. A projekt igazgatója, Roger Dingledine kiakadt. A hétvégi párizsi terrortámadás azonban új szempontokat is adott a történtek megítéléséhez.

Az esetre egyébként közel két éve derült fény: tavaly januárjában több mint száz gyanús számítógépet azonosítottak Tor hálózatokon, amelyekről később beigazolódott, hogy különböző személyek felkutatását szolgálják, vagyis veszélyeztették a hálózat által biztosított anonimitást. A gépeket kitiltották, majd kiadtak egy új Tor-verziót is, amelyben befoltozták azt a biztonsági rést, aminek kihasználásával kémkedni lehetett.

Etikátlan volt kutatással fedni a "nyomozást"

A Tor hálózatok éppen azért népszerűek, mert biztosítják a felhasználók anonimitását. Mint minden olyan technika, ami a használóját elrejti, jó és rossz célokra egyaránt bevethető. Utóbbira példa a CryptoWall zsaroló program: mint a közelmúltban írtuk, a titkosítási kulcsokért Tor hálózat közbeiktatásával kell fizetnie a károsultnak, hogy a bűnözök rejtve maradhassanak.

Bár a Tor alapvetően jó célokat kíván szolgálni, a CryptoWallhoz hasonló vagy akár súlyosabb bűncselekmények miatt a hatóságok mindent elkövetnek, hogy bárhová bejussanak, és bárkiről kiderítsék, hogy mit csinál a neten. Dingledine szerint azonban az FBI most túllőtt a célon.

A közelmúltban még több infó derült ki a támadásról. Most már azt is feltételezik a Tor projekt illetékesei, hogy a kitiltott számítógépekkel a Carnegie Mellon Egyetem kutatói machináltak. Erre egyelőre csupán az utal, hogy 2014 augusztusában a Black Hat USA konferencián az egyetem két kutatója, Alexander Volynkin és Michael McCordegy az eredeti program szerint előadást tartottak volna arról, hogy milyen hibák vannak a Tor hálózatokban, melyek segítségével viszonylag olcsón felfedhetők a felhasználók. (A programban egyébkén az előadás szinopszisa mind a mai napig megtalálható.)

A kutatás csak álca?

Roger Dingledine igazgató most még erősebbet állít: az FBI egymillió dollárt fizetett az egyetemnek a kutatásokért, hogy nyomozásaihoz szükség esetén azonosíthassa az anonim hálózat használóit. Az igazgató szerint ha valóban ez történt, akkor az jelentősen megingathatja a bizalmat – és nem csak a Tor projekttel szemben.

A Tor projekt közleményt is adott ki, amelyben elítéli az egyetem gyakorlatát. Mint írják, az akció megsérti az etikus kutatás elemi irányelveit. Aggasztónak tartják, hogy a nyomozó szerv lényegében kiszervezi a tevékenységét egy egyetemnek, amely a kutatás álcája alatt a hatóságokra vonatkozó szabályok megkerülésével lényegében a polgári szabadságjogokat támadják. Szó sem volt ugyanis nyomozásról: gyakorlatilag válogatás nélkül sértették meg felhasználók személyiségi jogait. A kutatók ugyanis nem konkrét bűnesetek vagy azok elkövetésével gyanúsítható személyek kapcsán fedték fel a felhasználók kilétét, hanem válogatás nélkül támadtak bárkit a Tor hálózatokban.

A közlemény azt is hangsúlyozza, hogy a Tor projekt szakemberei felkészítik az FBI embereit arra, hogyan kell használni a Tort, hogy tevékenységük ne sértse meg az etikai normákat. Egy nyomozás azonban nem igazolhatja hogy nagyüzemben sértsék meg emberek személyiségi jogait.

Az egyetem egyelőre nem kívánta kommentálni a Tor projekt vádjait.

Biztonság vagy személyiségi jogok?

Az ügyben sokan megszólaltak. Az FBI például azt állította a Wirednek, hogy pontatlan az az állítás, hogy fizettek az egyetemnek egymilliót. A Vice összeállítása pedig arra hívja fel a figyelmet, hogy a Carnegie Mellon Egyetemen belül működő CERT (Computer Emergency Response Team), ahol ez a kutatás is folyt, lényegében félig-meddig függetlenül működik az egyetem szervezetétől – itt dolgozik a Black Haten elmaradt előadást jegyző Volynkin és McCordegy is. Az ott folyó kutatásokat főleg a kormányzat és az amerikai védelmi minisztérium finanszírozza.

Az esettel Bruce Schneier, a neves biztonsági szakértő is foglalkozik blogján, bár csak röviden, főleg a témával kapcsolatos fontosabb cikkekre hívja fel a figyelmet. A kommentekből azonban kirajzolódik némi tanácstalanság. A többség ugyan azon háborog, hogy az eset egyértelműen a személyiségi jogok megsértése, de a hétvégi párizsi terrortámadás után más vélemények is megfogalmazódtak, ami ismét rámutat arra, hogy nagyon nehéz egyensúlyt találni a biztonság és a személyiségi jogok védelme között. Jobbára ezt a bizonytalanságot tükrözte az a nyáron kiadott, Schneier által is jegyzett vitairat, amely kísérletet tesz a két szempont összehangolására, és amelynek konklúziója az, hogy nem a válaszok, hanem a kérdések gyarapodnak. A vitairatról érdemes elolvasni Krasznay Csaba véleményét a Bitporton.

Biztonság

Bagóért cserél gazdát egy ikonikus játékstúdió

A többek között a Borderlands fejlesztőjeként ismert Gearboxot 460 millió dollárért veszi át a Take-Two Interactive az Embracer Grouptól. Utóbbihoz viszont alig három éve még 1,3 milliárdért került.
 
Hirdetés

A NIS2-megfelelőség néhány technológiai aspektusa

A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.

Az uniós direktíva felpezsdíti a magyar kiberbiztonsági piacot, az auditokból átfogóbb képet kapunk a gazdaság és az ország kiberképességeiről is. Interjú dr. Bencsik Balázzsal, az SZTFH kibervédelmi igazgatójával.

a melléklet támogatója a RelNet Technológia Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.