Áll a bál a Tor projekt körül. Egyre több bizonyítékot találtak arra, hogy az FBI megbízásából a Carnegie Mellon Egyetem kutatói olyan módszereken dogoztak, amikkel feloldható a Tor hálózatok felhasználóinak az anonimitása. Mindezért persze az FBI fizetett is, mégpedig állítólag egymillió dollárt. A projekt igazgatója, Roger Dingledine kiakadt. A hétvégi párizsi terrortámadás azonban új szempontokat is adott a történtek megítéléséhez.

Az esetre egyébként közel két éve derült fény: tavaly januárjában több mint száz gyanús számítógépet azonosítottak Tor hálózatokon, amelyekről később beigazolódott, hogy különböző személyek felkutatását szolgálják, vagyis veszélyeztették a hálózat által biztosított anonimitást. A gépeket kitiltották, majd kiadtak egy új Tor-verziót is, amelyben befoltozták azt a biztonsági rést, aminek kihasználásával kémkedni lehetett.

Etikátlan volt kutatással fedni a "nyomozást"

A Tor hálózatok éppen azért népszerűek, mert biztosítják a felhasználók anonimitását. Mint minden olyan technika, ami a használóját elrejti, jó és rossz célokra egyaránt bevethető. Utóbbira példa a CryptoWall zsaroló program: mint a közelmúltban írtuk, a titkosítási kulcsokért Tor hálózat közbeiktatásával kell fizetnie a károsultnak, hogy a bűnözök rejtve maradhassanak.

Bár a Tor alapvetően jó célokat kíván szolgálni, a CryptoWallhoz hasonló vagy akár súlyosabb bűncselekmények miatt a hatóságok mindent elkövetnek, hogy bárhová bejussanak, és bárkiről kiderítsék, hogy mit csinál a neten. Dingledine szerint azonban az FBI most túllőtt a célon.

A közelmúltban még több infó derült ki a támadásról. Most már azt is feltételezik a Tor projekt illetékesei, hogy a kitiltott számítógépekkel a Carnegie Mellon Egyetem kutatói machináltak. Erre egyelőre csupán az utal, hogy 2014 augusztusában a Black Hat USA konferencián az egyetem két kutatója, Alexander Volynkin és Michael McCordegy az eredeti program szerint előadást tartottak volna arról, hogy milyen hibák vannak a Tor hálózatokban, melyek segítségével viszonylag olcsón felfedhetők a felhasználók. (A programban egyébkén az előadás szinopszisa mind a mai napig megtalálható.)

A kutatás csak álca?

Roger Dingledine igazgató most még erősebbet állít: az FBI egymillió dollárt fizetett az egyetemnek a kutatásokért, hogy nyomozásaihoz szükség esetén azonosíthassa az anonim hálózat használóit. Az igazgató szerint ha valóban ez történt, akkor az jelentősen megingathatja a bizalmat – és nem csak a Tor projekttel szemben.

A Tor projekt közleményt is adott ki, amelyben elítéli az egyetem gyakorlatát. Mint írják, az akció megsérti az etikus kutatás elemi irányelveit. Aggasztónak tartják, hogy a nyomozó szerv lényegében kiszervezi a tevékenységét egy egyetemnek, amely a kutatás álcája alatt a hatóságokra vonatkozó szabályok megkerülésével lényegében a polgári szabadságjogokat támadják. Szó sem volt ugyanis nyomozásról: gyakorlatilag válogatás nélkül sértették meg felhasználók személyiségi jogait. A kutatók ugyanis nem konkrét bűnesetek vagy azok elkövetésével gyanúsítható személyek kapcsán fedték fel a felhasználók kilétét, hanem válogatás nélkül támadtak bárkit a Tor hálózatokban.

A közlemény azt is hangsúlyozza, hogy a Tor projekt szakemberei felkészítik az FBI embereit arra, hogyan kell használni a Tort, hogy tevékenységük ne sértse meg az etikai normákat. Egy nyomozás azonban nem igazolhatja hogy nagyüzemben sértsék meg emberek személyiségi jogait.

Az egyetem egyelőre nem kívánta kommentálni a Tor projekt vádjait.

Biztonság vagy személyiségi jogok?

Az ügyben sokan megszólaltak. Az FBI például azt állította a Wirednek, hogy pontatlan az az állítás, hogy fizettek az egyetemnek egymilliót. A Vice összeállítása pedig arra hívja fel a figyelmet, hogy a Carnegie Mellon Egyetemen belül működő CERT (Computer Emergency Response Team), ahol ez a kutatás is folyt, lényegében félig-meddig függetlenül működik az egyetem szervezetétől – itt dolgozik a Black Haten elmaradt előadást jegyző Volynkin és McCordegy is. Az ott folyó kutatásokat főleg a kormányzat és az amerikai védelmi minisztérium finanszírozza.

Az esettel Bruce Schneier, a neves biztonsági szakértő is foglalkozik blogján, bár csak röviden, főleg a témával kapcsolatos fontosabb cikkekre hívja fel a figyelmet. A kommentekből azonban kirajzolódik némi tanácstalanság. A többség ugyan azon háborog, hogy az eset egyértelműen a személyiségi jogok megsértése, de a hétvégi párizsi terrortámadás után más vélemények is megfogalmazódtak, ami ismét rámutat arra, hogy nagyon nehéz egyensúlyt találni a biztonság és a személyiségi jogok védelme között. Jobbára ezt a bizonytalanságot tükrözte az a nyáron kiadott, Schneier által is jegyzett vitairat, amely kísérletet tesz a két szempont összehangolására, és amelynek konklúziója az, hogy nem a válaszok, hanem a kérdések gyarapodnak. A vitairatról érdemes elolvasni Krasznay Csaba véleményét a Bitporton.