Роджер Дингледин, руководитель проекта Tor, опубликовал вскрывшиеся подробности прошлогодней атаки на сеть Tor, которая могла привести к деанонимизации пользователей.
Роджер Дингледин (Roger Dingledine), руководитель проекта Tor, опубликовал вскрывшиеся подробности прошлогодней атаки на сеть Tor, которая могла привести к деанонимизации пользователей.
По имеющимся у представителей проекта Tor данным, ФБР заплатил университету Карнеги — Меллон как минимум один миллион долларов за работу по организации атаки, способной раскрыть реальные IP–адреса владельцев скрытых сервисов Tor.
Руководитель проекта Tor считает, что атака создаёт тревожный прецедент, в котором «исследования» стали ширмой для вторжения в неприкосновенность частной жизни, нарушения гражданских свобод и обхода правил сбора доказательств. Подобное сотрудничество, в котором правоохранительные органы делегируют работу по проведению расследований университетам, отмечено как недопустимое и подрывающее этические нормы исследователей безопасности. Исследователи безопасности не должны допускать практического применения атаки до раскрытия информации разработчикам уязвимой системы. В случае атаки на Tor, подставные узлы были внедрены в январе 2014 года, а данные о проблеме раскрыты только в июле.
В результате соглашения с ФБР исследователями университета был разработан и применён метод атаки, основанный на создании большого числа подставных ретрансляторов Tor. Проблема состоит в том, что деанонимизация была организована в рамках сбора доказательств для инициирования судебных разбирательств. Скорее всего атака была организована без ордера, так как формально ФБР стремился получить IP–адреса лишь нескольких скрытых сервисов Tor, но на деле атака затрагивала всех пользователей скрытых сервисов, в том числе тех, которые не занимаются криминальной деятельностью. Т.е. атака не была ограничена конкретными преступниками, а охватывала многих пользователей с последующим отсеиванием информации, которая могла иметь отношение к криминальной деятельности.