https://bodybydarwin.com
Slider Image

Carnegie Mellon benekter svakt at det ble betalt for å hjelpe FBI til å knekke anonyme verktøy

2021

Det er lett å glemme, i vår sosiale tidsalder med offentlige profiler og konstant sporet tilstedeværelse på nettet, men det er deler av internett som fremdeles tilbyr uklarhet. Tor, et identitetshylende verktøy som opprinnelig delvis ble finansiert av DARPA og fremdeles finansiert til i dag delvis av USAs utenriksdepartement, tilbyr en form for beskyttelse for alle på nettet som ønsker å være anonyme, som politiske dissidenter i utlandet eller å unngå lov. narkotikaselgere i USA.

Men aktivitet utført gjennom Tor er ikke helt sporbar, og det er økende bevis for at i bytte for kontanter overførte et sikkerhetsforskningsgruppe ved Carnegie Mellon informasjon til juridiske myndigheter som førte til flere arrestasjoner.

Tor lar folk bruke internett anonymt ved å rute data gjennom noen av de mange nodene i et komplekst nettverk, og skjule startpunktet og sluttpunktet. Tor ble bygget fra en idé på midten av 1990-tallet for å la myndighetene sikkert kommunisere i sivile internettnettverk uten å avsløre deres beliggenhet. Han var et av mange verktøy som ble brukt av aktivister under den arabiske vårprotesten i 2011 for å kommunisere, samtidig som han unngikk regjeringens kontroll. Eksisterende Tor-noder inkluderer så uskyldige nettsteder som offentlige biblioteker i New Hampshire og forskningsuniversiteter, og nettverket støttes av mange digitale rettighetsaktivister som et verktøy for å beskytte personlige friheter på nettet.

Ingen systemer er uten feil, og det er gjennom en av disse at en Brian Richard Farrell ble arrestert i Seattle og "siktet for konspirasjon for å distribuere heroin, metamfetamin og kokain på den elektroniske markedsplassen Darkweb, kjent som Silk Road 2.0. Hvordan ble han funnet? Hans lovlige saken pågår, og Farrells forsvarer pekte på et brudd i Tor for informasjonen som avslørte hans identitet.

Onn 12. oktober 2015 ga regjeringen forsvarer et brev som indikerte at Mr. Farrells engasjement med Silk Road 2.0 ble identifisert basert på informasjon innhentet av et 'universitetsbasert forskningsinstitutt' som drev egne datamaskiner på det anonyme nettverket brukt av Silk Road 2.0, leser bevegelsen.

Som svar på dette brevet ba forsvaret om ytterligere funnbevis og informasjon for å bestemme forholdet mellom dette instituttet og regjeringen, samt midlene som ble brukt for å identifisere Farrell on hva som skulle fungere som et anonymt nettsted.

Vedlikeholdere av Tor-prosjektet visste at nettverket deres ble angrepet i fjor. I en uttalelse publisert som svar på de nylige avsløringene, hevder Tor-prosjektet at et slikt angrep truer nettets sivile friheter:

Det er foreløpig ingen indikasjoner på at de hadde en garanti eller noe institusjonelt tilsyn av Carnegie Mellons institusjonelle vurderingsnemnd. Vi tror det er lite sannsynlig at de kunne ha mottatt en gyldig garanti for CMUs angrep slik de ble utført, siden det ikke var snevrt skreddersydd for å målrette kriminelle eller kriminelle aktiviteter, men i stedet ser ut til å ha kritisk målrettet mange brukere på en gang.

Slik handling er et brudd på vår tillit og grunnleggende retningslinjer for etisk forskning. Vi støtter uavhengig forskning på programvaren og nettverket vårt, men dette angrepet krysser den avgjørende linjen mellom forskning og setter uskyldige brukere i fare.

Dette angrepet gir også en urovekkende presedens: Sivile friheter er under angrep hvis rettshåndhevelse mener det kan omgå bevisreglene ved å outsourcere politiets arbeid til universiteter. Hvis akademia bruker "forskning" som en forfølgende hest for invasjon av personvern, vil hele virksomheten innen sikkerhetsforskning falle i motstrid. Legitime personvernforskere studerer mange online systemer, inkludert sosiale nettverk Hvis denne typen FBI-angrep av universitetsfullmektig blir akseptert, vil ingen ha meningsfulle fjerde endringsbeskyttelse på nettet, og alle er i faresonen.

Tor-prosjektet hevder også at venner i sikkerhetssamfunnet informerte dem om at FBI betalte Carnegie Mellon 1 million dollar for angrepet.

Carnegie Mellon huser CERT, Computer Emergency Response Team. Flere tiår gamle, CERTs uttalte oppdrag er å "forbedre sikkerheten og motstandskraften til datasystemer og nettverk, og i det arbeidet de samarbeider med" regjering, industri, rettshåndhevelse og akademia. "I 2014 utførte CERT angivelig et angrep på Tor-nettverket som varte fra 30. januar til 4. juli. (Følgende hendelsesrekkefølge kommer fra Princeton-direktør for Princetons Center for Information Technology Policy Ed Felten's tidslinje for angrepet, publisert 31. juli 2014) Angrepsstrategien inkludert å legge 115 nye noder til nettverket, noe som sannsynligvis gjorde det mulig for eierne av disse nodene å overvåke Tor-trafikken på en enestående måte. CERT-forskere sendte et sammendrag av denne angrepsstilen og skulle etter planen tale på Black Hat hacker-konferansen det året, før presentasjonen ble avlyst på grunn av materialet ble ikke ryddet for utgivelse av Carnegie Mellon.

Den gangen skrev Felten:

Jeg er hardt presset til å tenke på tidligere eksempler der legitime forskere gjennomførte et storskala angrep som varte i flere måneder, og som hadde som mål å undergrave sikkerheten til reelle brukere. Det i seg selv er i det minste etisk problematisk. Vannet blir enda mørkere når vi vurderer dataene som forskerne kan ha samlet - data som vil undergrave sikkerheten til Tor-brukere.

Mandag sa sikkerhetsforsker Bruce Schneier at angrepene undergraver CERTs rolle som ansvarlig forvalter av internett. Han skrev:

Forskernes oppførsel er kritikkverdig, men det virkelige problemet er at CERT Coordination Center (CERT / CC) har mistet sin troverdighet som en ærlig megler. Forskerne oppdaget denne sårbarheten og leverte den til CERT. Verken forskerne eller CERT avslørte denne sårbarheten til Tor-prosjektet. I stedet brukte forskerne tilsynelatende denne sårbarheten for å designe en lang rekke skjulte tjenestebesøkere og gi informasjonen til FBI.

I går slapp Carnegie Mellon en kort uttalelse om beskyldningene:

Det har vært en rekke unøyaktige medieoppslag de siste dagene angående Carnegie Mellon Universitys Software Engineering Institute-arbeid innen cybersecurity.

Carnegie Mellon University inkluderer Software Engineering Institute, som er et føderalt finansiert forsknings- og utviklingssenter (FFRDC) etablert spesielt for å fokusere på programvarerelaterte sikkerhets- og ingeniørspørsmål. Et av oppdragene til SEIs CERT-divisjon er å undersøke og identifisere sårbarheter i programvare og datanettverk, slik at de kan bli korrigert.

I løpet av arbeidet serveres universitetet fra tid til annen med stevninger som ber om informasjon om forskning det har utført. Universitetet overholder rettsstaten, overholder lovlig utstedte stevner og mottar ingen midler for å etterkomme det.

I beste fall er det en veldig lun fornektelse, fokusert mer på beskyldningene om betaling enn på handlingene som er tatt av universitetet selv. I verste fall betyr det at folk som bruker Tor for å beskytte identiteten deres, uansett hva slags aktivitet de er på nettet, kan sette sin tro på et kompromittert system, og et som avslører mer informasjon for rettshåndhevelse enn det skjuler.

En forsker er virkelig sjokkerende søken etter å forstå ål

En forsker er virkelig sjokkerende søken etter å forstå ål

Det er mindre sannsynlig at kvinner får HLR - men hvorfor?

Det er mindre sannsynlig at kvinner får HLR - men hvorfor?

Når Roma graver sin første nye metrorute på flere tiår, ivaretar en arkeolog byens begravde skatter

Når Roma graver sin første nye metrorute på flere tiår, ivaretar en arkeolog byens begravde skatter