Исследователи из университета Карнеги–Меллон (CMU) получили от ФБР грант размером более $1М за разработку метода деанонимизации пользователей в сети Tor. Это утверждается в официальном блоге Tor Project после анализа целого ряда масштабных попыток вскрыть «луковичную маршрутизацию».
Внимание к себе группа исследователей из CMU привлекла ещё на позапрошлой конференции Black Hat, где Александр Волынкин и Майкл Маккорд готовились выступить с докладом «Вам не нужно быть АНБ, чтобы взломать Тор: деанонимизируем пользователей бюджетным решением». Под «бюджетом» понималась сумма в $3000. Презентация была отменена после того, как от неё публично открестилось руководство университета и его дочерних учреждений.
Подтверждением сделки между CMU и ФБР можно считать и судебные материалы по делу Брайана Ричарда Фаррелла (Brian Richard Farrell), известного в даркнете как DoctorClu из Silk Road 2.0. В ордере на обыск его дома специальный агент Майкл Ларсон указывает любопытное основание: «с января 2014 года по июль 2014 года ФБР использовало надёжные источники информации, предоставляющие реальные IP-адреса лиц, использующих скрытые онлайн-сервисы, такие как Silk Road 2.0 в сети Tor». В других представленных в суд документах сторона обвинения делает отсылки на экспертов CMU, не обозначая характер их помощи в явной форме.
Активные попытки противодействовать Tor предпринимаются давно. Масштабные операции в этой области проводятся АНБ и ФБР как минимум с 2011 года. Программа XKeyscore Rules собирает сведения о поисковых запросах на загрузку браузера Tor и фактах его скачивания. Однако в её объёмной базе (свыше 200 млн записей) трудно выделить приоритетных подозреваемых. Они просто растворяются в общем потоке.
Другие методы американских правительственных агентств также не отличаются деликатностью. Внутренняя разведка не гнушалась внедрять трояны на компьютеры подозреваемых и выполнять атаки на их браузер, чтобы определить реальный IP-адрес. Новый виток этой борьбы породил более универсальные методы деанонимизации – технологии атаки на сами зашифрованные соединения в Tor.
Наиболее крупная из таких операций была предпринята ФБР в 2014 году. В ней сочетались сразу два метода: атака по типу подтверждения трафика и атака Sybil, компрометирующая систему репутации узлов.
За первую половину прошлого года в Tor появилось свыше трёх тысяч некорректно настроенных релеев – узлов, модифицирующих заголовки передаваемых через них пакетов и потенциально способных демаскировать пользователей. Руководству Tor Project стоило немалых усилий заблокировать их до того, как они стали представлять реальную угрозу. Однако вскоре стали появляться новые следящие узлы Tor, расположенные в том числе и за пределами США.
Как вскоре выяснилось, помимо ФБР к Tor проявляют интерес и правоохранительные органы других стран. К примеру, в 2013 году ФСБ выступило с законодательной инициативой о запрете Tor на территории России. После её провала в июле прошлого года МВД России объявило закрытый конкурс под шифром «ТОР (Флот)».
Странное название объясняется просто. Сейчас уже мало кто вспомнит, что изначально Tor назывался Free Haven и был проектом DARPA, которое агентство заказало лаборатории Военно-морского флота США. В 2002 году исходный код был открыт, а проект стал продвигаться Фондом электронных рубежей (EFF)… как метод противодействия PRISM и слежки со стороны правительственных ведомств. Пикантность ситуации ещё и в том, что Министерство обороны и Госдеп США до сих пор активно финансируют работу Tor.
Сейчас ФБР и другим правоохранительным органам особенно остро требуется действенный способ вычисления реальных IP-адресов подозреваемых в различных преступлениях. В последнее время Tor стал гораздо активнее использоваться мошенниками и вымогателями. Возможность создавать псевдо-домены верхнего уровня позволила им скрыть расположение командных центров ботнетов и троянов-шифровальщиков с помощью Tor.
Однако сложность борьбы – это ещё не повод использовать агрессивные тактики противодействия злоумышленникам. На этот раз для деанонимизации пользователей Tor ФБР был предпринят метод, явно нарушающий основные принципы тайны личной жизни и свободы слова. Он не позволял выборочно контролировать трафик отдельных компьютеров, а компрометировал Tor целиком. С участием университетских специалистов ФБР просто наводнило сеть собственными узлами, использование которых слой за слоем снимает шифрование луковичной маршрутизации.
«Мы учим правоохранительные органы этичному использованию Tor в раскрытии преступлений и в редких случаях даже помогаем им, но это не повод вторгаться в частную жизнь всех людей без разбора. Поэтому мы предали гласности предпринятые ими атаки на Tor, имевшие место в прошлом году, и обнародовали шаги по замедлению и предотвращению подобных атак в будущем», – пишут в официальном блоге Tor Project.
Директор Каспар Боуден (Caspar Bowden) и другие представители руководства Tor Project считают сделку ФБР с университетом Карнеги-Мелон нарушением принципов этического исследования, бросающего тень на все академические проекты в области информационной безопасности.
Руководство университета пока не ответило на обвинения. В Tor Project не исключают того, что сделка с ФБР могла быть совершена с отдельными представителями университета без ведома администрации и одобрения его наблюдательного совета. Также к взлому Tor могла быть привлечена дочерняя организация «Институт программных разработок университета Карнеги-Мелон» (CMU SEI), где работают многие эксперты в области безопасности.
Представитель CMU SEI Эд Десотелс (Ed Desautels) отрицает причастность организации к атакам ФБР на Tor. «Мне неизвестно ни о каком контракте на миллион», – сообщил он в интервью изданию Ars Technica. Пролить свет на эту историю может новое слушание по делу Брайана Фаррелла, которое состоится в конце ноября.