В минувшую среду представители Университета Карнеги — Меллон (CMU) опубликовали заявление, намекнув, что они получили судебный запрос о предоставлении материалов исследования, нацеленного на деанонимизацию пользователей сети Tor. Питтсбургский университет также опроверг получение $1 млн от ФБР на исследование, как то утверждает директор Tor Project.

В ответ на запрос Threatpost глава пресс-службы CMU Кеннет Уолтерс (Kenneth Walters) заявил, что на данный момент он не может предоставить журналистам какие-либо комментарии. Tor Project на аналогичный запрос пока не откликнулся.

Полный текст публичного заявления CMU:

За последние дни в СМИ появился ряд ошибочных утверждений в отношении работы института программной инженерии Университета Карнеги — Меллон в области информационной безопасности.

Институт программной инженерии, входящий в состав университета, является бюджетным научно-исследовательским центром (FFRDC) и был специально создан для изучения проблем безопасности и разработки программного обеспечения. Одной из задач, решаемых CERT института, является исследование и идентификация уязвимостей в ПО и компьютерных сетях, а также поиск способов их устранения.

В ходе работы университет время от времени получает запросы суда на предоставление информации о проведенных исследованиях. Следуя установленным правовым нормам, университет отвечает на законные запросы и не получает никакой мзды за соблюдение утвержденной процедуры.

«CMU дает понять, что он не по своей воле передал результаты исследования правительству, — комментирует Крис Согоян (Chris Soghoian), главный технический консультант Американского союза защиты гражданских свобод. — Однако я не нашел ответ на самый важный вопрос: почему команда исследователей взялась за эту тему. Это их собственный выбор или был какой-то сторонний запрос? Неясно также, в какой степени все это координировалось. Нежелание CMU отвечать на эти вопросы говорит о том, что, возможно, им есть что скрывать от общественности».

Масла в огонь подлил директор Tor Project Роджер Динглдайн (Roger Dingledine), который обвинил CMU в получении $1 млн от ФБР на проведение исследования, которое якобы помогло раздобыть улики против двух пользователей Tor. Одного из них подозревают в причастности к деятельности теневой торговой площадки Silk Road 2.0, второго обвинили в хранении детской порнографии. Материалы дела о Silk Road 2.0, фигурантом которого является Брайан Фаррел (Brian Richard Farrell), были частично опубликованы на Motherboard 11 ноября. Согласно этим документам, свидетельства причастности Фаррела к противозаконным операциям были добыты «институтом, работающим на базе университета, и федеральным правительством».

Как бы то ни было, Согоян полагает, что уклонение CMU от прямых ответов не было продиктовано судебным приказом. «Запросы суда не предусматривают обет молчания, — отмечает эксперт. — Если бы им запретили разглашение, был бы издан судебный приказ. Запросы суда подобны рецептурным бланкам в кабинете врача: берешь один, заполняешь и выводишь на печать».

Скандальная история со CMU навела также тень на двух университетских исследователей — Александра Волынкина и Майкла МакКорда (Michael McCord). Как оказалось, оба они связаны с национальной CERT, работающей под эгидой министерства внутренней безопасности США. Уклончивость CMU и здесь усугубила ситуацию: непонятно, был ли какой-либо контроль со стороны университетского экспертного совета, а также имело ли место превышение этических норм при раскрытии значительной части Tor-трафика. Эта атака кроме Фаррела и Габриэля Петерсона-Сайлера, фигуранта дела о детской порнографии, затронула также других, ни в чем не повинных пользователей.

«Бытует также мнение, что исследования в области компьютерной безопасности не могут всерьез навредить кому бы то ни было, поэтому нет веских причин как-то контролировать соблюдение этических норм, — размышляет в профильном блоге Мэтью Грин (Matthew Green), преподающий криптографию в университете Джона Хопкинса. — Это в корне неверно, и, если мы хотим, чтобы нас воспринимали как зрелых профессионалов, придется каким-то образом учитывать и этот аспект».

Грин раскритиковал атаку исследователей и сомневается, что они приняли какие-то меры против деанонимизации «безвинных посторонних лиц», хотя именно предусмотрительность, по мнению профессора, отличает научные исследования, субъектом которых являются люди. «Если исследователи принимали такие меры, неплохо бы было дать об этом знать, — заключает Грин. — CMU даже не подтвердил масштабы исследовательского проекта, никакие результаты тоже не были опубликованы, так что мы не знаем ровным счетом ничего».

Единственное, что доподлинно известно, — это то, что научные исследования CERT, работающей на базе CMU, финансируются правительством. Значит, если предположить, что ФБР не отстегивало деньги на проект, правительство все-таки имеет к нему косвенное отношение — возможно, оно даже оплатило Tor-серверы, поднятые Волынкиным и МакКордом.

«В финансовом плане этот научно-исследовательский институт полностью зависит от федерального правительства, — подтверждает Согоян. — Они могут отрицать, что получили деньги на проект от ФБР, однако зарплата исследователям выдавалась за счет федерального бюджета. По нашим оценкам, на проект работало множество Tor-серверов. Кто за них платил, неясно; полагаю, деньги были взяты из исследовательских фондов, формируемых правительством».

Волынкин и МакКорд упорно хранят молчание с тех самых пор, когда сняли свой доклад с повестки дня конференции Black Hat. Он был отозван 21 июля 2014 года, за несколько недель до запланированной презентации в Лас-Вегасе. Через девять дней, 30 июля, на Tor Project появился информационный бюллетень, утверждающий, что исследователи находились в Tor около полугода, пытаясь идентифицировать пользователей скрытых сервисов. Участники Tor Project пресекли атаки на подтверждение трафика и закрыли уязвимость, используемую атакующими, которых тогда же связали с исследованием CMU. Глава Tor Project на тот момент признал, что исследователи поделились некоторой информацией по запросу, однако приватно свои находки в Tor не представили.

Теперь Динглдайн заявляет, что атака исследователей создала тревожный прецедент: «Гражданские свободы под угрозой, если правоохранительные органы считают, что им дозволено нарушать правила о доказательствах и перекладывать работу полиции на университеты. Если представители науки нарушают право на неприкосновенность частной жизни, прикрываясь «исследованием», это дискредитирует весь институт ИБ-исследований. Законопослушные исследователи приватности изучают множество онлайн-систем, в том числе социальные сети. Если атаки ФБР с использованием университетских прокси приемлемы, такая защита, как четвертая поправка, станет бесполезной онлайн, и в зоне риска окажется все интернет-сообщество».

Категории: Главное