Пока Apple изучает юридические хитросплетения, чтобы заставить ФБР объяснить, как именно был взломан злосчастный iPhone террориста Сайеда Фарука, похожая ситуация разворачивается прямо перед нашими глазами и касается известного анонимайзера Tor. Исход этого дела может показать, что ждет Apple.

ФБР отказывается удовлетворить предписание судьи и предоставить исчерпывающие сведения о том, каким образом бюро смогло взломать анонимную сеть Tor. Благодаря этой операции ФБР смогло начать ряд расследований относительно распространения детской порнографии.

В своем ходатайстве ФБР попросило судью Роберта Дж. Брайана (Robert J. Bryan) пересмотреть свое решение.

В результате одного из начатых ФБР расследований по факту хранения детской порнографии в июле 2015 года был арестован школьный учитель Джей Мишо (Jay Michaud) из штата Вашингтон. Мишо — один из 137 обвиняемых по делам о детской порнографии, арестованных в результате масштабной операции ФБР, в ходе которой в минувшем феврале бюро мониторило Дарквеб на предмет обращений к «Playpen» — веб-сайту, посвященному детской порнографии.

Получив доступ к серверам, используемым для хостинга Playpen, федералы в течение 13 дней хостили ресурс на собственных серверах, чтобы выявить завсегдатаев сайта.

ФБР использовало особый инструмент NIT, чтобы обойти защиту Tor и собрать данные об IP- и MAC-адресах подозреваемых, а также другую информацию. В феврале судья Брайан выписал в адрес ФБР ордер, в котором обязал бюро объяснить, каким образом оно сумело взломать Tor. Частично этому способствовали усилия адвокатов Мишо, которые указали, что код, раскрытый агентством в ходе судебных слушаний, был опубликован не полностью.

Представители защиты, которых консультирует эксперт Влад Цирклевич (Vlad Tsyrklevitch), заявили, что ФБР должно полностью раскрыть подробности метода, при помощи которого был взломан компьютер подзащитного.

«Этот компонент нужен, чтобы понять, использовало ли ФБР помимо уже предоставленных суду программ другие программные компоненты для проникновения в компьютер господина Мишо», — говорится в документе.

В официальном ответе на требования защиты Дэниэл Элфин (Daniel Alfin), спецагент ФБР, подчеркнул, что публикация эксплойта ничего не скажет о том, что произошло после того, как ФБР проникло в компьютер Мишо.

По мнению Элфина, эксплойт, который бюро использовало для доставки NIT в систему подозреваемого с целью обхода средств безопасности на компьютере, не имеет прямого отношения к делу.

«Простая аналогия: даже если знать о том, каким образом кто-то смог взломать входную дверь, это не прольет свет на то, чем именно занимался этот человек, когда вошел в дом, — пишет Элфин. — Если суду необходимо определить, превысило ли бюро полномочия в рамках выписанного ранее ордера, потребуется анализ инструкций NIT, которые выполнялись на компьютере Мишо, а не метода, при помощи которого они были изначально внедрены в компьютер».

Элфин даже предложил Цирклевичу ознакомиться с копией данных, которые передавались с компьютера Мишо на сервера ФБР после того, как NIT был запущен. По словам агента, это позволит определить, что идентификатор запросов был уникальным.

Это еще одна нашумевшая история о том, что ФБР имеет действенные методы для обхода средств Tor. Официальные представители проекта Tor в прошлом году предъявили ФБР претензии: по их мнению, бюро якобы заплатило $1 млн исследователям Университета Карнеги — Меллона за деанонимизацию пользователей Tor и выявление их реальных IP-адресов. Федеральный судья встал на сторону Tor и обязал ФБР раскрыть подробности. Таким образом, выяснилось, что IP-адрес Брайана Феррела (Brian Farrell), обвиняемого в управлении ныне закрытым онлайн-магазином наркотиков Silk Road 2.0, выявили исследователи Института программной инженерии (SEI). Эта информация впоследствии была передана ФБР.

Анонимайзер стал неотъемлемой частью жизни многих пользователей, главным образом граждан и журналистов, преследуемых репрессивными режимами. Но им также активно пользуются киберпреступники и мошенники, а это делает Tor постоянной целью рейдов, организуемых правоохранительными органами.

Согласно исследованию CDN-провайдера Cloudflare, 94% запросов, исходящих из Tor, являются вредоносными. Глава Cloudflare Мэттью Принс (Matthew Prince) утверждает, что в рамках трафика Tor разработчики компании очень часто получают «подарки» в виде спама, попыток сканирования на наличие уязвимостей, рекламного клик-фрода, сканирования логинов. Недавно провайдер даже внедрил такие меры, как белые списки для трафика Tor и принудительный тест CAPTCHA для анонимных пользователей.

CAPTCHA, конечно, не идеальная мера, и они очень сильно раздражают пользователей, признает Принс. Тем не менее компания работает над альтернативными методами, которые помогут отделить «человеческий» и бот-трафик из Tor.

В Cloudflare усиленно пытаются найти баланс между анонимностью и безопасностью, и из-за этого компании пришлось пожертвовать некоторыми удобствами для пользователей Tor.

«Мы могли бы использовать супер-cookie или другие техники, чтобы обойти меры обеспечения анонимности в Tor. Вместе с тем от этой идеи нам не по себе, так как анонимность онлайн — это важно, — сказал Принс. — К сожалению, все, на что мы можем рассчитывать, когда анонимный запрос из Tor приходит в нашу сеть, — это «репутация» IP-адреса и содержание запроса».

Категории: Кибероборона