В среду Mozilla подала в окружной суд Такомы, штат Вашингтон, ходатайствo, в котором требует от правительства раскрыть информацию об уязвимости в браузерах Tor и Firefox. ФБР использовало уязвимость нулевого дня, чтобы взломать сайт с детской порнографией и деанонимизировать его посетителей, использующих Tor.

В ходатайстве Mozilla требует от правительства предоставить информацию об уязвимости по крайней мере за 14 дней до того, как будет выполнено требование по предыдущему ходатайству, поданному защитой подсудимого Джея Мишо (Jay Michaud) и предписывающему ФБР предоставить информацию об эксплойте защитникам согласно охранному судебному приказу.

«Согласно решению суда, раскрытие информации об уязвимостях должно осуществляться в соответствии с практическими рекомендациями относительно отчетов об уязвимостях, принятыми в ИБ-сообществе, — пишет директор юридического департамента Mozilla Денель Диксон-Тейер (Denelle Dixon-Thayer). — В данном случае судья должен обязать правительство раскрыть информацию об уязвимостях в первую очередь технологическим компаниям, в продуктах которых содержится брешь, чтобы они смогли вовремя разработать патч».

Браузер Tor частично построен на открытом коде Firefox, но также использует код прокси, который шифрует коммуникацию и анонимизирует сессии в Интернете. В Mozilla заявили, что ФБР уже взламывало Tor и снова взялось за старое, отказываясь признавать, что правительственные хакеры атаковали дыру в коде Tor/Firefox.

«Если не отнестись к делу с осторожностью, безопасность миллионов пользователей браузера Mozilla Firefox может оказаться под угрозой в результате преждевременного раскрытия информации, — говорится в тексте ходатайства. — Опасность может затронуть и другие продукты. Firefox выходит под открытой лицензией, то есть код постоянно дорабатывается и публично доступен для разработчиков, которые могут просматривать, модифицировать, распространять и повторно использовать код для других продуктов, в частности браузера Tor».

Мишо, 62-летний учитель, был арестован в Сиэтле в прошлом июле по обвинению во владении детской порнографией, которую он предположительно скачал с нелегального сайта Playpen. Газета The Washington Post сообщала, что ФБР перехватило контроль над серверами веб-сайта и в феврале 2015 года воспользовалось эксплойтом, благодаря чему арестовало 137 человек. 17 февраля 2016 года защита Мишо потребовала от ФБР предоставить доказательства, касающиеся использования инструмента под названием Network Investigative Technique (NIT).

«В данный момент никто (включая нас), кроме правительства, не знает, какая уязвимость была эксплуатирована и содержится ли она в нашем коде, — говорит Диксон-Тейер. — Суд обязал правительство раскрыть детали уязвимости защите подсудимого, но не нашей компании, которая может закрыть эту брешь. Нам кажется, в этом нет никакого смысла, потому что на момент публикации уязвимость будет все еще не запатчена».

Это разбирательство снова привлекло внимание к стремлению правительства копить и использовать эксплойты 0-day, и это спустя всего несколько недель после того, как ФБР купило у третьей стороны неизвестный эксплойт, чтобы взломать айфон, принадлежавший стрелку из Сан-Бернардино. ФБР не предоставило Apple информацию об уязвимости, и, если правительство действительно приобрело эксплойт к непубличной уязвимости, последняя остается открытой для эксплуатации злоумышленниками.

В прошлом сентябре правительство представило отредактированную версию правил раскрытия информации об уязвимостях (Vulnerabilities Equities Process), где описан порядок действий при использовании и обнародовании уязвимостей. Многие секции в директиве редактируются, в том числе те, которые описывают порядок принятия решения об обнародовании новой уязвимости.

«Уязвимости могут ослабить степень безопасности пользователей и нанести им вред. Мы хотели бы, чтобы люди, находящие бреши в наших продуктах, сообщали нам об этом — тогда мы сможем закрыть их максимально оперативно, — сказала Диксон-Тейер. — Мы не занимаем никакую сторону в этом судебном разбирательстве, но мы на стороне сотен миллионов пользователей, безопасность которых зависит от своевременного раскрытия информации о бреши».

Категории: Кибероборона, Уязвимости