Исполнительный директор Tor Project рассказал BBC, что американские и британские разведывательные агентства играют во внутренние кошки-мышки. Одна фракция пытается сломать анонимную сеть, другая анонимно сообщает о найденных багах разработчикам Tor.

Эндрю Льюман в пространном сетевом интервью сказал, что подозревает, что люди внутри обоих агентств анонимно сливают информацию об уязвимостях в Tor, чтобы баги вовремя патчились.

«В обеих организациях есть множество людей, которые могут анонимно сливать нам данные, как бы говоря: «Может, взглянете на это?», «Может, вы подумаете о том, чтобы исправить это?» — сказал Льюман. — И они так и делают».

Льюман заявил, что источники в агентствах применяют механизм Tor для анонимных сообщений о багах, — исследователи могут авторизоваться в баг-трекере Tor без указания электронной почты и, более того, делать это через сеть Tor.

«Они сообщают об этих фантастических багах так, будто некто с большим опытом и множеством времени исследовал эти баги и сказал: «Поглядите сюда, может, исправите X, Yи Z?» — сказал Льюман. — Иногда сообщение включает патч с пометкой «Вот мой вариант исправления кода». Мы очень аккуратно разбираемся во всем этом, и мы крайне впечатлены качеством баг-репортов, которые мы получаем на стороне программы из-за ошибки в коде, иногда очень, очень тонкой ошибки, или дизайнерской стороне, когда нам говорят, что тут мы приняли дизайнерское решение, но нам стоит рассмотреть и кое-какие другие аспекты».

Льюман признает, что его теория насчет того, что агенты американского АНБ (Агентства национальной безопасности) и британского ЦПС (Центра правительственной связи) саботируют работу собственных агентств с помощью этих докладов, лишь догадка, но добавляет, что эти люди должны быть достаточно компетентны, чтобы указать на данные уязвимости.

«Это люди, способные сделать это, имеющие навыки и время, чтобы вычитывать исходный код Tor часами, неделями и месяцами, находить и исследовать эти крайне тонкие баги и другие вещи, которые они, вероятно, не увидели бы в большинстве коммерческих программ, — сказал он. — И тот факт, что мы принимаем полностью анонимные сообщения о багах, позволяет им делать это безопасно».

Очередная порция документов Сноудена, выпущенная в октябре, указывает на то, что АНБ озабочено Tor, особенно невозможностью деанонимизировать пользователей этой сети. На слайде из внутренней презентации АНБ, названном «Tor воняет», говорится: «Мы никогда не сможем деанонимизировать всех пользователей Tor на постоянной основе. С помощью ручного анализа мы можем деанонимизировать лишь очень малую долю пользователей Tor».

Льюман заявил, что Tor получает эти сообщения ежемесячно, а основываясь на беседах с другим источником из АНБ, Уильямом Бинни, Льюман предполагает, что есть инсайдеры, «недовольные» тем, что агентства шпионят за гражданами собственной страны и собирают коллекцию телефонных звонков и данных об интернет-активности.

«Происходящее находит мощную поддержку, но в то же время есть другая половина организации, которая говорит: «Знаете что? Люди имеют право на неприкосновенность частной жизни!» и «Пойдемте и обрушимся на это», — сказал Льюман. — Так что там соблюдается баланс между теми, кто защищает нашу свободу, и теми, кто не хочет, чтобы она у нас была».

Категории: Кибероборона, Уязвимости