Traduzione a cura di Ivano Cordioli

articolo originale: Did the FBI Pay a University to Attack Tor Users?

Il Progetto TOR ha approfondito l’indagine sull’attacco dello scorso anno da parte dei ricercatori dell’università Carnegie Mellon sul sottosistema di servizi nascosti.

In apparenza, questi ricercatori sono stati pagati dall’FBI per attaccare gli utenti con una specie di retata di grandi proporzioni, per poi scandagliare i loro dati nel tentativo di accusarli di qualche reato.

Abbiamo reso noto l’attacco lo scorso anno, assieme alle contromisure per rallentare o bloccare simili tentativi in futuro.

https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/

Ecco il link riguardante il report dell’FBI (fino al momento della cancellazione dal web) alla conferenza Black Hat

https://web.archive.org/web/20140705114447/http://blackhat.com/us-14/briefings.html#you-dont-have-to-be-the-nsa-to-break-tor-deanonymizing-users-on-a-budget

assieme all’analisi di Ed Felten all’epoca

https://freedom-to-tinker.com/blog/felten/why-were-cert-researchers-attacking-tor/

Ci è stato riferito che la somma corrisposta alla Carnegie Mellon University ammonta ad almeno un milione di dollari.

Non ci sono evidenze, ad oggi, che il Comitato di Controllo dell’università abbia avallato o supervisionato l’iniziativa.

Riteniamo poco probabile che ci sia stato un supporto ufficiale, visto che l’operazione non risulta specificamente progettata per prendere di mira attività criminali, ma piuttosto per attaccare indiscriminatamente molti utenti contemporaneamente.

Un comportamento simile rappresenta una violazione dei principi basilari dell’etica della ricerca universitaria e della fiducia che riponiamo in essa.

Noi sosteniamo energicamente la ricerca indipendente sul nostro software e sul nostro network, ma questo attacco oltrepassa il confine tra ricerca e compromissione della sicurezza di utenti ignari.

Questa azione stabilisce anche un pericoloso precedente: le libertà civili sono sotto attacco se l’applicazione della legge consente di poter appaltare il lavoro d’indagine ad una università aggirando le regole.

Se in ambito accademico si utilizza la “ricerca” come cavallo di troia per violare la privacy, l’intera costruzione della sicurezza informatica perderà ogni credibilità.

I ricercatori sulla privacy studiano legittimamente i sistemi online, compresi i social network. Se questo tipo di attacchi posti in essere dall’FBI attraverso proxy universitari venisse accettato, nessuno potrebbe sensatamente appellarsi al Quarto Emendamento per avere una tutela dei propri diritti online e chiunque sarebbe a rischio.

Quando abbiamo scoperto questa vulnerabilità lo scorso anno, abbiamo predisposto una patch ed abbiamo pubblicato sul blog le informazioni di cui disponevamo

https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/

Noi insegniamo alle forze dell’ordine come utilizzare TOR per le indagini in modo etico, e ne sosteniamo tale uso, ma una mera patina di legalità nell’attività investigativa non può giustificare l’invasione massiccia della privacy delle persone, e di sicuro non può assumere la definizione di “ricerca legittima”.

Qualsiasi forma prenderà la ricerca sulla sicurezza nel ventunesimo secolo, non potrà certamente includere “esperimenti” a pagamento che danneggino indiscriminatamente persone estranee a queste attività senza che ne siano informate e che prestino il loro consenso.

 

logo_ilbruttobug

Annunci