Ameriško obrambno ministrstvo najelo CMU za spodkopavanje Tora

Dobili smo uradno potrditev lanskih bojazni razvijalcev Tora, da je ameriška zvezna vlada leta 2014 najela Carneige Mellon University (CMU) oziroma njihov Software Engineering Institute (SEI) za raziskave, kako v omrežju Tor kljub želeni anonimnosti razkriti identiteto uporabnikov. Te obtožbe je lani novembra izrekel vodja projekta Tor Roger Dingledine na podlagi podatkov iz sojenja upravljavcem strani Silk Road 2.0.

Lani epiloga ni bilo, saj je FBI zgolj suho zanikal, da bi CMU plačal milijon dolarjev za vdor v Tor, na CMU pa so zapisali le, da občasno dobijo sodne pozive (subpoena), ki jih pač morajo izpolniti. Sedaj je znanega več. Ni bil FBI tisti, ki je to naročil pri CMU, temveč neposredno ameriško pravosodno ministrstvo. Osumljenčev IP-naslov (to je Brian Farrell kot upravljavec Silk Roada 2.0) je v okviru svojih raziskav pridobil SEI CMU, te raziskave pa je financiralo obrambno ministrstvo. SEI je potem na podlagi sodnega poziva te podatke moral izročiti organom pregona, se je izkazalo v pripravah na sojenje Farrellu.

Dobili pa smo tudi potrditev, da je bil res SEI CMU tisti, ki je med januarjem in julijem 2014 izvajal napad na omrežje Tor. V tistem času se je namreč pojavilo precej sumljivih in zlonamernih vozlišč, katerih vir ni bil nikoli docela pojasnjen. CMU je za konferenco Black Hat avgusta 2014 prijavila prispevek o ugotavljanju identitete na Toru, a je bil še pred konferenco nepojasnjeno umaknjen. Kakorkoli, ranljivost, ki so jo pri tem izkoriščali, je bila odtlej zakrpana in Tor je danes še vedno varno omrežje, zagotavljajo njegovi skrbniki.

Zanimivo je tudi vprašanje, kako je FBI vedel, da ima SEI CMU želene podatke, da je na sodišče sploh naslovil zahtevek za izdajo poziva za razkritje. FBI je dejal, da ima te odgovore CMU, od koder pa novih komentarjev niso posredovali, temveč ponavljajo novembrsko izjavo za javnost. Sojenje Farrellu se bo pričelo aprila.