Hace más de un año, el Proyecto Tor parcho su software contra una vulnerabilidad explotada por investigadores de la Universidad Carnegie Mellon, dijo, con el propósito de de-anonimizar usuarios de los servicios ocultos de Tor.
La semana pasada, el director del Proyecto Tor, Roger Dingledine acusó a la prominente universidad de Pittsburgh de aceptar al menos un pago de $ 1 millón de la FBI para llevar a cabo el ataque, que al parecer fue utilizado para obtener pruebas para encarcelar a un miembro de la operación de Silk Road 2,0 y un hombre acusado de posesión de pornografía infantil.
Dingledine dijo en un correo a la página web del Proyecto Tor que el ataque no se llevó a cabo bajo los auspicios de una orden judicial obtenida por el FBI, ni bajo la supervisión de la Junta de Revisión Institucional de CMU.
"Creemos que es poco probable que podría haber conseguido una orden judicial válida para el ataque de CMU como fue realizado, ya que no se ajusta estrictamente a delincuentes o actividad criminal, pero en cambio parece haberse dirigido indiscriminadamente a muchos usuarios a la vez", escribió Dingledine. Dingledine dijo a Wired que "amigos en la comunidad de seguridad" le informaron de la cantidad pagada.
Kenneth Walters, director ejecutivo de CMU de relaciones con los medios, expreso: "No tenemos ningún comentario."
Sin más información de los funcionarios de la universidad, o los investigadores de CMU que estuvieron supuestamente detrás de los ataques, Alexander Volynkin y Michael McCord, es difícil saber si tomaron precauciones suficientes para atacar sólo los acusados, Brian Richard Farrell y Gabriel Peterson-Siler de Silk Road 2,0, acusados de estar en posesión de pornografía infantil. Solicitudes de comentarios hechas a Volynkin y McCord no fueron respondidas.
"Es muy posible que estos investigadores hayan ejercido protocolos estrictos para asegurar que ningún usuario inocente haya sido de-anonimizado de forma accidental. Este sería el procedimiento estándar en cualquier investigación legítima en seres humanos, en particular una investigación que tiene el potencial de dañar ", escribió el profesor Johns Hopkins y experto en seguridad Matthew Green. "Si los investigadores tomaron las medidas, sería bueno saber acerca de ellas. CMU ni siquiera ha admitido el alcance del proyecto de investigación, ni han publicado ningún resultado, así que simplemente no lo sé. "
La publicación de Green señala que el caso también expone una falta de supervisión ética en la comunidad de investigación de seguridad.
"... También hay una opinión de que la investigación de la seguridad informática en realidad no puede lastimar a la gente, así que no hay razón real para una especie de mecanismo de supervisión ética en primer lugar", escribió Green. "Esto esta totalmente equivocado, y si queremos ser tomados en serio como un campo maduro, tenemos que hacer algo al respecto."
Esta historia comenzó en julio pasado cuando el Proyecto Tor anunció que los atacantes habían estado en su red durante seis meses tratando de anular la ocultación de los usuarios de los servicios ocultos Tor. Casi al mismo tiempo, una platica programada en la conferencia Black Hat 2014 por Volykin y McCord en como romper Tor y deanonimizar usuarios con un presupuesto fue sacada de la conferencia por el equipo legal de CMU. Funcionarios de Tor conectaron los puntos y dijeron que en el momento, era probable que los investigadores de CMU estaban en la red Tor.
Entonces ayer Motherboard publicó documentos de la corte del caso de Farrell que explicó cómo presunta participación de Farrell con Silk Road 2.0 basada en la información obtenida por un "instituto de investigación universitaria y el gobierno federal."
Dingledine dijo que el ataque cruza la línea entre la investigación legítima y que ponen en peligro a los usuarios inocentes; Tor proporciona a usuarios en lugares sensibles o situaciones con un un medio anónimo encriptado de comunicación. Por ejemplo, es utilizado por los periodistas para comunicarse con las fuentes, los abogados para conectar con los clientes, y por los activistas en las zonas oprimidas.
Dingledine dijo:
"Este ataque también sienta un precedente preocupante: las libertades civiles están siendo atacadas si la policía cree que puede eludir las reglas de evidencia por la externalización de la labor policial a las universidades. Si utiliza la academia "investigación" como un caballo de acecho para la invasión de la privacidad, toda la empresa de investigación de seguridad va a caer en el descrédito. Investigadores de privacidad legítimos estudian muchos sistemas en línea, incluidas las redes sociales - Si se acepta este tipo de ataque del FBI por poder universitario, nadie tendrá proteccion significativa en linea de la 4ta Enmienda y todo el mundo está en riesgo ".
