Veiligheidsonderzoekers hebben het niet makkelijk. Het kan zijn dat hun werk om lekken in programma’s op te zoeken wordt gedwarsboomd door bedrijven of dat ze beschuldigd worden van illegale praktijken (we hebben het nu over Amerika). Het kan ook dat opsporingsinstanties er met je werk vandoor gaan in de hoop en verwachting er boeven mee te vangen. Zoiets lijkt te zijn gebeurd bij de zaak tegen Brian Farrell, die ervan wordt beschuldigd betrokken te zijn geweest bij de narcoticamarktplaats Silk Road 2. De FBI lijkt daar een methode gebruikt te hebben om de identiteit van gebruikers van het, in opzet, anonieme Tor-netwerk te achterhalen, dat is ontwikkeld door onderzoekers van de Carnegie Mellon-universiteit (Detroit). Dat leert dat, zeker in Amerika, veiligheidsonderzoekers voorzichtig moeten zijn. FBI-agenten hadden kennelijk weet gekregen van het onderzoek aan de Carnegie Mellon-universiteit (dat lijkt me niet zo moeilijk). Het idee van de onderzoekers is veiligheidsgaten te dichten in toepassingen en systemen, maar de FBI heeft daar kennelijk ge-/misbruik van gemaakt. “Als je proeven op een bestaand netwerk doet en je bewaart de gegevens, dan kunnen die gegevens worden opgeëist”, zegt Matt Blaze van de universiteit van Pennsylvania. “Als academici was het niet normaal daaraan te denken, maar het kan gebeuren en het is gebeurd.” Onderzoekers moeten daar wel degelijk rekening mee gaan houden, stelt advocaat Tor Ekeland, die gespecialiseerd is in computerveiligheid.
De armen van de wet gaan zelfs zo ver dat de onderzoekers ook hun middelen moeten afstaan (in dit geval de anonimiteitskraker van de Carnegie Mellon-onderzoekers). Ekeland: “Het lijkt er op dat ze ook opsporingstechnieken gaan opeisen.” Wat de onderzoekers precies aan de FBI hebben overhandigd is nog duister, maar op de webstek van het krakerscongres van Black Hat, waar ze hun bevindingen in augustus 2014 wilden bespreken, hadden ze het over een groot lek in Tor, waardoor zowel de gebruikers als de gebruikte webservers konden worden achterhaald. “Wil je het IP-adres van een Tor-gebruiker achterhalen? Waar zit de verborgen dienst? Geen probleem. We weten dat omdat we dat gedaan hebben. In het echt..”, stelde de samenvatting van hun beoogde bijdrage. De Carnegie Mellon-onderzoekers beloofden de bezoekers van het congres tientallen deanonimiseringsvoorbeelden te geven, met inbegrip van drugsmarkten en stekken voor kinderporno op het anonieme Tor-netwerk. Enkele weken nadat die samenvatting verscheen, verdween die weer van de stek.
In november 2014 lanceerden de FBI en Europol de operatie Onymous, een verwijzing naar het symbool van Tor, een ui. Die leverde een aanzienlijke vangst op met, onder meer, Silk Road en enkele andere webmarkten voor verdovende middelen. De wetshandhavers beweerden dat ze daarbij gebruik hadden gemaakt van een nieuwe techniek om de webadressen van webstekken op het Tor-netwerk te achterhalen. “Dat is iets dat we graag voor onszelf willen houden”, zei destijds Europol-man Troels Oerting. Dat zou er op wijzen dat de wetshandhavers niet alleen de onderzoeksgegevens hadden opgeëist, maar ook de techniek.
Vrijwillig?
Mogelijk dat de onderzoekers niet helemaal onvrijwillig hun werk hebben overgedragen aan de FBI. Ze werkten aan softwareontwikkeling en hun werk werd gefinancierd door het Amerikaanse ministerie van defensie. Daar staat dan weer tegenover dat de onderzoekers hun onderzoeksgegevens openbaar wilden maken gegeven hun aankondiging op het Blach Hat-comgres in 2014. Tor Project had eerder die universiteit beschuldigd dat die niet alleen onderzoek zouden staken (op verzoek, neem ik aan), maar dat de instelling zich daarvoor ook liet betalen. Volgens Tor-oprichter Roger Dingledine zou Carnegie Mellon eenmiljoen dollar gekregen hebben voor de Tor-kraaktechniek. Een woordvoerder van de universiteit zegt af en toe te maken te hebben met sommaties. “De universiteit gehoorzaamt de wet en krijgt daar geen vergoeding voor.”
Een les uit deze zaak is volgen Blaze dat onderzoekers hun gegevens zo bijhouden dat er minimale informatie over individuen uit is te halen, die zo veel mogelijk anonimiseren en die gegevens vernietigen als ze niet langer van belang zijn. “Als het niet absoluut nodig is verzamel ze dan ook niet.”
Bron: Wired