В борьбе с «детской порнографией», если верить официальным представителям, агенты ФБР взломали Tor-хостинг Freedom Hosting:
Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle. Этот пакет, свободно размещенный на официальном сайте проекта, предназначен для пользователей, которые желают воспользоваться анонимной сетью.
Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.
Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя. Удалось найти два адреса, на которые скрытый код отправлял данные, однако с кем они были связаны, установить не удалось — трассировка обрывалась на одном из серверов американской телекоммуникационной компании Verizon.
Причастность ФБР к созданию этого кода была подтверждена официальным представителем впервые. До этого наблюдатели могли лишь догадываться о том, кто является его автором. Было наиболее очевидно, что к этому причастны именно властные структуры, так как предназначением кода было рассекречивание пользователей, а не установка какого-либо зловреда.
Выступая в суде, спецагент Донахью пояснил, что код был внедрен для поиска соучастников Маркеса.
Из статьи не совсем понятно уязвимы ли все пакеты Tor Browser Bundle, или только те, что скачаны с данного хостинга, или те что подключаются к данному хостингу, но перспективы всё равно мрачные. Особенно, если вспомнить про билет 901614, в котором предлагается улучшить безопасность браузера Firefox, внедрив в него анонимайзер Tor в качестве стандартной опции. Таким образом, стоит выйти новой версии с новой дырой и вся анонимность окажется под вопросом.
Так же, недавно стало известно, что 60% спонсорских средств Tor покрывает американское правительство
Проект Tor на 60% финансируется правительством США — это следует из отчета за 2012 г., опубликованного на официальном сайте проекта. Общий объем финансирования за прошлый год составил около $2 млн, из них 40% были предоставлены Министерством обороны США, а остальные 20% — Государственным департаментом США и Национальным научным фондом при правительстве США.
С другой стороны, если для использования этой уязвимости требуется устанавливать специальное ПО на серверах Tor, то видимо для массовой слежки этот инструмент ещё не годится.
P.S. Знаю, что скажут некоторые специалисты, мол, передавались всего лишь «MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows», но в данном случае этих данных оказалось вполне достаточно.
P.P.S Прошу прощения за несколько жёлтый заголовок.
UPDATE На сайты пользующиеся услугами данного хостинга внедрили вредоносный JavaScript-код. Анализ эксплоита, проведенный компанией Mozilla показал, что он использует уязвимость Firefox, устраненную 25 июня 2013 года, что делает подверженными ей только пользователей Windows с устаревшей версией браузера. Таким образом, целью атаки была та же уязвимость в Tor Browser Bundle, с помощью которой стала возможна деанонимизация пользователей. Пользователям Tor Browser было настоятельно рекомендовано немедленно обновить приложение. Один из ключевых разработчиков Tor Роджер Динглдайн рекомендовал пользователям в целях своей безопасности всегда по-умолчанию отключать JavaScript, а также отказаться от использования Windows и перейти на более надежные системы, как TAILS и Whonix. Вскоре появилась информация, что за атакой стоит ФБР, которое намеренно оставило Freedom Hosting в рабочем состоянии, чтобы идентифицировать как можно большее число посетителей сайтов, располагавшихся на данном хостинге. Затем он был отключен, что привело к недоступности ряда скрытых сервисов Tor, так как многие из них работали именно на платформе Freedom Hosting. Вредоносный скрипт получил название torsploit и с учетом версии о причастности ФБР был отнесен к программам отслеживания (policeware) из категории CIPAV. Специалисты компании Cryptocloud провели собственное расследование с целью выяснить, куда стекалась информация с пораженных компьютеров и обнаружили, что torsploit отправляет ее на IP-адрес компании SAIC, которая работает по контракту с АНБ. Но в дальнейшем они признали свой вывод ошибочным. Впоследствии ФБР признало, что именно оно перехватило контроль над Freedom Hosting.