0-day dla Firefoksa w rękach FBI. Czy to zagrożenie bezpieczeństwa państwa?
Mozilla może sobie nawoływać do silnego szyfrowania komunikacji internetowej, ale co z tego, skoro jej Firefox może być najsłabszym ogniwem w całym łańcuchu bezpieczeństwa? Wszystko wskazuje na to, że korzystanie z sieci Tor za pomocą zbudowanego na bazie Firefoksa przeglądarki Tor Browser wiąże się z ryzykiem – FBI jest w posiadaniu skutecznego exploita przeciwko tej przeglądarce, z którego skorzystało już podczas operacji wymierzonej w użytkowników ukrytego serwisu z dziecięcą pornografią. Donosi o tym Nicholas Weaver, ekspert z International Computer Science Institute, przestrzegający użytkowników przed korzystaniem z Firefoksa. Powiedzmy sobie bowiem szczerze – jeśli o tej groźnej podatności wie FBI, to czemu nie mieliby o niej wiedzieć cyberprzestępcy z Rosji czy Chin?
Sprawa sięga marca 2015 roku, kiedy to FBI zdemaskowało i zlokalizowało serwer, na którym działał serwis sieci Tor, wykorzystywany przez użytkowników do wymiany zdjęć z dziecięcą pornografią. Zamiast go wyłączyć, agenci FBI zamienili go w pułapkę. 137 internautów ze Stanów Zjednoczonych zostało namierzonych i w konsekwencji oskarżonych o posiadanie i rozpowszechnianie tych zakazanych prawem treści.
Podczas pierwszych rozpraw, FBI twierdziło, że do zlokalizowania oskarżonych wykorzystano bliżej nieokreślone sieciowe techniki śledcze. Adwokaci jednego z nich, Jaya Michauda, nie wzięli tego za dobrą monetę i zażądali ujawnienia metody, za pomocą której namierzono ich klienta, by ustalić prawomocność jej zastosowania i rzetelność pozyskanych w ten sposób danych. Prowadzący sprawę sędzia Robert J. Bryan przychylił się do tego wniosku. Stwierdził że bez względu na kwestie techniczne, władze muszą ujawnić przed sądem metodę, która została wykorzystana do namierzenia i oskarżenia podejrzanego. Samo powołanie się na jakieś sieciowe techniki śledcze jest w świetle amerykańskiego prawa problematyczne – sądy mogą uznać zebrane w ten sposób dowody za owoce zatrutego drzewa i wykluczyć je z postępowania karnego.
Z tego co w końcu przyznał podczas przesłuchania jeden ze świadków, agent specjalny FBI Daniel Alfin, zastosowana sieciowa technika śledcza wiązała się z serwowaniem użytkownikom wchodzącym przez link prowadzący do pornograficznego forum złośliwego kodu z innego komputera w centrum danych w stanie Virginia. Kod pozwalał na przechwycenie ich realnego adresu IP, adresu MAC karty sieciowej, danych o architekturze sprzętowej i systemie operacyjnym. Nic więcej jednak FBI nie chciało ujawnić – dowiedzieliśmy się jedynie, że atak był wymierzony w przeglądarkę Tor Browser, wykorzystując exploit 0-day w jej rdzeniu.
Samo posiadanie przez FBI takiego exploitu może wiązać się z naruszeniem federalnych regulacji, szczególnie w świetle ogłoszonego przez Biały Dom w 2014 roku systemu o nazwie Vulnerabilities Equities Process. Zakłada on, że władze zobowiązane są do ujawniania posiadanej wiedzy o lukach w oprogramowaniu – chyba że ich ukrycie konieczne jest ze względu na bezpieczeństwo narodowe lub ważny interes organów ścigania. Sęk w tym, że taka luka w popularnym oprogramowaniu sama jest zagrożeniem dla bezpieczeństwa narodowego, otwierając drogę cyberprzestępcom i zagranicznym szpiegom do komputerów amerykańskich obywateli, urzędów i firm – uważa Nicholas Weaver.
O ile bowiem samego Tor Browsera można nie uznawać za „popularne oprogramowanie”, to trzeba pamiętać, że przeglądarka ta jest niczym innym, jak tylko Firefoksem ESR (wydanie o rozszerzonym okresie wsparcia), z dodatkowymi zabezpieczeniami. Exploity działające w Tor Browserze będą działały też w Firefoksie. A ujawnienie informacji o takim exploicie jest dla FBI katastrofą, i to wcale nie dlatego, że agenci federalni nie będą mogli kontynuować swojej wojny z pedofilią, narkotykami i innymi ciemnymi stronami ukrytej sieci, lecz ze względu na to, że nikt im już więcej exploita nie da.
Christopher Soghoian, główny ekspert od techniki komputerowej Amerykańskiej Unii Swobód Obywatelskich (ACLU) twierdzi bowiem, że samo FBI samo nie posiada umiejętności, które pozwoliłyby na znalezienie luki w Firefoksie i napisanie działającego exploita. Jeśli FBI miało w swoich rękach taki kod, to dostało go od strony trzeciej. Albo była to prywatna firma, która sprzedała exploita pod warunkiem dochowania tajemnicy jego istnienia, albo było to NSA, które udostępniło kod siostrzanej służbie na takich samych warunkach (w końcu samo NSA potrzebuje takich exploitów do znacznie poważniejszych zastosowań, niż ściganie ludzi wymieniających nielegalną pornografię). Wyjawienie kodu uczyni FBI niewiarygodnym w oczach partnerów – i dlatego właśnie prawnicy Biura desperacko walczą przed sądem o uchylenie nakazu ujawnienia exploita.
Jeśli do kogokolwiek w tej sytuacji można mieć pretensje, to przede wszystkim do twórców Tor Browsera. Decyzja, by zbudować bezpieczną przeglądarkę na bazie Firefoksa może i kiedyś wyglądała dobrze, ale dziś sytuacja jest zgoła inna. Przypomnijmy, że w lutym, podczas tegorocznego konkursu Pwn2Own za włamania do przeglądarki Mozilli nie dano złamanego centa, bo uznano, że są one „zbyt łatwe”. Mozilla zajmuje się dziś głównie implementowaniem w Firefoksie modnych technologii z nagłówków Hacker Newsa, opowiadaniem bajek o Firefox OS-ie dla Internetu Rzeczy i walką o sprawiedliwość społeczną, ale mimo wielu lat do tej pory nie potrafiła zapewnić należytego sandboksa i izolacji procesów w kartach. Tor Browser powinien dziś być budowany od podstaw na bazie Chromium – co by nie mówić, Google do bezpieczeństwa swojej przeglądarki przykłada znacznie więcej wagi.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
