https://static.jiayezz.com/23/f81bc40ca7dfea54408d1ae16babc7

Tor项目在去年受到了许多攻击,这些攻击来自卡耐基梅隆大学的研究人员在隐藏的服务器子系统上发起的攻击。

显然,这些研究人员是由FBI雇用了在“大清扫”中用于攻击那些隐藏的服务器使用者的,然后,通过他们的 数据筛选就可以找到那些他们可以指控犯罪的人。我们去年公开了这些攻击,我们在未来的日子里将会采取措施去减缓或者停止这样的攻击。大家可以看看相关的声明:https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/

这里是他们(已经撤回)提交给黑帽大会的链接:

https://web.archive.org/web/20140705114447/http://blackhat.com/us-14/briefings.html#you-dont-have-to-be-the-nsa-to-break-tor-deanonymizing-users-on-a-budget

以及Ed Felten的分析:

https://freedom-to-tinker.com/blog/felten/why-were-cert-researchers-attacking-tor/

我们一直被告知,FBI支付给CMU(卡内基梅隆大学)的费用至少有100万美元。

现在还没有任何迹象表明,他们有有效的许可或者有由卡耐基-梅隆大学的机构审查委员会监督的任何机构。他们已经为卡内基梅隆大学的攻击得到一份有效的担保,我们认为这是不可能的。因为这对于罪犯目标或犯罪活动来说是不切实际的,但似乎相反的是很快就开始针对大量的用户。

这种行为违反了我们的信任以及有道德的研究的基本准则。我们强烈支持在我们的软件上和网络上进行独立的研究,但这次一攻击跨越了在研究和危害无辜的用户之间的那条关键底线。

这起攻击开启了一个令人不安的先例:如果执法部门认为它可以通过对大学进行外包警务工作就能规避证据规则,那么公民的自由将会受到攻击。如果学术界以“研究”的名义,对民众进行侵犯隐私,那么业界的安全研究将会陷于声名狼藉的境地。合法的隐私研究人员研究了许多在线系统,其中包括社会网络——如果这类由大学代理的联邦调查局的攻击被接受的话,以后将没有人会认为第四修正法案——保护网络权益是有意义的,大家都将处于危险的境地。

去年,当我们了解到这个漏洞,我们修补了它,并且发布了我们在我们的博客上公开了相关信息:https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/

我们允许执法人员,他们可以使用Tor来进行他们的调查,并且我们支持将Tor用于这样的研究调查——但是,不能用执法调查的名义,为对民众进行大规模的隐私侵犯进行狡辩,当然,肯定也不能认为这样的“合法研究”是真正合法的。

在二十一世纪,任何学术安全研究都应该是,肯定不包括 为“未经民众认知和同意不加区别地危及陌生人”支付费用。

文章原文链接:https://www.anquanke.com/post/id/82900