Tor Project: ‘Onderzoekers van Carnegie Mellon University zijn door FBI betaald om Tor-gebruikers aan te vallen’

  1. 16 nov 2015
  2. 0 reacties

Het Tor Project stelt dat onderzoekers van de Carnegie Mellon University door de FBI betaald te zijn om de identiteit van een reeks Tor gebruikers te onthullen. Deze data zou gebruikt zijn in het onderzoek naar de ondergrondse marktplaats Silk Road 2.0. De onderzoekers zouden 1 miljoen dollar hebben ontvangen voor hun hulp.

Dit stelt Roger Dingledine, directeur van het Tor Project, in een blogpost. “Het Tor Project heeft meer informatie gekregen over de aanval van vorig jaar door Carnegie Mellon onderzoekers op het verborgen service subsysteem. Blijkbaar zijn deze onderzoekers betaald door de FBI om gebruikers van verborgen diensten aan te vallen in een breedschalige aanval, en vervolgens in de data te zoeken naar mensen die zij konden beschuldigen van criminaliteit” schrijft Dingledine. De directeur van het Tor Project stelt zich hierbij te baseren op bronnen uit de security community. Hard bewijs voor de beschuldigingen lijkt er echter niet te zijn.

Universiteit-gebaseerd onderzoeksinstituut

De blogpost van Dingledine is een reactie op informatie die naar buiten is gebracht door Joseph Cox van Motherboard. Cox wijst op een alinea in een document dat door de verdediging in de rechtszaal is aangevoerd in de zaak tegen Brian Farrell, één van de beheerders van Silk Road 2.0. “Op 12 oktober 2015 heeft de overheid de verdediging een brief gegeven waaruit blijkt dat de betrokkenheid van meneer Farrell bij Silk Road 2.0 is geïdentificeerd op basis van informatie die is verzameld door een ‘universiteit-gebaseerd onderzoeksinstituut’ die gebruik heeft gemaakt van eigen computers op het anonieme netwerk dat door Silk Road 2.0 werd gebruikt”, staat in de alinea.

De advocaten van Farrell hebben geprobeerd hierover meer informatie hierover te verkrijgen om de relatie tussen het ‘universiteit-gebaseerd onderzoeksinstituut’ en de Amerikaanse federale overheid aan het licht te brengen. Daarnaast wil de verdediging inzicht in de werkwijze die is gehanteerd om Farrell te identificeren. De verdediging heeft deze informatie echter tot nu toe niet ontvangen.

Presentatie op Black Hat conferentie

Carnegie Mellon University wordt in de documenten overigens niet genoemd. Dingledine wijst echter op een presentatie die op de Black Hat conferentie zou worden gegeven, maar uiteindelijk is ingetrokken. Deze presentatie heeft als titel ‘YOU DON'T HAVE TO BE THE NSA TO BREAK TOR: DEANONYMIZING USERS ON A BUDGET’, waarin Alexander Volynkin en Michael McCord van de Carnegie Mellon University wilden beschrijven hoe zij het de gedistribueerde aard van het Tor netwerk in combinatie met kwetsbaarheden in het ontwerp en implementatie van het netwerk konden misbruik om de anonimiteit van gebruikers te doorbreken. De kwetsbaarheid werd door het Tor Project halverwege 2014 bevestigd en verholpen.

“Deze aanval zet een problematisch precedent: burgerrechten zijn in gevaar indien opsporingsinstanties menen regels rond het verzamelen van bewijsmateriaal te kunnen omzeilen door politiewerk uit te besteden aan universiteiten”, waarschuwt Dingledine. Ook waarschuwt de directeur dat indien academici ‘onderzoek’ gebruiken als een voorwendsel om privacy te kunnen aantasten de volledige industrie rond security onderzoek onder druk komt te staan.