0-day dla Firefoksa w rękach FBI. Czy to zagrożenie bezpieczeństwa państwa?

0-day dla Firefoksa w rękach FBI. Czy to zagrożenie bezpieczeństwa państwa?16.04.2016 19:15

Mozilla może sobie nawoływaćdo silnego szyfrowania komunikacji internetowej, ale co z tego, skorojej Firefox może być najsłabszym ogniwem w całym łańcuchubezpieczeństwa? Wszystko wskazuje na to, że korzystanie z sieci Torza pomocą zbudowanego na bazie Firefoksa przeglądarki Tor Browserwiąże się z ryzykiem – FBI jest w posiadaniu skutecznegoexploita przeciwko tej przeglądarce, z którego skorzystało jużpodczas operacji wymierzonej w użytkowników ukrytego serwisu zdziecięcą pornografią. Donosi o tym Nicholas Weaver, ekspert zInternational Computer Science Institute, przestrzegającyużytkowników przed korzystaniem z Firefoksa. Powiedzmy sobie bowiemszczerze – jeśli o tej groźnej podatności wie FBI, to czemu niemieliby o niej wiedzieć cyberprzestępcy z Rosji czy Chin?

Sprawa sięga marca 2015 roku, kiedy to FBI zdemaskowało izlokalizowało serwer, na którym działał serwis sieci Tor,wykorzystywany przez użytkowników do wymiany zdjęć z dziecięcąpornografią. Zamiast go wyłączyć, agenci FBI zamienili go wpułapkę. 137 internautów ze Stanów Zjednoczonych zostałonamierzonych i w konsekwencji oskarżonych o posiadanie irozpowszechnianie tych zakazanych prawem treści.

Podczas pierwszych rozpraw, FBI twierdziło, że do zlokalizowaniaoskarżonych wykorzystano bliżej nieokreślone sieciowe technikiśledcze. Adwokaci jednego znich, Jaya Michauda, nie wzięli tego za dobrą monetę i zażądaliujawnienia metody, za pomocą której namierzono ich klienta, byustalić prawomocność jej zastosowania i rzetelność pozyskanych wten sposób danych. Prowadzący sprawę sędzia Robert J. Bryanprzychylił się do tego wniosku. Stwierdziłże bez względu na kwestie techniczne, władze muszą ujawnić przedsądem metodę, która została wykorzystana do namierzenia ioskarżenia podejrzanego. Samo powołanie się na jakieś sieciowetechniki śledcze jest w świetle amerykańskiego prawaproblematyczne – sądy mogą uznać zebrane w ten sposób dowody zaowoce zatrutego drzewa i wykluczyć je z postępowania karnego.

Z tego co w końcu przyznałpodczas przesłuchania jeden ze świadków, agent specjalny FBIDaniel Alfin, zastosowana sieciowa technika śledcza wiązała się zserwowaniem użytkownikom wchodzącym przez link prowadzący dopornograficznego forum złośliwego kodu z innego komputera w centrumdanych w stanie Virginia. Kod pozwalał na przechwycenie ich realnegoadresu IP, adresu MAC karty sieciowej, danych o architekturzesprzętowej i systemie operacyjnym. Nic więcej jednak FBI niechciało ujawnić – dowiedzieliśmy się jedynie, że atak byłwymierzony w przeglądarkę Tor Browser, wykorzystując exploit 0-dayw jej rdzeniu.

Samo posiadanie przez FBI takiegoexploitu może wiązać się z naruszeniem federalnych regulacji,szczególnie w świetle ogłoszonego przez Biały Dom w 2014 rokusystemu o nazwie Vulnerabilities Equities Process. Zakłada on, żewładze zobowiązane są do ujawniania posiadanej wiedzy o lukach woprogramowaniu – chyba że ich ukrycie konieczne jest ze względuna bezpieczeństwo narodowe lub ważny interes organów ścigania.Sęk w tym, że taka luka w popularnym oprogramowaniu sama jestzagrożeniem dla bezpieczeństwa narodowego, otwierając drogęcyberprzestępcom i zagranicznym szpiegom do komputerówamerykańskich obywateli, urzędów i firm – uważaNicholas Weaver.

O ile bowiem samego Tor Browseramożna nie uznawać za „popularne oprogramowanie”, to trzebapamiętać, że przeglądarka ta jest niczym innym, jak tylkoFirefoksem ESR (wydanie o rozszerzonym okresie wsparcia), zdodatkowymi zabezpieczeniami. Exploity działające w Tor Browserzebędą działały też w Firefoksie. A ujawnienie informacji o takimexploicie jest dla FBI katastrofą, i to wcale nie dlatego, żeagenci federalni nie będą mogli kontynuować swojej wojny zpedofilią, narkotykami i innymi ciemnymi stronami ukrytej sieci,lecz ze względu na to, że nikt im już więcej exploita nie da.

Christopher Soghoian, głównyekspert od techniki komputerowej Amerykańskiej Unii SwobódObywatelskich (ACLU) twierdzi bowiem, że samo FBI samo nie posiadaumiejętności, które pozwoliłyby na znalezienie luki w Firefoksiei napisanie działającego exploita. Jeśli FBI miało w swoichrękach taki kod, to dostało go od strony trzeciej. Albo była toprywatna firma, która sprzedała exploita pod warunkiem dochowaniatajemnicy jego istnienia, albo było to NSA, które udostępniło kodsiostrzanej służbie na takich samych warunkach (w końcu samo NSApotrzebuje takich exploitów do znacznie poważniejszych zastosowań,niż ściganie ludzi wymieniających nielegalną pornografię).Wyjawienie kodu uczyni FBI niewiarygodnym w oczach partnerów – idlatego właśnie prawnicy Biura desperacko walczą przed sądem ouchylenie nakazu ujawnienia exploita.

Jeśli do kogokolwiek w tejsytuacji można mieć pretensje, to przede wszystkim do twórców TorBrowsera. Decyzja, by zbudować bezpieczną przeglądarkę na bazieFirefoksa może i kiedyś wyglądała dobrze, ale dziś sytuacja jestzgoła inna. Przypomnijmy, że w lutym, podczas tegorocznego konkursuPwn2Own za włamania do przeglądarki Mozilli nie dano złamanegocenta, bo uznano, że są one „zbyt łatwe”. Mozilla zajmuje siędziś głównie implementowaniem w Firefoksie modnych technologii znagłówków Hacker Newsa, opowiadaniem bajek o Firefox OS-ie dlaInternetu Rzeczy i walką o sprawiedliwość społeczną, ale mimowielu lat do tej pory nie potrafiła zapewnić należytego sandboksai izolacji procesów w kartach. Tor Browser powinien dziś byćbudowany od podstaw na bazie Chromium – co by nie mówić, Googledo bezpieczeństwa swojej przeglądarki przykłada znacznie więcejwagi.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na