負責維護Tor匿名軟體的Tor專案(Tor Project)指出,他們相信卡內基美隆大學(Carnegie Mellon)的研究人員協助FBI攻擊Tor用戶,而且FBI至少支付100萬美元予該大學。

Tor為一可用來執行匿名通訊的免費軟體,藉由全球網友志願組成的逾6000個中繼站來傳遞資訊,以隱藏使用者的真實位置與身份,目的是為了保護使用者隱私與言論自由。

去年7月,Tor專案發現有一群中繼站企圖取得使用者的真實身份,並鎖定那些存取Tor隱匿服務的對象。這些中繼站是在去年1月加入,總數約115台,Tor專案隨後即移除這些中繼站,並修補臭蟲。此一攻擊行動影響去年2月到7月使用Tor隱匿服務的用戶,但規模不詳。

當時Tor專案便認為那些中繼站由卡內基美隆大學CERT團隊所部署,因為該團隊曾在2014年的2月提交一份研究報告給黑帽駭客大會,主題即為如何找出Tor用戶的真實身份,宣稱只要少許強大的伺服器與幾個月的時間,就能找出數十萬Tor用戶的身份,且成本不到3000美元。

Tor專案總監Roger Dingledine指出,這些研究人員的行為顯然是美國聯邦調查局(FBI)付錢指使的,而且有人告訴他交易金額至少100萬美元。

Dingledine說明,這些研究人員的攻擊行動是廣泛地掃描所有使用Tor隱匿服務的用戶,再以這些資料來判斷能夠控告哪些人的罪行,這種一網打盡而非鎖定特定目標的手法違反了他們對研究倫理的信任與基本規則。

Dingledine指出,他們非常支持針對Tor軟體及網路的獨立研究,但此一攻擊跨越了研究與傷及無辜之間的界線。

更令人不安的是,如果執法機關相信他們可以委由大學來執行警察任務以閃避美國聯邦政府的證據規則,或是學術機構以研究的名義來掩護侵犯個人隱私的行為,那麼不但公民自由會受到影響,也會讓整個安全產業蒙羞。

此外,假設FBI委由大學展開攻擊是可接受的,那麼禁止無理搜查及扣押的美國憲法第四修正案就失去了意義。

Tor專案強調,他們告訴執法人員可以使用Tor來進行調查,也會支持這類的使用,但執法機關並不能大規模地侵犯使用者的隱私,也不應以「合法研究」來掩護相關行動。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容