Oroszország felügyelni akarja az Internet sötét oldalát
Az orosz belügyminisztérium 25 millió dollárnak megfelelő összeget kínál annak, aki lehetővé teszi a bejutást az Internet sötét oldalára, ahol fegyver- és drogkereskedők mellett az illegalitásba kényszerített aktivisták is tevékenykednek.
Közbeszerzésben
Közbeszerzési eljárás keretében keres megoldást az orosz belügyminisztérium a Tor (The Onion Router) anonimizáló hálózat által jelentett “problémára”. Bár a minisztérium honlapján található hivatalos kiírásban jelenleg már csak kutatási feladat szerepel, az eredeti pályázati szövegben ennél sokkal részletesebb leírás volt olvasható.
A július 12-i megfogalmazás szerint a belügyminisztérium olyan kutatási eredményekhez szeretne hozzá jutni, ami lehetővé tenné, hogy technikai információkat szerezhessen az ország Tor-felhasználóiról vagy eszközeikről. Mindezért cserébe 3,9 millió rubelt (25,5 millió forintot) kínálnak.
A díjazás elsőre egészen csábítónak tűnhet, a nagy internetes cégek általában néhány ezertől néhány tízezer dollárig terjedő összeggel jutalmazzák azokat, akik rést találnak rendszereik védelmén. Ennek többszöröse pedig szép pénz, főleg Oroszországban. A feladat azonban nem egyszerű, sőt kifejezetten jól illene valamelyik Mission Impossible hackelős snittjébe.
A Torról röviden
A Tor lényege, hogy felhasználóinak kilétét teljesen elrejti a kíváncsi szemek elől. Az alapjául szolgáló technológiát az amerikai haditengerészet fejlesztette ki a kilencvenes évek végén. Nagyon leegyszerűsítve úgy működik, hogy az üzenetet több részre darabolva és ezeket többszörösen becsomagolva (titkosítva), a Tor hálózatot alkotó gépek között pattogtatva juttatja el A pontból B pontba. Csak a kommunikációs lánc utolsó szeme tudja összerakni a teljes képet, a közvetítő szerepét betöltő gépek soha nincsenek birtokában a teljes információnak, és a valódi feladót sem ismerik. A Tor neve – magyarul a hagyma-útválasztó – az adatcsomagok hálózaton belüli, többrétegű titkosításából ered, amit végül a teljes információt összerakó gép úgy fejt le az egyes csomagokról, mint a hagyma rétegeit.
A haditengerészet finanszírozza, állítólag az NSA sem tudja felügyelni
A haditengerészet azért találta ki ezt az egészet, hogy bárhol, bárkivel és bármilyen számítógépet használva lenyomozhatatlanul kommunikálhasson. Aztán, mivel a dolog gépek közötti pattogtatós-elrejtős része annál jobb, minél többen alkotják a hálózatot, fogták az egészet, és mindenki számára elérhetővé tették. 2006 óta a Tor Project nonprofit szervezet gondozza, a finanszírozás oroszlánrésze viszont még mindig az amerikai kormánytól származik.
Tavaly 1,8 milliót adtak, a 2012-es támogatás dupláját, ami kissé ironikus annak fényében, hogy a Snowden-botrány kirobbanása óta ügyeletes nagy testvérként elkönyvelt Nemzetbiztonsági Ügynökség (NSA) komoly, bár többnyire sikertelen erőfeszítéseket tett ugyanezen rendszer megtörésére. A próbálkozással persze azóta sem álltak le, és különböző módszerekkel, kapcsolódó böngészőhibák kihasználásával már sikerült azonosítaniuk egy-egy felhasználót.
Ha tehát a világ egyik legjobban felszerelt, hatalmas erőforrásokkal rendelkező titkosszolgálata sem jutott még eredményre (a jelenleg elérhető információk alapján legalábbis), már nem is tűnik olyan sok pénznek az a 3,9 millió rubel. Ráadásul a Tor forráskódja hosszú évek óta nyílt és minden hozzáértő által vizsgálható, a rendszer kompromittálására használható hibákat eddigre jó eséllyel kiszűrték – akár azok is, akiknek elemi érdeke fűződik ahhoz, hogy ez az anonimizáló hálózat még sokáig működjön.
A Tor ugyanis nem csak ápol és eltakar, hanem egyfajta internet az internetben is, szakzsargonnal élve a darknet része. A benne működtetett oldalak, szolgáltatások
valami.onion
formájú címeken érhetőek el, és jelentős részük illegális. Jópár olyan webáruház akad, melyeken drogot, fegyvert, hamis iratokat, hackerszolgáltatásokat, pedofil vagy egyéb tiltott szexuális tartalmat lehet venni, az ezek mögött álló embereknek pedig fontos, hogy rejtve maradjanak. Egy ilyen oldalt, a híres-hírhedt Silk Roadot az FBI hosszas nyomozás után, de főleg az üzemeltető William Ulbricht ballépéseinek köszönhetően 2013 őszén kapcsolt le.
Régen olvasni kellett a sorok között, ma már ez kifinomultabb
Az orosz vezetésnek pont ezzel az anonimizáló funkcióval van a legnagyobb baja. Az országban nagy erőkkel folyik a netcenzúra kiépítése, miután a nyomtatott sajtóban lényegében már amúgy sem lehet semmit megjelentetni, ami a hatalom birtokosainak szúrná a szemét. 2012 júliusában a Duma elfogadta azt a törvényt, ami egyrészt létrehozott egy azóta is folyamatosan bővülő feketelistát a gyermekpornográfiával, szélsőségesekkel, kábítószerrel és egyéb illegálisnak ítélt tevékenységekkel kapcsolatba hozható oldalakról, másrészt lehetőséget biztosít ezek blokkolására. Már ekkor is nagyon sok tartalomszolgáltató, újságíró és jogvédő szervezet jelezte, hogy a szabályozás értelmezéstől függően túlságosan szabad kezet ad a kormánynak nem tetsző fórumok eltüntetésére.
Cenzúra van
Aztán 2013 karácsonya előtt néhány nappal egy olyan törvényt fogadtak el, ami 2014. február elsejétől lehetővé teszi, hogy bírósági végzés nélkül, azonnali intézkedéssel blokkoltassanak fajgyűlöletre uszító, lázadást szító vagy szélsőséges nézeteket népszerűsítő tartalommal bíró oldalakat. Persze ezek megítélése is szubjektív, így az új játékszabályokat gyorsan kihasználva számos olyan honlapot elérhetetlenné tettek, melyek kritizálták a kormány politikáját, vagy olyan képet festettek az ukrajnai eseményekről, amely nem passzolt a hivatalos állami állásfoglaláshoz. Ennek esett áldozatul például a sakknagymester Garri Kaszparov portálja, és Vlagyimir Putyin elnök egyik legnagyobb ellenlábasa, Alekszej Navalnij ellenzéki politikus blogja is.
Ami erősödik
Augusztus elsejétől pedig az úgynevezett bloggertörvény húzza még szorosabbra a gyeplőt. Ez minden, napi háromezernél több látogatóval rendelkező oldal tulajdonosától megköveteli, hogy regisztrálja magát egy állami nyilvántartásban, és szerzői a saját nevükön publikáljanak. Sőt, akad még egy felettébb érdekes kitétele: a számukra bármilyen tartalomközlői platformot biztosító cégeknek (fórumok, közösségi oldalak, még a keresők is) fél évre visszamenőleg tárolniuk kell minden bejegyzést, méghozzá Oroszországban üzemeltetett szervereken. Ez a nemzetközi vállalatokat ugyanúgy érinti, mint a belföldieket. Politikai szakértők szerint a következő lépés a közösségi média ellehetetlenítése lesz, az ugyanis továbbra is hatékony eszköz az ellenzék kezében.
A Facebookkal vetekedő népszerűségű Vkontakte közösségi oldal ellen már tavasszal elindult a hadjárat, a legnépszerűbb, 240 milliós táborral rendelkező orosz oldal 29 éves alapítója, Pavel Durov el is hagyta az országot, miután nem akarta teljesíteni a hatóságok adatkiadási kéréseit, és a nagy befektetők kirakták saját cégéből. Az irányítást Putyin bizalmasai kapták meg, köztük Igor Szecsin volt első miniszterelnök-helyettes is, aki jelenleg a Rosznyefty állami olajcég igazgatótanácsának elnöke.
Sokan vonultak illegalitásba
Mindezek ismeretében nem meglepő, hogy az oroszok szeretnének belelátni a Torba. A hálózat szerepe ugyanis kiemelkedő azokban az országokban, ahol korlátozzák a szabad véleménynyilvánítást és a sajtót, mint például Kína, Szíria, Irán, Törökország, Egyiptom, és persze Oroszország. A Tort körültekintően használó újságírók és bloggerek úgy érhetnek el hivatalosan blokkolt oldalakat és írhatnak olyasmiről, amiről nem egyébként nem lehetne, hogy közben nem fedik fel személyazonosságukat. A technológia tehát nem csak drogkereskedelemre vagy pedofil anyagok terjesztésére jó, hanem egyben az állami elnyomás elleni harc egyik eszköze is. A hálózatba a bloggertörvény elfogadása óta kétszer annyian (körülbelül 150 ezren) csatlakoznak Oroszországból, mint előtte.
Komoly eredményekre nem számíthatnak
Az orosz belügyminisztérium kiírása valószínűleg lényegi eredmény nélkül zárul majd. Egyrészt a feladat súlyához képest egyáltalán nem motiváló a díjazás – aki magánzóként olyan hibát találna a rendszerben, amivel az eddigiekhez képest nagyságrendekkel könnyebben lehetne azonosítani egy-egy Tor-felhasználót, 3,9 millió rubelnél sokkal többet szakíthatna.
„Biztonsági szempontból a monokultúra nem kívánatos, márpedig a Tor pont ilyen – mondta el kérdésünkre Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, a magyar hackerspace közösség egyik oszlopos tagja. „Gyakorlatilag mindenki a hivatalos, a Tor Projekt oldaláról letölthető előre konfigurált programot használja, és bár nyílt a protokoll, alternatív implementációk inkább csak megvalósíthatósági példa szintjén léteznek. Tor-fejlesztőktől származó információim szerint ezt az állapotot fenn is tartanák, hiszen így nekik könnyebb gyorsan változtatni a működésen, mert mindenki ugyanazt az implementációt használja. Ennek viszont megvan az a hátulütője, hogy egy hibával rögtön támadható a hálózat szinte minden eleme.”
Lám István, a Tresorit egyik alapítója és vezérigazgatója, titkosítási szakértő egyetért azokkal a biztonsági szakemberekkel, akik szerint a belügyminisztérium által felajánlott pénz nem elég hajtóerő. „Hibát mindenben lehet találni, ebben is, bár tény, hogy kis eséllyel. A Tor működési elve jó, ha találnak is sérülékenységet, az valószínűleg a megvalósításban lesz. Jelenleg is léteznek módszerek, például statisztikai, korrelációs és forgalomelemzés, melyek segítségével van esély felderíteni az anonim hálózatok egy-egy kis részét. Internetszolgáltatói oldalon is lehet figyelni bizonyos egyedi jellemzőkre – csomagformátumra, portokra, a böngésző beállításaira.”
Mindig is támadták
A Tornak tehát vannak gyenge pontjai, de kérdéses, hogy valakinek sikerül-e tényleg komoly lyukat ütnie az anonimizálás páncélján. Az látszik, hogy az online azonosíthatóságot igencsak megnehezítő technológia sokak szemében szálka. A Tor Project éppen a cikk írásakor, július 30-án jelentette be, hogy néhány hete több olyan gépet is találtak a hálózatban, melyek már január 30-a óta a felhasználók azonosítását próbálják elősegíteni. A sérülékenységeket javították, az érintett gépeket kizárták a hálózatból. A támadás végrehajtójaként egyelőre a CERT-re mutogatnak. A szervezet egyik kutatója az augusztusi Black Hat hackerkonferencián „Nem kell az NSA-nek lenned, hogy feltörd a Tort: a felhasználók olcsó azonosítása” címmel tartott volna előadást, ám ezt a CERT jogi osztálya indoklás nélkül nemrég lemondta.
Forrás: vs.hu
