Федеральный прокурор Министерства юстиции США попросил суд прекратить слушания по делу о детской порнографии против пользователя, которого деанонимизировали в анонимной сети Tor. Хотя доказательства были убедительными, Минюст предпочёл отказаться от дела, лишь бы не выполнять требования суда — не выдавать исходный код эксплойта для браузера Tor. Юристы заявили, что исходники засекречены.Такая просьба со стороны прокуратуры намекает, что 0day-уязвимость в браузере Tor (и, скорее всего, Firefox) всё ещё не закрыта. Если рассекретить код, то её закроют Здесь просматривается некоторая двуличность ФБР и Министерства юстиции — они согласны, чтобы преступник остался безнаказанным. Лишь бы оставить незакрытую уязвимость на компьютерах миллионов пользователей — это слишком важно.
Перед нами ещё одно свидетельство, что правительство использует 0day-уязвимости в популярных программах типа Firefox, удерживая эти уязвимости в секрете.
Министерство юстиции США вело судебный процесс против учителя средней школы Джея Мишо (Jay Michaud), посетителя порносайта Playpen в сети Tor. Это один из почти 200 похожих дел против пользователей сайтов детского порно, которые работали на серверах ФБР. Здесь всего лишь второй случай, когда прокуратура отказалась от иска.
В заявлении для суда от имени федерального прокурора Аннет Хайес (Annette Hayes) сказано дословно следующее: «Правительство теперь вынуждено выбирать между разглашением засекреченной информации и отказом от предъявления обвинения. Разглашение информации в данный момент не является вариантом. Отклонение судом иска с сохранением за истцом права на предъявление в дальнейшем иска по тому же основанию оставляет открытой возможность правительству выдвинуть новые обвинения до истечения срока исковой давности, когда правительство будет в состоянии предоставить запрошенные сведения».
Фраза, что разглашение информации «в данный момент не является вариантом» и дальнейшее объяснение дают предположить, что 0day-уязвимость для Tor/Firefox по-прежнему в распоряжении ФБР. Хотя нельзя исключить возможность, что исходный код эксплойта «в данный момент» держится в тайне по каким-то другим причинам, но вариант с продолжением эксплуатации бага кажется наиболее логичным. Прокуратура говорит о возможности раскрытия эксплойта в будущем (читай: когда разработчики Firefox всё-таки докопаются до бага своими силами и закроют 0day).
В данный момент судят 137 граждан США, которых нашли благодаря сайту с детской порнографией Playpen — крупнейшему в мире ресурсу подобного рода. В начале 2015 года этот сайт захватило ФБР и распространяло детскую порнографию 13 дней. ФБР поддерживало работу порносайта Playpen в скрытой сети Tor с 20 февраля по 4 марта 2015 года. В то время на нём было более 215 000 зарегистрированных пользователей и ссылки на более чем 23 000 фото- и видеоматериалов с детской порнографией, в том числе на 9000 файлов, которые размещались непосредственно на сервере ФБР.
Во время операции сайт посетили более 100 000 зарегистрированных пользователей. По данным Министерства юстиции, ФБР смогло вычислить IP-адреса 1300 из них, а против 137 граждан заведены уголовные дела.
В прежние годы ФБР дважды проводило операции с захватом серверов с детской порнографией: в 2012 году оно переместило к себе три сайта с детским порно, а в 2013 году захватило и поддерживало работу хостинга Freedom Hosting в скрытой сети Tor. В 2013 году специалисты проанализировали вредоносный Javascript-код, установленный на сервер, — и выяснили, что он эксплуатирует уязвимость в браузере Firefox 17 ESR под Windows, на основе которого тогда был собран пакет Tor Browser Bundle.
Очевидно, для новой операции был создан новый эксплойт, который использовал другую 0day-уязвимость в свежих версиях Firefox и Tor.
Tor Browser — официальная портативная сборка от The Tor Project, объединяющая Tor с Firefox ESR, включая аддоны NoScript, Torbutton и HTTPS Everywhere. Это самый популярный браузер для работы в сети Tor.
Американская прокуратура в судебных документах называет этот эксплойт «сетевой следственной техникой» (network investigative technique, NIT), хотя в сфере информационной безопасности такие программы принято называть «зловредами».
Адвокаты уже несколько раз пытались получить доступ к исходному коду NIT или его частям в рамках других разбирательств по делу Playpen. Дело в том, что все улики в любом деле должны быть добыты только законным путём. Соответственно, истец обязан убедительно объяснить, каким образом он добыл каждую улику. По этой причине в одном из дел прокуратура была вынуждена дать краткое описание функционала NIT, а в деле против Мишо в мае 2016 года судья уже постановил предоставить исходный код. Чтобы избежать выполнения судебных требований, правительству пришлось позже в 2016 году засекретить сам исходный код (части кода), то есть официально перевести его в разряд засекреченной информации.
Рассмотрение многих других дел против пользователей правительственного сайта с детской порнографией Playpen уже закончено. Об оправдательных приговорах ничего не известно. Судя по всему, все или почти все приговоры — обвинительные. Несколько дел по Playpen тянутся до сих пор, там где ответчики и их адвокаты подобрались особо упорные.
Специалист по безопасности Кристофер Согоян на хакерском конгрессе CCC говорил, что эти дела против Мишо и других важны ещё и потому, что если правительство выиграет по всем пунктам, то использование троянов и хакерских техник в глобальном (федеральном) масштабе станет самым дешёвым способом для правоохранительных органов вести расследование и собирать улики. Такая практика станет привычной — и тогда нам угрожает перспектива общества тотальной слежки и хаков. Шпионаж за людьми станет экстремально дешёвым и удобным для властей.
С другой стороны, без таких эксплойтов власти могут проиграть борьбу с повсеместным переходом людей на шифрование трафика и использование криптографически защищённых инструментов. В этом случае поиск преступников станет гораздо более дорогим и трудоёмким.
Комментарии (126)
DagothNik
06.03.2017 14:25+2Интересно получается. «У нас есть доказательство, что этот человек (смотрел/распространял/комментировал, нужное подчеркнуть), но мы закроем дело, т.к. не хотим вам показывать, как мы добыли это доказательство.» Тут, как говорится, или трусы наденьте, или крестик снимите. Если вы на каждом углу кричите, что боритесь с д.п., ущемляя приватность простых граждан, так ведите дело до конца. А если вы просто этой борьбой прикрываетесь — то другой разговор.
jex
06.03.2017 14:40+6В статье написано, что дело может быть возобновленно, когда они будут готовы раскрыть уязвимость. Вероятно, они хотят поймать побольше преступников, а потом разом всех засадить…
В тоже время — они безусловно этой борьбой лишь прикрываются и доказательства покажут только тогда, когда дыра будет закрыта.
konst90
06.03.2017 15:31А преступника они отпускают до момента раскрытия уязвимости?
vrough
06.03.2017 19:09+4пока суд не признал их таковыми они не преступники.
MaximChistov
06.03.2017 20:49+2ну да, это же не Россия с 0.4% оправдательных приговоров :)
daggert
07.03.2017 09:56-3Ну да, это США, где чтут свободы и права, по этому она всего-то на первом месте по количеству заключенных.
StalkerJS
08.03.2017 11:39А можно уже перестать нести этот бред про проценты оправдательных приговоров? Задайтесь уже вопросом, почему так происходит. И, ВНЕЗАПНО!, появится причина, которая чото нихрена не та, на которую вечно намекают.
ntfs1984
08.03.2017 12:50-2Почему так происходит? Да элементарно, спроси любого знакомого судью, и он тебе скажет какой процент оправдательных приговоров им квотировали сверху.
То же самое и с прокурорами, и с ментами.
ПЛАН ЖЕ.
aleksandros
08.03.2017 15:03И почему так происходит? Наверно из-за совершенно идеальной и слаженной работы следствия и прокуратуры. Таки сознательность, принципиальность, беспристранстность и честность всё же там победили. Прямо коммунизм.
HurrTheDurr
08.03.2017 16:01В США в суд идут по любой мелочи и как можно раньше, проводя несколько слушаний, по мере развития дела. В СНГ, дело может развалиться на любом из этапов следствия и до суда не дойти вообще. И если дело все же дожило до суда — почти всегда там с обвинением все понятно и суду остается только рассмотреть материалы, согласиться со следствием и вынести приговор. Оба подхода работают, но первый возможен только при очень хорошо оптимизированном судопроизводстве, иначе вся система встанет и придется годами ждать решения по тривиальным делам.
aleksandros
09.03.2017 09:21Суд должен критически подходить к доказательству, всесторонне изучая доводы как обвинения и защиты. И для этого судебной системе конституционно дана значительная независимость.
Возьмём пресловутое «Болотное дело». Едва ли не половина «потерпевших» заявляют на суде, что не узнают, не помнят, не знают; часть обвиняемых вообще не была в то время и в том месте. Результат всем известен, с таким же успехом суда вообще могло бы не быть.
Utopi
06.03.2017 17:24+1Ну эту дыру ведь используют не только для того, что бы ловить педофилов. Эта дыра универсальна и предназначена для деанонимизации всех пользователей Tor. Плевать FBI хотела на какого то педодрочера, который хотел погонять лысого на детишек. В Tor гораздо более крупная рыба водится. Так поступали уже во времена великой отечественной войны, когда расшифровывали вражеские донесения и зная о предстоящей атаке противника, специально на это не реагировали, что бы не раскрыть сам факт расшифровки.
PaulAtreides
06.03.2017 18:02Эта дыра универсальна и предназначена для деанонимизации 1.3% пользователей TOR.
solariserj
06.03.2017 19:25поэтому ждут крупную рыбу… так называемая «техника питона»
wych-elm
11.03.2017 00:28Которая конечно же «ни сном, ни духом» о наличии такого эксплойта. Ну на то она и крупная рыба.
aleksandros
08.03.2017 15:05На вскидку первой приходит английское Ковентри. Да и то неоспоримых доказательств этому нет. У нас же таких случаев вроде не было.
OnYourLips
06.03.2017 18:44Такое доказательство нельзя использовать в суде для определения вины, но в процессе расследования оно допустимо. К моменту суда они уже найдут другие доказательства.
rogoz
06.03.2017 14:46+20Меня больше веселит детская порнография на серверах ФБР.
«Чтобы найти как можно больше посетителей наркопритона, сотрудники ФБР в течение 13 дней продавали чистый кокаин.»
«Чтобы найти как можно больше заказчиков у арестованного киллера, сотрудники ФБР в течение 13 дней выполняли его заказы.»evehicks
06.03.2017 15:35-3Ваша аналогия не совсем точна.
Тут правильнее будет сказать: «Чтобы найти как можно больше посетителей наркопритона, сотрудники ФБР в течение 13 дней вели в нем слежку. Но для особых гостей продавали кокаин и из хранилища улик.»
Но раздача порно непосредственно с серверов ФБР это конечно уже слишком. Они бы ещё подняли свой собственный сайт и раздавали всё что у них накопилось за это время. Под предлогом поимки преступников разумеется. Как говорится: «Не можешь победить врага — возглавь его.»
Hidon
06.03.2017 18:36+1точна, точна.
и распространяло детскую порнографию 13 дней.
сами же согласились.evehicks
07.03.2017 19:50А где вы видели чтобы у меня было отрицание сего факта? Я лишь говорю о том, что помимо самого ФБР из тех 100 000 посетителей должны были быть и те кто загружает контент. В статье об этом умалчивается, но обычно в таких операциях ФБР просто берёт контроль над сервером и отслеживает всю деятельность не выдавая себя. В комментарии rogoz аналогия проведена не точно.
Если же вы не видите разницы между «ФБР выполняла заказы киллера» и «ФБР не только принимала заказы киллера но и позволило своему сотруднику выполнить один заказ» это ваше право. Тогда «учёный изнасиловал журналиста».
Jogger
07.03.2017 01:40+1Вы знаете, в отличии от продажи кокаина и заказных убийств — распространение порнографии никому не вредит. Вредит её производство, но в данном-то случае ФБР распространяло уже имеющиеся материалы, вред от которых уже был нанесен. Не то чтобы я одобрял подобные методы, просто отмечаю что ваша аналогия несколько притянута за уши.
ntfs1984
07.03.2017 03:06+5Вы знаете, в начале таких дискуссий лучше определиться, вы ЗА ЗАКОН, или вы за НЕОБХОДИМОСТЬ\ЦЕЛЕСООБРАЗНОСТЬ.
Если вы за закон, то исходя из него: всех кто имеет отношение к распространению порно — надо сажать. От Джона Доу, до Барака Обамы. Закон один для всех. Не нравится — общественные слушания, парламент, меняем закон под ФБР.
Если вы за необходимость (то есть за нарушение закона, когда удобно), то это уже другая песня. Тогда во-первых проведите грань, где заканчивается необходимость и начинается беспредел, а во-вторых определите лиц в чьих интересах приоритетнее нарушать законы, и обоснуйте пожалуйста, почему в отношении именно этих лиц, а не других.Jogger
07.03.2017 04:11Я за то, чтобы законы соответствовали целесообразности. И да, я отдаю себе отчёт что сейчас это не так.
ntfs1984
07.03.2017 14:45Этого никогда не будет исходя из своей природы законов. Это ведь правила, созданные большинством вопреки воле меньшинства.
И да, чьей целесообразности-то соответствовали? Я вот например считаю нецелесообразным платить налоги.
Более скажу, я считаю целесообразным заниматься интимными отношениями с девочкой… ну там 14-ти лет. Она кстати тоже. А вот ее мама и папа — нет. Так кто же из нас четверых имеет право распоряжаться удовольствием 14-летнего подростка?Jogger
08.03.2017 05:22Под целесообразностью я понимаю квазиоптимальные условия для общества в целом. Понятно, что возможны ислючения, однако чисто теоретически — их возможно свести к минимуму. Критерием должен быть минимальный вред для каждой особи. Например, если вы занимаетесь интимными отношениями (не важно, с девочкой или нет) против её воли, или даже по её воле, но нанося ей ущерб (например психологический) — то вред явно выше, чем вред от вашего воздержания. Дьявол как всегда таится в деталях — очень сложно объективно оценить в каждом конкретном случае нанесенный вред. Например в случае с 14 летней — она вполне может быть зрелой физически и достаточно зрелой психологически, чтобы для неё это было безвредно. Но оценить, так это или нет — в реальности чрезвычайно сложно. Именно поэтому есть ограничения на возраст согласия — они чрезвычайно не точны, но тем не менее с ними наносимый вред меньше, чем без них.
Если с этой точки зрения рассмотреть вышеприводимые примеры, получаем:
Продажа наркотиков — исключительно вредно, поскольку наносит прямой вред наркоманам (другой вопрос, что в данном случае запретительная политика не действует, а возможно только вредит — как всегда, реальность вносит свои коррективы).
Убийство человеку — я думаю даже для вас очевидно, что ему наносится вред.
Продажа порно без его производства — не наносит прямого вреда. А вот покупка — скорее наносит. Тут надо объяснить подробнее — то, что человек купил порно у агентов ФБР — само по себе не нанесло вреда. Но это означает, что покупал/будет покупать и у производителей, которые наносят вред, таким образом — он создаёт спрос на порно, что косвенно наносит вред.
К слову, в рамках всё той же идеологии — в идеале, бесплатное скачивание и хранение порно вреда не наносит никому. Но опять, дъявол в деталях — это должно быть ДЕЙСТВИТЕЛЬНО бесплатное скачивание. Если оплата идёт опосредовано, скажем, путём рекламы на сайте (не знаю, возможно ли такое в данном случае, но чисто в теории) — это всё равно наносит косвенный вред. Подозреваю именно поэтому запрещено скачивание и хранение.
0xd34df00d
13.03.2017 02:07Под целесообразностью я понимаю квазиоптимальные условия для общества в целом.
Квазиоптимально назначать наложницу недели и позволять всем особям мужского пола её насиловать. Среднее счастье в группе вырастет, однако же почему-то мы так не делаем.Jogger
13.03.2017 02:26Ерунда. Количество женщин примерно равно количеству мужчин, даже от перспективы подобного использования (не говоря уже о самом использовании) — их несчастье будет куда больше по значению чем счастье мужчин от такого расклада (потому что мужчина может и подрочить, и иметь постоянного партнёра, так что заинтересованы будут далеко не все). Также, один (или несколько) мужчин могут иметь определённые романтические чувства к дежурной наложнице, они тоже будут несчастны.
Ну и распространение инфекционных заболеваний значительно возрастёт (даже не обязательно венерических, банальный грипп будет распространяться куда легче если большая группа будет контактировать с одним человеком).
Легко видеть, что ваше предложение очень далеко от оптимальности.0xd34df00d
13.03.2017 02:40даже от перспективы подобного использования
У меня, как и у вас, есть перспектива погибнуть или, что хуже, покалечиться в теракте, пострадать от беспечных соседей, которые забыли выключить газ, да мало ли. Однако мы привыкли, что соответствующие вероятности того не стоят, чтобы из-за них страдать.
Более того, у большинства мужчин есть перспектива быть призванным в армию, что само по себе не всех радует, да и там тоже вполне себе можно пострадать.
не говоря уже о самом использовании
Ну щито поделать, всё на благо квазиоптимальности!
потому что мужчина может и подрочить
Уныло.
и иметь постоянного партнёра, так что заинтересованы будут далеко не все
Что означает, что вам суммарно надо меньше женщин призывать.
Также, один (или несколько) мужчин могут иметь определённые романтические чувства к дежурной наложнице, они тоже будут несчастны.
Можно вообще иметь определённые безответные романтические чувства, не вижу понижения всеобщего счастья.
банальный грипп будет распространяться куда легче если большая группа будет контактировать с одним человеком
Запретить метро?
Легко видеть, что ваше предложение очень далеко от оптимальности.
Мне по-прежнему нелегко. Более того, очевидно, что сравнивать страдания разных людей — дело неблагодарное, поэтому можно просто бинаризовать признак — стало человеку от такого лучше или хуже. И социум в среднем в выигрыше!
А вообще предложение моё призвано проиллюстрировать, что стоило бы определить, что именно является квазиоптимальным.
Не хотите наложниц — хрен с ним, давайте у всех отбирать и делить, тоже квазиоптимально (локальные экстремумы, вот это всё).Jogger
13.03.2017 03:01Вы занимаетесь передёргиванием. Если вы делаете это с целью критики моей позиции — то по-моему, не получилось, вы просто выставляете себя троллем.
По поводу у всех отбирать и делить — опять не оптимально, проверялось уже. Снижается заинтересованность каждого индивидуума в прогрессе, причём настолько, что начинается регресс. Единственный способ удержать от регресса в такой ситуации — репрессии, но они, опять же, плохо укладываются в оптимизацию всеобщего счастья. Да, отдельные личности от этого могут быть в выигрыше — вон до сих пор есть скучающие по тому-самому-государству.0xd34df00d
13.03.2017 03:05Вы занимаетесь передёргиванием.
Нет, я доказываю неполноту формулировкитеоремыутверждения от противного.
По поводу у всех отбирать и делить — опять не оптимально, проверялось уже.
Да, это не глобальный оптимум, полностью с вами согласен. Однако можно придумать такую совокупность критериев, согласно которой это будет оптимальным обществом (например, сильно штрафовать функцию качества за проявления социального неравенства).
saboteur_kiev
13.03.2017 14:40Вся задача государства — организовать толпу для совместного проживания.
Когда в толпе 10 человек, можно договориться на словах, при помощи авторитета самого сильного.
Когда в толпе 1000 человек, самый сильный просто не будет успевать всем раздавать пи… подзатыльники, чтобы общество жило совместно. Ему нужны помощники.
Так мы приходим к тому, что должна быть власть и организация. И законы направлены именно на это — чтобы можно было управлять как можно бОльшим количеством людей на как можно бОльшей территории. При этом сплоченность населения позволяет создавать крупные совместные проекты, вроде танкового завода, атомной электростанции и ядерной бомбы, что позволяет противостоять соседним государствам, у которых свои варианты управления и контроля населения.
Счастье отдельных людей да и вообще населения в целом — не имеет никакого принципиального значения. Исключительно косвенное — то есть чтобы исключить волнения и увеличить производительность.
saboteur_kiev
13.03.2017 14:35-1«Продажа порно без его производства — не наносит прямого вреда.»
Это как? Продажа пустых коробок под видом наполненных? Это называется мошенничество и наносит прямой вред.
Перепродажа чужих материалов, которые лицензированы — называется спекуляция и тоже наносит вред.Jogger
14.03.2017 01:55Я не говорю, что она не наносит вреда вообще. Я говорю, что он не прямой. Напрямую от спекуляции не страдает никто — продавец получает деньги, покупатель — товар, пострадавших как будто бы нет. Но на самом деле — есть, поскольку создаёт рынок для производителей, а они уже вредят непосредственно.
aleksandros
08.03.2017 15:10Ну, в общем и целом основные решения за подростка принимают родители. Что касается конкретного случая, скажем так. В советское время это решалось проще и логичнее: т.н. «возраст согласия» не устанавливался, а запрещались лишь интимные отношения с не достигшей половой зрелости девушкой.
Mitch
09.03.2017 00:25Надо просто выяснить, кто владелец это этой девочки.
Владелец и распоряжается, так как считает нужным.
Судя по законам, государство считает себя владельцем, но никак не девочку или родителей.
lexofein
07.03.2017 09:25Прекрасная аналогия. В один ряд поставить употребление порошка который кроме как тебе лично никакого вреда нанести не может, и насилие над ребенком которое бог знает какие проблемы создает и оставит шрам на всю жизнь другому человеку. Действительно полностью соразмерные вещи.
jex
07.03.2017 15:43-1Советую посмотреть статистику преступлений совершенных в алкогольном опьянении. Тоже самое было бы со многими другими наркотиками, если бы они не были запрещены. Они именно наносят вред окружающим, потому что человек перестаёт себя контролировать.
saboteur_kiev
07.03.2017 18:05Вдобавок, употребление порошка, создает спрос, вокруг которого и крутится весь сыр-бор.
MTyrz
07.03.2017 18:57+1Так есть же описание, как именно влияет на поведение тот или иной наркотик. В этом плане алкоголь, если мне не изменяет память (может изменять), тоже в числе лидеров по агрессивности.
saboteur_kiev
09.03.2017 18:18-1Опасность наркотиков в привыкании. Даже если человека насильно напоить, он не станет алкоголиком.
А на наркотики можно подсесть с первого раза, и далеко не каждый сможет с них самостоятельно спрыгнуть.MTyrz
09.03.2017 18:27+1Возможно.
Поскольку я сам не пробовал, личного опыта не имею. Опыт же наблюдения (а он как раз был) показывает скорее обратное, но личная статистика мало релевантна.
0xd34df00d
13.03.2017 02:08-1А на наркотики можно подсесть с первого раза, и далеко не каждый сможет с них самостоятельно спрыгнуть.
На любые? На какую-нибудь там марихуану или LSD тоже?
aleksandros
08.03.2017 15:15+1Да нет, насилие это отдельный разговор. Таких случаев единицы и что против взрослых, что против детей оно всегда было и будет наказуемо независимо от сексуального контекста. Интереснее обсуждать другое.
Например, по американским законам можно нехило наказать как подростка (да что там подростка, несовершеннолетнего(ю) юношу или девушку), который сам сделал свои инстимные фотографии и выставил их на обозрение, так и взрослого, просмотревшего их. Вот здесь нет ли целесообразности, ни логики, ну вообще ничего.
StalkerJS
08.03.2017 11:47+1Так-то есть мнение, которое все (особенно заинтересованные и «йа-жы-радитель») упорно затаптывают, что в весьма значительном количестве случаев сексуальные контакты (не насилие) не особо-то и вредят. А вот последствия в виде толпы психологов, следователей, журналистов и прочих, радасна выспрашивающих ребёнка про то, где, кто и как было, а потом рассказывающих ему, что он — жертва и надо бы страдать…
aleksandros
11.03.2017 18:45Недавно в одном из сотнях разговоров о Шурыгиной, чувак, вроде татарин по национальности, заявлял, что родителей, у которых дочь в 15 лет живёт половой жизнью надо презирать, публично стыдить и всё такое. А уж если забеременела то вообще тушите свет. В нашем роду мол такого позора бы не потерпели и вообще бы убили. К счастью, большинство людей было против его «идей».
Wan-Derer
07.03.2017 15:50Ну, они могли картинки не показывать. Ведь чтобы подсадить зловреда, достаточно чтобы жертва зашла на сайт…
… правда, тогда есть сложности с доказательствами того что фигурант получал запрещённый контент…
hoqua
06.03.2017 15:17@
Делаешь пост о сложностях исполнения буквы законы
@
КОЛИЧЕСТВО ПОЛЬЗОВАТЕЛЕЙ PLAYPEN УВЕЛИЧИВАЕТСЯ НА КОЛИЧЕСТВО ПРОСМОТРОВ СТАТЬИ
Konachan700
06.03.2017 15:40+3@
На сайт набежали не потенциальные любители ЦП, а специалисты по безопасности, с целью выкопать себе в коллекцию весьма ценный 0-day.copypasta
06.03.2017 15:56А где сотрудники ФБР порошочком барыжат, не подскажите? А то срочно нужен 0-day в коллекцию. Не мне лично, а другу — компьютерщику.
hokum13
06.03.2017 16:28А какая разница? ФБР-овцам и «русские хакеры» сойдут, они наверное даже по-ценнее педофилов (в данной полит.ситуации) будут.
qw1
06.03.2017 23:37Разница такая, что любители порно доверяют ТОРу и пробивая ТОР, агенты добираются до пользователя.
Русские хакеры же будут запускать браузер, собранный в debug-режиме, под отладчиком, чтобы при нарушениях целостности сразу вылез какой-нибудь assert, а запускать не со своей машины, а в виртуалке какого-нить docker-контейнера с китайского хостинга.hokum13
07.03.2017 12:20-2Любители ЦП конечно моральные уроды, но не преступники (в том смысле, что не нарушают чужих прав). А значит, если такой «любитель» не представляет другого интереса, то и фиг с ним (запишут в файл и забудут). А вот «русский хакер» (пусть даже школоло), с учетом политической ситуации, сейчас будет невероятно полезен.
Ну не все такие крутые, некоторые да попадутся…qw1
07.03.2017 13:39А что они с ним сделают, со школохакером из Воронежа? Запишут в файл и забудут…
hokum13
09.03.2017 08:33+1Предъявят в качестве доказательства, что «русские хакеры» выбрали Трампа.
qw1
09.03.2017 13:05Зачем для этого русские хакеры? Если нужно сфабриковать доказательства, это проще напрямую сделать, чем поднимая сервер с порно за ТОРом.
hokum13
10.03.2017 11:16Ну чтобы разбавить лож правдой. Для правдоподобности.
Вспомните Колина Пауэла с его пробиркой (это лож). Когда-то Ирак на самом деле экспериментировал с ОМП (а это правда), но ОМП в Ираке после вторжения так и не нашли.
Так и здесь, найдут одного несчастного «Петю из Воронежа», задержат в Турции и повесят на него выборы 2016.wych-elm
11.03.2017 00:42Все там нашли, но в объемах ошиблись. Но что вам за печаль об очередном диктаторе ближнего востока и его игре с США (которую он проиграл).
hokum13
13.03.2017 10:591. Можно пруф? У меня вот есть небольшой. Да и простите почему Саддам их против войск коалиции не применил? Ему то терять уже нечего было.
2. На него самого мне как то фиолетово. Он мне не родственник и не друг. Как и Вы кстати. Просто я еще помню что история — наука о настоящем и чем заканчиваются обвинения со стороны США.aleksandros
13.03.2017 17:01Сразу было понятно, что его нет. Последние пару лет инспекторы МАГАТЭ оттуда не вылазили и всё бестолку.
kloppspb
06.03.2017 15:33+1эксплуатирует уязвимость в браузере Firefox 17 ESR под Windows, на основе которого тогда был собран пакет Tor Browser Bundle
То есть при использовании тора самого по себе никаких проблем нет?
Delsian
06.03.2017 15:38+12Альтернативный вариант — никакой уязвимости на самом деле нет, но они добыли доказательства как-то особенно незаконно и не хотят палиться.
unxed
06.03.2017 16:25+4Или просто хотят, чтобы пользователи тора боялись. Власть вообще любит, когда все её боятся.
artskep
06.03.2017 21:19Че-то сомневаюсь.
Вроде уже давно (и достаточно открыто) говорилось, что официальные агенства США держат узлы ТОРа, да и вообще поддерживают эту технологию, как средство доступа к открытой информации для стран, где блокируют доступ к ней.
Сложив 2+2 нетрудно догадаться, что «власти следят», и не сильно беспокоятся, что об этом станет известно.
Да в общем-то весь Patriot Act — еще та песня. Вот чего бы бояться следовало бы. На этом фоне несколько дел по 0-day в ТОРе — мелочь.
saboteur_kiev
06.03.2017 17:11Кроме уязвимости может быть вполне намеренная закладка, которая достаточно хорошо обсфуцирована.
artskep
06.03.2017 21:10А какая разница?
Типа доказать, что ФБР само закладку внедрило в опенсорс? Ну, даже если это и наказуемо (хоть и не факт), то аргументом в данном деле это навряд ли может быть аргументом. Да и попытаться доказать кто именно, зачем и с какой целью в общий репозиторий закоммитил закладку — сомнительное упражнение.saboteur_kiev
07.03.2017 18:07Скрывать уязвимость, которую может использовать любой, кто ее найдет — это неправильно.
Скрывать закладку, которую может использовать только ФБР — тут можно понять суд. (Не, я понимаю, что это тоже неправильно, но есть разница.)
Sadler
07.03.2017 18:13Закладки — это подмножество уязвимостей. Их точно также может найти и использовать любой сторонний злоумышленник, либо они точно также могут быть обнаружены и закрыты участником проекта.
qw1
07.03.2017 19:23Не подмножество, т.к. может использоваться криптография с открытыми ключами. Та же процедура автоматической установки подписанных обновлений, не уязвимость, но может быть использована как закладка в таргетированной атаке.
Sadler
07.03.2017 19:27-1Уязвимости не сводятся лишь к ошибкам программирования: использование небезопасных процедур — это тоже вариант реализации уязвимости, как и использование методов социальной инженерии.
qw1
07.03.2017 19:45Я не понимаю вашего аргумента. Вы считаете, что любая закладка, в том числе криптографически защищённая, является уязвимостью, которую может найти и использовать «любой сторонний злоумышленник»?
Sadler
07.03.2017 20:04-1В общем случае да, так и есть. Реализация криптопротокола может оказаться неустойчивой, любые сверхсекретные ключи могут быть скомпрометированы. Закладка — это всегда уязвимость, которая потенциально может реализоваться в виде атаки организатором закладки или сторонним лицом, а потому оправдывать наличие закладок недопустимо.
qw1
07.03.2017 21:23В таком случае, возможность браузера соединяться с любыми доступными хостами в интернете — уязвимость, которая потенциально может реализоваться в виде атаки.
Мне такая терминология не нравится. Потому что полезная функциональность — это одно, а уязвимости — это другое.
artskep
09.03.2017 21:29«неправильно» с какой точки зрения?
Я уж не говорю, что вы сами уже говорите, что «есть разница».
Просто несколько очевидных кейсов почему я могу «скрыть» уязвимость, которую нашел, и по мне это «правильно»:
— Я случайно нашел уязвимость в воскресение в 22:00, но был уставшим и пошел спать. В понедельник мне начальство сказало про нехилые дедлайны, и, чтобы не потерять работу я занялся не рапортом об уязвимости, а зарабатыванием на кусок хлеба.
— Я нашел уязвимость, но не уверен, что меня не обвинят в незаконных действиях (кстати, если вы не в курсе, по законодательству многих стран за поиск уязвимости вполне можно присесть, и есть много случаев в тех же США)
— Я не уверен, что то, что я нашел — это уязвимость. К примеру, я обнаружил, что в opensource коде пароли хранятся в plain text. Кто должен определять насколько это «уязвимо»? И что считать достаточно неуязвимым?
— Я нашел уязвимость типа HeartBleed в опенсорсном коде. Но я не знаю что делать. Опубликовать открыто — поставить под потенциальную атаку огромное число серьезных сервисов. Сказать только владельцу репозитория — потенциально дать неизвестному мне человеку серьезный доступ к очень серьезному 0-day, который ХЗ как он будет использовать. HeartBleed очень аккуратно «пиарился» и раскрывался не просто так. Я не член community, которой я могу доверять и которая может организовать подобное. Лучше посидеть в стороне.
Я полагаю таких кейсов можно накидать еще много.
Но суть все равно одна — если обнаружение уязвимостей не твоя работа, то бездействие не наказуемо.
VEG
07.03.2017 10:59+1
artskep
06.03.2017 21:03А смысл тогда задерживать дело?
Если были использованы незаконные методы, которые «палево» сейчас, то от задержки процесса меньшим «палевом» они не станут.
Дело все равно придется закрывать с оправданием обвиняемого. И чем раньше, тем меньше издержек и лишнего шума.
Bonio
06.03.2017 18:26+5ФБР поддерживало работу порносайта Playpen в скрытой сети Tor с 20 февраля по 4 марта 2015 года.
В прежние годы ФБР дважды проводило операции с захватом серверов с детской порнографией: в 2012 году оно переместило к себе три сайта с детским порно, а в 2013 году захватило и поддерживало работу хостинга Freedom Hosting в скрытой сети Tor.
А это законно вообще?
Почему на ФБР не завели уголовные дела за распространение детской порнографии и подстрекательство к совершению преступлений?
Или властям закон соблюдать не обязательно?HurrTheDurr
06.03.2017 21:30+2Тоже не понял, кто им разрешил такое провернуть. Они бы еще рекламную кампанию своих сайтов провели.
Это как взять под контроль нарколабораторию, бесплатно раздавать наркотики, а на следующий день арестовать всех клиентов. «Преступников» поймали, видимость деятельности создали, плебс ликует и жаждет крови, но здоровее общество от этого не стало.aleksandros
08.03.2017 15:17С момента создания ФБР в 20-х или 30-х годах они всегда довольно «толерантно» относились к американским законам)
Bonio
06.03.2017 18:34+2эксплойт для браузера Tor
Для сети Tor или для браузера FireFox? Так написано, что не понятно совершенно.
KivApple
06.03.2017 20:02+11Меня в данной новости напрягает больше всего две вещи.
1) ФБР распространяет детскую порнографию.
2) Человека можно посадить за то, что он просто ПОСМОТРЕЛ что-то, что лежало в открытом доступе.
ideological
07.03.2017 03:18Интересно ещё учитывают ли время просмотра. А то кинут ссылку сокращенную, как тут не посмотреть ))
Sadler
07.03.2017 15:00Контейнер с соответствующим материалом достаточно впихнуть в любую легитимную HTML-ку, установив длительность хранения в кэше, скажем, год. Всё, в течение года Вас можно приходить и брать.
9uvwyuwo6pqt
07.03.2017 04:07> Во время операции сайт посетили более 100 000 зарегистрированных пользователей.
>По данным Министерства юстиции, ФБР смогло вычислить IP-адреса 1300 из них, а против 137 граждан заведены уголовные дела.
Наверное в этом дело, думаю что этих 137 человек обвинили в публикации контента.
aleksandros
08.03.2017 15:25+1Это действительно неправильно. Независимо от того, что человек посмотрел, нельзя его за это наказывать. Ответственность должна быть начинаться лишь с распространения.
ntfs1984
06.03.2017 21:49+2Почему они все так усложняют? Какие-то сайты, Торы, серверы…
Да распечайте уже пару детских писечек, наклейте на центральной улице, и пакуйте за просмотр CP всех кто проходит мимо.killik
07.03.2017 02:50Так надо зад с теплого кресла поднимать, идти куда-то лезть наклеивать. А вот организовать перекрестную рассылку в какой нибудь группе в соцсети, и готово дело, подставляй погоны (или что там в ФБР). Это ведь «педофилы», никто их защищать не будет. В идеале еще смертную казнь, чтобы совсем концы в воду.
Equin0x
07.03.2017 04:48+1Зная повадки спецлужб, которые если и говорят что-то под давлением, то только, мягко говоря, полуправду — есть основание подозревать что это может и не 0-day а вполне себе такая закладка в OS. И в этом случае да, проще все замести под ковер и сделать вид что ничего не было.
FODOS
07.03.2017 09:22просматривается некоторая двуличность ФБР и Министерства юстиции — они согласны, чтобы преступник остался безнаказанным. Лишь бы оставить незакрытую уязвимость на компьютерах миллионов пользователей
Наглядный пример фактической расстановки приоритетов в этом лучшем из миров.
До кучи вспоминается еще что-то про «чистые руки и горячее сердце»
Tomok
07.03.2017 09:26137 граждан, почти все сели и только для одного попросили раскрыть подробности применённой уязвимости. Могло ли это исключение быть следствием грамотной работы адвоката обвиняемого?
sim-dev
07.03.2017 10:22-3Вот ведь оно как: Яровой нет, Роскомнадзора нет, конституция блюдется аж до рези в глазах, а слежка за пользователями есть. Причем тайная слежка. Открытие, да?
До тех пор, пока всякие говнюки будут использовать средства анонимизации для своих черных дел, никакое государство не позволит этой анонимности существовать в той степени, как многие мечтают. Ну, а так как пороки человека неискоренимы, это будет вечно.
Пора расслабиться и не рефлексировать по поводу большого брата — он был, есть и будет. И большинство ИТ-специалистов прямо или косвенно работают на него. Это факт.
Мира всем и спокойствия.
3aicheg
07.03.2017 10:56Думаю, этот Джей Мишо теперь подпишется на багтрекер Мозиллы и будет в панике отслеживать закрываемые эксплойты…
sim-dev
08.03.2017 22:20+1Я конечно, понимаю: зомбоящик и все такое… Но сегодня вот сказали, что очередная инфа в Викиликс говорит, что спецслужбы США с участием британских и немецких вроде как сами активно ломают всё, что к интернету подключено (от айфонов до смарт-тв) и следят, следят, следят… и пароли перехватывают, и шифрование ломают…
И, главное, блин, развитые демократии… честные сенаторы… незапятнанные президенты… И ни Мизулиных, ни Яровых ни даже Милоновых нету — как так-то?!
А минуса мне. Не нравится правда? Предпочитаете жить в выдуманном мире белых единорогов, которые кушают радугу и какают бабочками? Ну-ну…jex
09.03.2017 13:04+11) Всем давно известно, что спецслужбы всё ломают по максимуму. Это работа, они помогают соперничать с другими государствами. Глупо говорить что это бесполезно и т.д. — это разведка.
2) Закон Яровой этим не оправдывается, потому что он а)направлен не против государств конкурентов, а против своего народа, б)требует большого количества средств несмотря на то, что у нас кризис, в) обработать такой массив данных сложновато, почти не реально
Непонятно чем вы возмущены — развитые демократии и должны действовать в интересах государства.
Revertis
Ну, если на таких сайтах распространяется эксплоит (как и слово андроид — без буквы й), написанный на JavaScript, то надо чтобы специалисты по безопасности от Тор и Мозиллы сходили туда, скачали его и изучили. В чём проблема?
PatientZero
«Эксплойт» и «андроид» имеют разное происхождение и произношение.
msuhanov
Безусловно разные написание и произношение. Но писать следует «эксплоит». А в Википедии написание не всегда правильное – один только «кэш» чего стоит.
PatientZero
Существуют правила транскрипции с английского на русский.
msuhanov
А еще этих правил много. А еще они не совсем относятся к обсуждаемому случаю (заимствование слова в русский язык, когда к нему начинают применяться правила русского языка, в частности, правила передачи звуков гласными и согласными). А еще, если использовать информацию по ссылке, то все равно выходит «эксплоит».
daiver19
По ссылке:
Так что всё-таки эксплойт.
msuhanov
Информация по ссылке – это не только таблица (составленная, главным образом, для имен собственных), но и источники, по которым ее составили. Кроме того, рекомендую посмотреть в словаре (русском), какой именно звук передает буква Й, а затем попытаться найти этот звук у обсуждаемого слова в другом словаре (английском).
Если же применять по аналогии правила-традиции для имен собственных в отношении имен нарицательных, то можно очень далеко зайти. В русском языке, например, пишут «Лэнгли», хотя, согласно действующим правилам: «После согласных пишется е, кроме слов пэр, мэр, сэр». Потому что имена собственные – это особая категория, часто противоречивая, для которой из правил явно или неявно делают исключения.
Следовательно: эксплоит.
Kalobok
В английском оно произносится именно как эксплойт. А транскрипция в словаре далеко не всегда точно передает все звуки.
msuhanov
Так и в России есть люди, которые говорят дОговор. Что же, словарь теперь выкидывать? Все-таки словарь – это более авторитетный источник.
Dark_Rider
когда кто-то в интернетах не прав.
msuhanov
Когда в Интернетах кто-то не прав, в профиле пользователя можно найти соответствующие органы управления и нажать один из них!
Psychosynthesis
Хз чё вас так яро минусуют, по моему само понятие «правила транскрипции иностранных слов на русский язык» (и наоборот) это нечто эфемерное, причём у каждого «эксперта» на этот счёт своё мнение.
Чего стоят только метания нашей ФМС — кому интересно, можете загуглить сколько различных вариантов транскрипции русских имён и фамилий было (да и есть, собственно) в загранпаспортах.
SlimShaggy
А что с кэшем не так?
Ugrum
Его всегда не хватает.
pda0
Проблема в том, что придётся серфить этот сайт в присутствии нотариуса (или кто там у них), свидетельствующего, что отображение изображений было отключено. Иначе следующее дело будет против разработчиков.
LSDtrip
Очень странные законы, где только за просмотр какой-либо информации можно попасть под уголовное или административное наказание. Вероятно, был проведен обыск и обнаружен факт хранения/приобретения. Хотя наказывать за это тоже неправильно…
betrachtung
Ну надо же. Недавно на моих глазах пытались биткойн к андроиду прицепить, теперь вот и до эксплойта дело дошло.
Revertis
Ну произносится же «и» длинная, а не краткая во всех этих словах. Происходит переход от «о» к «ии», а не «ой», как в междометии. Точно такой же, как в андроид, геоид и так далее. Неужели не замечаете?
betrachtung
В «андроиде» — да. А произносить «и» длинную в «биткойне» и «эксплойте» — это довольно свежая идея. Они в этом плане аналогичны, скажем, «настойке».