專業/Tor、CMU 和 FBI

Tor 代表洋蔥路由器。它是一個軟體和開放網路，透過啟用匿名通訊來幫助提高個人的隱私和安全性。Tor 還幫助使用者防禦流量分析，這是一種網路監控形式。 ^[1] 它是攔截和檢查訊息以從通訊模式中推斷資訊的過程。 ^[2] Tor 透過洋蔥路由保護使用者免受流量分析，洋蔥路由允許使用者保持匿名。Tor 防止其他人監控 Tor 使用者的網際網路連線來跟蹤他們訪問的網站，並防止 Tor 使用者訪問的網站了解他們的物理位置。

洋蔥路由的概念最早提出於 1995 年，當時它最初由海軍研究辦公室資助。國防高階研究計劃局 (DARPA) 後來在 1997 年提供幫助。 ^[3] Tor 網路於 2003 年部署，其程式碼在自由和開放的 MIT 許可下發布。從那時起，Tor 專案的資金一直由許多不同的贊助商提供，主要是使用者。 ^[4]

洋蔥路由的想法很簡單，就是將流量包裹在加密層中，就像洋蔥一樣，以保護資料內容以及傳送方和接收方的匿名身份。從高層次上看，Tor 會加密然後隨機將來自您的計算機的通訊透過遍佈全球的志願者執行的中繼網路，或一系列中間計算機進行彈跳。 ^[5]

人們使用 Tor 來交流社會敏感資訊，維護他們的公民自由，訪問網際網路提供商遮蔽的服務，匿名釋出網站和其他服務，以及防止身份盜竊。Tor 使言論自由成為可能，特別是對於生活在壓迫政權下的人們，並保護在海外工作的維權人士免受起訴。許多新聞機構使用它來保護舉報者的隱私。它也越來越多地被家庭暴力受害者以及協助他們的社會工作者和機構使用。 ^[6]

Tor 隱藏了其使用者的目的地和源地址，可用於合法和惡意目的。Tor 可以促進犯罪活動，因為它給使用者一種印象，即他們可以避免被當局抓獲。 ^[7] 大多數使用網際網路的人往往只訪問網際網路的可見層。但是，這僅佔網際網路的約 1%。網際網路的另外 99% 被稱為深網。深網是無法輕鬆訪問的網路層，它們沒有被搜尋引擎索引，並且只能被少數人訪問。這些網站屬於暗網。 ^[8] Tor 透過提供指向這些難以找到的連結的連結來促進深網的使用。這些連結很難訪問，因為它們不使用友好的連結。深網包含允許進行犯罪活動的網站，例如僱用殺手或聘用駭客。這僅僅是觸及了表面，您越深入深網，內容就越黑暗。此外，執法人員跟蹤邪惡的 Tor 使用者（即使有可能）所需的時間和精力是不可行的。

2014 年夏天，CMU 安全研究所在“Blackhat 2014”（一個計算機安全研究會議）上釋出了他們打算發表的論文的摘要。該摘要表明 CMU 已經發現了一種隱秘的方法，可以以最低成本（大約 3000 美元，據推測用於伺服器空間）以數學方式匿名化和識別 TOR 使用者。 ^[9] 會議前幾天，演講被取消了。 ^[10]

最初，TOR 社群對此訊息沒有反應。幾個月過去了，沒有發生任何事件。然後，在同年晚些時候，幾個高調的 TOR 網路使用者被捕，他們的網站被 FBI 查封，作為“匿名行動”的一部分。 ^[11] 臭名昭著的“Dread Pirate Roberts”（DPR）運營的絲綢之路 2.0，一個大型線上毒品交易入口網站，就是其中被攻擊的目標網站之一。FBI 的調查人員此前曾聲稱，DPR 實際上是一個名叫羅斯·烏爾布里希特的人。他在他不在的時候執行該網站的幾個同夥也被逮捕。烏爾布里希特及其同夥被判入獄，烏爾布里希特在紐約大都會終身監禁。 ^[12]

TOR 社群的活躍成員突然變得瘋狂。不知何故，FBI 已經克服了 TOR 網路的匿名性。看到這種恐慌，Tor 專案主管羅傑·丁格爾丁指責 FBI 私下向 CMU 付款 100 萬美元，用於他們此前聲稱已經開發的技術。 ^[13]

根據設計，TOR 對系統的“出口節點”給予了很大信任。這些是網路最後一層的節點，它們直接與終端使用者通訊。如果您控制出口節點，您就控制了系統。過去可能發生過使用這種機制的小規模攻擊。 ^[14] 然而，大規模利用這一點非常困難。TOR 設有檢查和平衡措施，以確保定期更換不受信任的節點。TOR 社群是如此構建的，即出口節點無法實際執行對 TOR 流量的批次分析，除非您控制所有節點，而這需要網路中所有成員的信任。

因此，人們相信 CMU 發現了一種克服 TOR 匿名性的替代方法。即使他們無法有效地利用出口節點，他們也知道中間的“中繼”節點基本上是無管制的。透過建立數千個這些中繼節點並分析透過它們的流量，CMU 研究人員開始看到模式。據信，透過統計分析和一些巧妙的流量攔截技術，他們能夠匿名化那些使用 TOR 來掩蓋其身份的使用者。 ^[15] 在他們釋出摘要和逮捕羅斯·烏爾布里希特之間，CMU 和 FBI 將有幾個月的時間來收集資料並弄清楚網路中誰是誰，而無需訪問出口節點。 ^[16]

在 FBI 對絲綢之路 2.0 的調查公開後，Tor 認為卡內基梅隆大學 (CMU) 軟體工程研究所 (SEI) 的研究人員被 FBI 付錢，以換取他們可能危及 Tor 隱藏服務網路的研究。Tor 專案釋出了一篇部落格文章，提到他們被告知 CMU 已經為此收到了 100 萬美元。^[17]

Tor 專案的聯合創始人兼主管羅傑·丁格爾丁指責 SEI 以金錢為代價向 FBI 提供了這種破解 Tor 的研究資訊。羅傑·丁格爾丁在發給 WIRED 的信中寫道，FBI 首先使用 SEI 的技術透過掃描 Tor 網路收集大量資料，然後搜尋網路上進行犯罪的人。儘管 FBI 的調查是為了伸張正義，但丁格爾丁發現，大多數案件都侵犯了無辜使用者的隱私，因此違反了道德研究的基本準則。^[18] 已經證實 FBI 利用 SEI 對 Tor 網路的利用關閉了絲綢之路 2.0，逮捕了暗網的管理員和工作人員。

丁格爾丁指責 CMU 的基礎是 CMU 從 FBI 收取了研究經費。當人們想要驗證此資訊的可靠性時，羅傑·丁格爾丁告訴 WIRED 他的主要來源是安全社群中的一個朋友。^[19]

可以確認罪犯正在利用 Tor 進行惡意活動。但是，Tor 不相信他們的網路在很大程度上使罪犯能夠實施犯罪。根據 Tor 的說法，無論 Tor 是否存在，罪犯都已經在做壞事並違反法律。他們認為，罪犯有許多更好的選擇來保護自己的身份。其中一個例子是罪犯可以偷竊一部手機，將其用於惡意目的，然後扔掉，因此無法追蹤。他們對圍繞 Tor 的道德困境的主要立場是，罪犯擁有比 Tor 更好的選擇，因此終止 Tor 服務不會阻止罪犯在網上實施犯罪。^[20]

2015 年 11 月 18 日，CMU 發表了一份關於 Tor 攻擊的宣告。據 CMU 稱，這份宣告是為了防止不準確的資訊洩露。這份宣告很簡短，沒有提到任何關於 Tor、付款或 FBI 的內容；但是，該宣告指出 CMU 的 SEI 是一個聯邦資助的研究與開發中心 (FFRDC)，其目的是研究和識別軟體和計算機網路漏洞，以便進行修正。它還提到該大學有時會應要求提供他們所進行研究的資訊的傳票。^[21]

CMU 聲稱他們沒有從 FBI 收到任何攻擊 Tor 網路的付款。但是，他們沒有否認他們向 FBI 提供了關於 Tor 的資料。CMU 這樣做是為了服從和遵守法律發出的傳票，而不是因為他們收到了報酬。CMU 還表示，他們沒有收到任何對其遵守行為的資金。^[22] 在 Motherboard 的後續文章中，當被問及他們是如何知道 CMU 關於攻擊 Tor 網路的專案的，FBI 發言人 Jillian Stickels 表示 Motherboard 應該諮詢 CMU 以獲得答案，因為如果該資訊要釋出，釋出的可能性很大來自於 CMU。但是，CMU 尚未對此具體問題做出回應。^[23]

有人問 CMU 是否透過從 FBI 收取資金而表現不專業。CMU 的 SEI 是一個由聯邦政府資助的研究中心，因此，從另一個聯邦機構 FBI 收取資金沒有任何問題。決定 CMU 是否專業的因素是他們是否越界完成工作。同樣，FBI 資助 SEI 對 Tor 本身進行研究也被認為是不專業的，除非他們要求 SEI 以換取資金越界。

此頁面或部分是一個未完成的草稿或提綱。 你可以幫助開發這項工作，或者你可以請求專案室的幫助。

1. ↑ https://www.torproject.org/
2. ↑ http://smallbusiness.chron.com/computer-surveillance-techniques-50593.html
3. ↑ http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.728.3577&rep=rep1&type=pdf
4. ↑ https://www.torproject.org/about/sponsors.html.en
5. ↑ /https://www.torproject.org/about/overview.html.en#whyweneedtor
6. ↑ https://www.torproject.org/about/torusers.html.en
7. ↑ http://io-tech.net/the-onion-router-ethical-dilemma-in-tors-network/
8. ↑ http://money.cnn.com/2014/03/10/technology/deep-web/index.html
9. ↑ http://securityaffairs.co/wordpress/26395/hacking/tor-network-broken.html
10. ↑ http://www.securityweek.com/tor-security-talk-cancelled-black-hat-conference
11. ↑ https://www.wired.com/2014/11/operation-onymous-dark-web-arrests/
12. ↑ http://www.nysd.uscourts.gov/cases/show.php?db=special&id=416
13. ↑ https://blog.torproject.org/blog/did-fbi-pay-university-attack-tor-users
14. ↑ https://hackertarget.com/tor-exit-node-visualization/
15. ↑ https://blog.torproject.org/category/tags/cmu
16. ↑ http://fusion.kinja.com/the-attack-that-broke-the-dark-web-and-how-tor-plans-to-1793853221
17. ↑ https://blog.torproject.org/blog/did-fbi-pay-university-attack-tor-users
18. ↑ https://www.wired.com/2015/11/tor-says-feds-paid-carnegie-mellon-1m-to-help-unmask-users/
19. ↑ https://www.theregister.co.uk/2015/11/17/milliondollar_hole_in_fbi_tor_story/
20. ↑ https://www.torproject.org/docs/faq-abuse.html.en
21. ↑ https://www.cmu.edu/news/stories/archives/2015/november/media-statement.html
22. ↑ https://motherboard.vice.com/en_us/article/cmu-implies-it-gave-up-silk-road-2-data-under-subpoena CMU方面/
23. ↑ https://motherboard.vice.com/en_us/article/carnegie-mellon-university-attacked-tor-was-subpoenaed-by-feds