Mozilla chce od FBI informacji o luce
Mozilla zwróciła się do sądu z wnioskiem o udostępnienie informacji na temat luki w przeglądarce Tor, która bazuje na kodzie Firefoksa. Firma chciałaby poznać szczegóły luki, zanim zostaną one przedstawione oskarżonemu i jego prawnikom.
W 2015 roku FBI wykorzystało dziurę w przeglądarce podczas śledztwa przeciwko pedofilskiej witrynie ukrytej w sieci Tor. FBI przejęło nad nią kontrolę, by zidentyfikować użytkowników witryny. Sąd nakazał FBI przekazanie dokumentów opisujących szczegóły przejęcia witryny, gdyż obrona chce sprawdzić, czy Biuro nie przekroczyło swoich uprawnień. Teraz Mozilla, powołując się na dobro swoich użytkowników, chciałaby poznać te szczegóły zanim jeszcze zostaną one przekazane stronie trzeciej. We wniosku do sądu czytamy, że bezpieczeństwo milionów osób używających przeglądarki Firefox może być zagrożone przez przedwczesne ujawnienie dziury.
Jak dotąd strona rządowa odmawiała Mozilli nawet udzielenia informacji, czy wykorzystany błąd ma związek z produktem Mozilli. Firma stwierdza jednak we wniosku do sądu, że ma podstawy podejrzewać, iż dziura użyta przez administrację rządową to aktywna luka w kodzie Firefoksa, którą można wykorzystać do zaatakowania użytkowników i systemów korzystających z tej przeglądarki. Urzędnicy nie chcą nawet powiedzieć, czy luka została poddana Vulnerabilities Equities Process. To rządowa procedura, podczas której urzędnicy decydują, czy należy o znalezionych lukach informować producenta oprogramowania.
Mozilla uważa, że jeśli nawet sąd nie uzna argumentu o ochronie użytkowników, to powinien pozwolić firmie wystąpić w roli amicus curiae, czyli strony, która oferuje sądowi własną opinię dotyczącą przedmiotu postępowania.
Komentarze (3)
wilk, 13 maja 2016, 16:16
O tak, powodzenia, National Security. Luka zapewne związana z JavaScript, a kto roztropny choć trochę, ten go wyłącza.
Jajcenty, 13 maja 2016, 20:10
Trochę bania. W tej chwili js to główny silnik większości interfejsów. Frameworki się mnożą jak króliki. Jak nie będzie migało i gwizdało to .... Na próbę wyłączę, ale jestem pewien, że nie dam rady. Gmail, Azure staną się bezużyteczne.
wilk, 14 maja 2016, 03:01
To prawda JS jest niestety obecnie prawie wszędzie potrzebny, bo ludzie potrzebują, by zwykłe stronki były lukrowane, ale Tor+JS, to jednak zły kierunek do niektórych zastosowań. Internet istniał i z powodzeniem działał zanim powstał JavaScript. Jeśli chcesz względnie anonimowo poprzeglądać strony (oczywiście po https), to pewnie, nie ma problemu — koszt i możliwości namierzenia w dalszym ciągu pozostaną jedynie w zasięgu najbardziej zaawansowanych rządów (a to i tak tylko poprzez wykorzystanie takich właśnie 0-dayów oraz timingu ruchu sieciowego). Gorzej, gdy potrzebujesz powiadomić o czymś złym, co dzieje się w jakimś kraju lub firmie. Aktywna zawartość zawsze będzie niosła za sobą ryzyko.