Το ίδρυμα Mozilla κατέθεσε προχθές μια πρόταση στο Περιφερειακό Δικαστήριο των ΗΠΑ στην Tacoma της Ουάσιγκτον, ζητώντας από τον δικαστή να αναγκάσει την κυβέρνηση να αποκαλύψει μια πιθανή zero-day ευπάθεια στο πρόγραμμα περιήγησης Tor, που μπορεί επίσης να επηρεάσει και τον Firefox.
Η πρόταση κατατέθηκε στην υπόθεση των Ηνωμένων Πολιτειών της Αμερικής εναντίον του Jay Michaud, που είναι ένα από τα κατηγορητήρια για την κατοχή παιδικής πορνογραφίας που έχουν υποβληθεί μετά την Playpen επιχείρηση.
Στο τέλος του Φεβρουαρίου και αρχές Μαρτίου 2015, το FBI κατέσχεσε τον Web server στον οποίο έτρεχε το “Preteen Videos—Girls Hardcore” Dark Web Portal.
Αυτή η ιστοσελίδα ήταν ένα ασφαλές καταφύγιο στο Dark Web, όπου κακοποιά στοιχεία έκαναν ανταλλαγή εικόνων παιδικής πορνογραφίας. Το FBI οργάνωσε μια διερευνητική τεχνική δικτύου (NIT) σε αυτόν τον διακομιστή που βοήθησε στο να εντοπιστούν και κατηγορηθούν πάνω από 137 πολίτες των ΗΠΑ.
Ένας από αυτούς είναι ο Jay Michaud, ο οποίος αγωνίστηκε κατά των κατηγοριών και ζήτησε από το δικαστή να αναγκάσει το FBI να αποκαλύψει τις τεχνικές λεπτομέρειες μέσα από τις οποίες τον εντόπισε, έτσι ώστε οι εμπειρογνώμονές του στην εγκληματολογία υπολογιστών να μπορέσουν να αναλύσουν την αποτελεσματικότητά τους.
Ο δικαστής συμφώνησε με το αίτημα του και αργότερα δικαστικά έγγραφα αποκάλυπταν ότι το FBI είχε στην κατοχή του μία zero-day ευπάθεια (unpatched bug ασφαλείας) στο πρόγραμμα περιήγησης Tor.
Το Tor Project έφτιαξε το πρόγραμμα περιήγησης Tor στον Firefox ESR (Extended Release Support) και, από τεχνική άποψη, το Tor Browser zero-day θα μπορούσε πραγματικά να είναι ένα Firefox zero-day αν το exploit επηρεάζει κάποια από τα μέρη που δανείστηκε από τον browser της Mozilla.
Το Ίδρυμα έχει πλέον το επιχείρημα ότι το FBI πρέπει να γνωστοποιήσει αυτό το ελάττωμα ασφαλείας πρώτα σε εκείνους, να επιτρέψει στους μηχανικούς του να έχουν στη διάθεσή τους 14 ημέρες για να το διορθώσουν και στη συνέχεια, να το γνωστοποιήσουν στους τεχνικούς εμπειρογνώμονες του Michaud.
“Εφόσον το δικαστήριο διέταξε αποκάλυψη ευπαθειών, θα πρέπει να ακολουθήσει και τις βέλτιστες πρακτικές για την εκ τω προτέρων γνωστοποίηση που είναι δεδομένες κατά την έρευνα για την ασφάλεια της κοινότητας”, έγραψε χθες ο Denelle Dixon-Thayer της Mozilla στο blog του Ιδρύματος. “Σε αυτή την περίπτωση, ο δικαστής θα πρέπει να απαιτήσει από την κυβέρνηση να αποκαλύψει την ευπάθεια στις εταιρείες τεχνολογίας που επηρεάζονται πρώτα, έτσι ώστε να μπορέσουν να το επιδιορθώσουν γρήγορα.”
