Xakep #305. Многошаговые SQL-инъекции
Посетители хакерской конференции Black Hat, которые ожидали доклад об идентификации пользователей в «анонимной» сети Tor, остались в разочаровании. Юристы из университета Карнеги-Меллона запретили авторам научной работы обнародовать результаты исследования.
Конференция Black Hat пройдёт в Лас-Вегасе 6-7 августа. Члены оргкомитета сказали, что с ними связались адвокаты университета и проинформировали, что один из авторов доклада не имеет права выступать на конференции, потому что материалы для публикации не одобрены администрацией университета или института Software Engineering Institute (SEI).
Институт SEI в составе университета Карнеги-Меллона финансируется министерством обороны США, в его составе работает также группа быстрого реагирования на компьютерные инциденты CERT, которая сообщает об обнаружении важных уязвимостей в компьютерных системах. В свою очередь, группа CERT сотрудничает с министерством внутренней безопасности США. Таким образом, решение запретить лекцию может объясняться государственными интересами. Хотя, представители университета и сами авторы никак не комментируют это решение.
Лекция под названием «Вам не нужно работать в АНБ, чтобы сломать Tor: деанонимизация пользователей с помощью бюджетного решения» заранее привлекла большой интерес аудитории. Краткое содержание предварительно было опубликовано на официальном сайте Black Hat, но сейчас удалено. В кратком содержании было написано, что злоумышленники могут деанонимизировать «сотни тысяч пользователей Tor и тысячи скрытых сервисов в течение нескольких месяцев», с бюджетом операции менее $3000. Исследователи сообщили, что успешно проверили свой метод на практике.