Mozilla pede ao FBI para revelar Firefox, Navegador Tor Zero-Day

A Mozilla Foundation apresentou uma moção no Tribunal Distrital dos EUA em Tacoma, Washington, ontem, pedindo ao juiz para forçar o governo a revelar uma possível vulnerabilidade de dia zero no navegador Tor, que também poderia afetar o Firefox.

A proposta foi apresentada no caso dos Estados Unidos contra Jay Michaud, que é um dos réus em posse de pornografia infantil arquivada após a Operação Playpen.

Mozilla pede ao FBI para revelar Firefox, Navegador Tor Zero-DayO dia zero do navegador Tor pode realmente ser um dia zero do Firefox se a exploração afetar algumas das partes emprestadas do navegador Mozilla.

No final de fevereiro e início de março de 2015, o FBI apreendeu o servidor da Web executando o Portal da Web Dark “Preteen Videos – Girls Hardcore”.

Este site era um refúgio seguro na Dark Web, onde dados maliciosos foram trocados por pornografia infantil. O FBI criou uma técnica de rede investigativa (NIT) neste servidor que ajudou a localizar e processar mais de 137 cidadãos dos EUA.

Um deles é Jay Michaud, que se manifestou contra as alegações e pediu ao juiz para forçar o FBI a revelar os detalhes técnicos pelos quais ele o localizou, para que sua experiência em criminologia computacional possa analisar sua eficácia. .

O juiz concordou com seu pedido e documentos judiciais posteriores revelaram que o FBI possuía uma vulnerabilidade de dia zero (bug de segurança sem patch) no navegador Tor.

O Tor Project criou o navegador Tor no ESR do Firefox (suporte estendido à versão) e, tecnicamente, o dia zero do navegador Tor pode realmente ser um dia zero do Firefox se a exploração afetar algumas das partes emprestadas dele. Navegador Mozilla.

A Fundação agora argumenta que o FBI deve relatar essa falha de segurança a eles primeiro, permitir que seus engenheiros 14 dias a retifiquem e depois notificar os especialistas técnicos de Michaud.

“Depois que o tribunal ordenar a divulgação de vulnerabilidades, ele deve seguir as práticas recomendadas para a notificação prévia feita durante a investigação de segurança da comunidade”, escreveu Denelle Dixon-Thayer, da Mozilla, no blog da Fundação ontem. “Nesse caso, o juiz terá que pedir ao governo para expor a vulnerabilidade às empresas de tecnologia que são afetadas primeiro, para que possam corrigi-la rapidamente”.