The student named Eldo Kim is accused of an e-mail threatening Harvard University for a bomb attack in order to delay the final exam. For his anonymity he unsuccessfully used it Tor Network.
According to the indictment filed with the Massachusetts attorney general's office, the messages were sent around 8:30 a.m. on Monday morning at the University offices and the Police Department. It came from a service called GuerillaMail, which provides temporary email addresses.
Σύμφωνα με την ένορκη κατάθεση του πράκτορα του FBI Thomas M. Dalton, "η έρευνα έδειξε ότι το άτομο που έστειλε τα μηνύματα e-mail συνδέθηκε στο Guerrilla Mail με τη χρήση του Tor" και ότι "το Πανεπιστήμιο του Χάρβαρντ ήταν σε θέση να προσδιορίσει ότι ο Eldo Kim εκείνη τη στιγμή είχε πρόσβαση στο Tor χρησιμοποιώντας το ασύρματο network του Χάρβαρντ." (πηγή Daily Dot)
We've heard a lot about the Tor service lately. Many people refer to it as a top software browsing που προσφέρει ανωνυμία. Βέβαια έχουμε δει σε προηγούμενες δημοσιεύσεις ότι η NSA ήταν σε θέση να "σπάσει" την ανωνυμία που προσφέρει το δίκτυο. (Διαβάστε here and here)
If we believe that the Tor service is safe, then there are many questions about how Eldo Kim was finally identified. One case is the following.
A Tor circuit is defined by the nodes that cross a message, from which it enters and exits, using a concept called onion routing. Ο κατάλογος των κόμβων εξόδου και εισόδου του Tor είναι διαθέσιμες στο κοινό. Η διεύθυνση IP του κόμβου εξόδου που χρησιμοποιείται από τον ύποπτο έχει αυτή τη μορφή "Χ-origin- IP" και υπάρχει στα μηνύματα που στέλνονται από την υπηρεσία GuerillaMail από προεπιλογή. Η διεύθυνση IP , επίσης, εμφανίζεται στα αρχεία καταγραφής (logs) της υπηρεσίας. Από την άλλη πλευρά, η διεύθυνση του κόμβου εισόδου, και η σύνδεση του υπόπτου σε αυτή, θα μπορούσε να ανακαλυφθεί από το Χάρβαρντ μέσω ανάλυσης μεταδεδομένων από τα logs της κυκλοφορίας στο δίκτυό τους κατά την εξεταζόμενη χρονική περίοδο. Έτσι μοιάζει να είναι απλό να συσχετίσει κανείς μια διεύθυνση IP που χρησιμοποιεί Tor και στα two ends of the connection.
But if this happened, Harvard University should keep logs for the recent network activity. It is known that users of a Wi-Fi network require authentication with the registered ID assigned to them by their University. So network administrators just looked at who used the Tor protocol at the time the messages left.
If Eldo Kim was using another off-campus network, the bomb threat might still be undetectable due to the encryption (SSL / HTTPS) applied to the data. GuerillaMail would have little to offer the FBI other than the fact that the message came from a Tor network and the timing of the message. However, after receiving the email and identifying it from a Tor user, authorities were able to link Tor activity to the University without being sure of its content. The accusation, however, could be supported after the confession of Eldo Kim. Without his confession, his actions would be impossible if they were proven because very simply no one knew what he was doing while connected to Tor.
This raises important questions about the extent of Harvard data recording and monitoring. It naturally leaves questions about whether things were done as described above. If they were not made, we should consider the Tor network, totally unreliable, since the Authorities were able to know exactly what Eldo Kim did.
