Tails: Zero-Day im Invisible Internet Project

In der Linux-Distribution Tails befindet sich eine Sicherheitslücke, über die Nutzeridentitäten aufgedeckt werden können. Die Schwachstelle ist nicht in Tor, sondern im Invisible-Internet-Project-Netzwerk zu finden.

Artikel veröffentlicht am ,
In Tails gibt es eine Schwachstelle im I2P-Netzwerk.
In Tails gibt es eine Schwachstelle im I2P-Netzwerk. (Bild: Screenshot Golem.de)

Nur kurze Zeit, nachdem mit Tails 1.1 einige teils gefährliche Sicherheitslücken geschlossen wurden, meldete der Exploit-Händler Exodus Intelligence eine weitere, noch bestehende Lücke in der auf Anonymisierung spezialisierten Linux-Distribution. Darüber lasse sich die Identität eines Nutzers ermitteln. Weitere Details nannte das dubiose Unternehmen zunächst nicht. Gegebenenfalls wolle Exodus Intelligence das Tails-Projekt über die Schwachstelle informieren, hieß es vor wenigen Tagen in einem Gespräch mit Forbes.

Jetzt hat Exodus Intelligence doch Einzelheiten zu der Schwachstelle veröffentlicht. Sie betrifft das Invisible-Internet-Project- oder I2P-Netzwerk, das neben Tor in Tails integriert ist. Über I2P lässt sich ebenfalls weitgehend anonym surfen, indem der dortige Netzwerkverkehr mehrfach verschlüsselt wird. In einem Video demonstriert der Zero-Day-Händler die Schwachstelle, über die Schadcode auf speziell präparierten Webseiten in Tails eingeschleust werden kann. Über den Schadcode kann wiederum die IP-Adresse eines Nutzers enttarnt werden.

Handel mit Exploits

Exodus Intelligence gibt sich in dem dazugehörigen Blogpost zugleich altruistisch und belehrend. Das Unternehmen habe mit der Veröffentlichung darauf hinweisen wollen, dass Nutzer sich nicht allein auf Anonymisierungswerkzeuge verlassen sollten. Zeitgleich zu der Veröffentlichung habe Exodus Intelligence Informationen über die Schwachstelle an Tails und das I2P-Projekt weitergegeben. Über Twitter stellte das Unternehmen jedoch klar, dass es mit gefundenen Exploits handele: Details über Schwachstellen würden nicht an die verantwortlichen Unternehmen, sondern direkt an seine Kunden weitergegeben.

Das Tails-Projekt hat seinerseits in einem Blogpost kritisiert, von Exodus Intelligence nicht vorab über die Schwachstelle informiert worden zu sein. Damit würde das Unternehmen die Schwachstelle für seinen eigenen Profit verwenden. Ohnehin sei I2P standardmäßig in Tails nicht aktiviert. Sobald das Team über die Schwachstelle informiert sei, werde ein Patch nachgereicht.

Exodus Intelligence wurde von Aaron Portnoy mitgegründet, der zuvor die Zero-Day-Initiative (ZDI) von HP Tipping Point koordiniert hatte. ZDI will Hersteller und Geschäftskunden vorab über Schwachstellen informieren, die es von Datenexperten erhält. Exodus Intelligence geht offenbar den umgekehrten Weg.

Viel Lärm um Tor

Die Nachricht über die Schwachstelle in Tails und I2P reiht sich in die zahlreichen weiteren Nachrichten über die Unsicherheiten in Tor ein. Zwei Studenten der Carnegie-Mellon-Universität mussten ihren Vortrag auf der Sicherheitskonferenz Black Hat 2014 auf Anraten der juristischen Abteilung der Universität zurückziehen. Sie wollten zeigen, wie Nutzer des Anonymisierungsnetzwerks auch mit geringem finanziellem Aufwand leicht enttarnt werden können. Die genauen Gründe der Absage sind nicht bekannt. Das Tor-Projekt hatte versichert, keinerlei Einfluss auf die Entscheidung gehabt zu haben.

Vor wenigen Tagen hatte die russische Regierung eine Belohnung für denjenigen ausgesetzt, der das Anonymisierungsnetzwerk Tor knacken könne. Außerdem wurde bekannt, dass US-Geheimdienste die Tor-Verzeichnisserver gezielt überwachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Magnetohydrodynamischer Antrieb
US-Militär lässt lautlosen U-Boot-Antrieb entwickeln

Bislang war magnetohydrodynamischer Antrieb der Fiktion vorbehalten. Dank Fortschritten in der Akku- und Fusionstechnik soll sich das ändern.

Magnetohydrodynamischer Antrieb: US-Militär lässt lautlosen U-Boot-Antrieb entwickeln
Artikel
  1. KI-Bildgenerator: Diese Kamera generiert, statt zu fotografieren
    KI-Bildgenerator
    Diese Kamera generiert, statt zu fotografieren

    Ein Bastler hat eine KI-Kamera ohne Objektiv gebaut. Paragraphica erzeugt Schnappschüsse mit einem Raspberry Pi und Stable Diffusion.

  2. Disney und Videostreaming: Über 100 Eigenproduktionen aus Abo von Disney+ entfernt
    Disney und Videostreaming
    Über 100 Eigenproduktionen aus Abo von Disney+ entfernt

    Eigentlich wollte Disney nur etwas mehr als 50 Eigenproduktionen aus Disney+ verschwinden lassen. Nun fehlen deutlich mehr Filme und Serien.

  3. Seekabel: Colt bietet eine europäische Verbindung in die USA
    Seekabel
    Colt bietet eine europäische Verbindung in die USA

    Colt bringt eine neue Seekabelverbindung von Europa in die USA, die stärker in europäischer Hand ist. Statt in New York landet man in New Jersey. Doch Google und Facebook sind dabei.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Roccat bis -50% • AVM Modems & Repeater bis -36% • MindStar: 13 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /