• IT-Karriere:
  • Services:

Tails: Zero-Day im Invisible Internet Project

In der Linux-Distribution Tails befindet sich eine Sicherheitslücke, über die Nutzeridentitäten aufgedeckt werden können. Die Schwachstelle ist nicht in Tor, sondern im Invisible-Internet-Project-Netzwerk zu finden.

Artikel veröffentlicht am ,
In Tails gibt es eine Schwachstelle im I2P-Netzwerk.
In Tails gibt es eine Schwachstelle im I2P-Netzwerk. (Bild: Screenshot Golem.de)

Nur kurze Zeit, nachdem mit Tails 1.1 einige teils gefährliche Sicherheitslücken geschlossen wurden, meldete der Exploit-Händler Exodus Intelligence eine weitere, noch bestehende Lücke in der auf Anonymisierung spezialisierten Linux-Distribution. Darüber lasse sich die Identität eines Nutzers ermitteln. Weitere Details nannte das dubiose Unternehmen zunächst nicht. Gegebenenfalls wolle Exodus Intelligence das Tails-Projekt über die Schwachstelle informieren, hieß es vor wenigen Tagen in einem Gespräch mit Forbes.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. Hectronic GmbH, Bonndorf im Schwarzwald

Jetzt hat Exodus Intelligence doch Einzelheiten zu der Schwachstelle veröffentlicht. Sie betrifft das Invisible-Internet-Project- oder I2P-Netzwerk, das neben Tor in Tails integriert ist. Über I2P lässt sich ebenfalls weitgehend anonym surfen, indem der dortige Netzwerkverkehr mehrfach verschlüsselt wird. In einem Video demonstriert der Zero-Day-Händler die Schwachstelle, über die Schadcode auf speziell präparierten Webseiten in Tails eingeschleust werden kann. Über den Schadcode kann wiederum die IP-Adresse eines Nutzers enttarnt werden.

Handel mit Exploits

Exodus Intelligence gibt sich in dem dazugehörigen Blogpost zugleich altruistisch und belehrend. Das Unternehmen habe mit der Veröffentlichung darauf hinweisen wollen, dass Nutzer sich nicht allein auf Anonymisierungswerkzeuge verlassen sollten. Zeitgleich zu der Veröffentlichung habe Exodus Intelligence Informationen über die Schwachstelle an Tails und das I2P-Projekt weitergegeben. Über Twitter stellte das Unternehmen jedoch klar, dass es mit gefundenen Exploits handele: Details über Schwachstellen würden nicht an die verantwortlichen Unternehmen, sondern direkt an seine Kunden weitergegeben.

Das Tails-Projekt hat seinerseits in einem Blogpost kritisiert, von Exodus Intelligence nicht vorab über die Schwachstelle informiert worden zu sein. Damit würde das Unternehmen die Schwachstelle für seinen eigenen Profit verwenden. Ohnehin sei I2P standardmäßig in Tails nicht aktiviert. Sobald das Team über die Schwachstelle informiert sei, werde ein Patch nachgereicht.

Exodus Intelligence wurde von Aaron Portnoy mitgegründet, der zuvor die Zero-Day-Initiative (ZDI) von HP Tipping Point koordiniert hatte. ZDI will Hersteller und Geschäftskunden vorab über Schwachstellen informieren, die es von Datenexperten erhält. Exodus Intelligence geht offenbar den umgekehrten Weg.

Viel Lärm um Tor

Die Nachricht über die Schwachstelle in Tails und I2P reiht sich in die zahlreichen weiteren Nachrichten über die Unsicherheiten in Tor ein. Zwei Studenten der Carnegie-Mellon-Universität mussten ihren Vortrag auf der Sicherheitskonferenz Black Hat 2014 auf Anraten der juristischen Abteilung der Universität zurückziehen. Sie wollten zeigen, wie Nutzer des Anonymisierungsnetzwerks auch mit geringem finanziellem Aufwand leicht enttarnt werden können. Die genauen Gründe der Absage sind nicht bekannt. Das Tor-Projekt hatte versichert, keinerlei Einfluss auf die Entscheidung gehabt zu haben.

Vor wenigen Tagen hatte die russische Regierung eine Belohnung für denjenigen ausgesetzt, der das Anonymisierungsnetzwerk Tor knacken könne. Außerdem wurde bekannt, dass US-Geheimdienste die Tor-Verzeichnisserver gezielt überwachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-70%) 2,99€
  2. 46,99€
  3. (u. a. Anno 1800 ab 29,99€, Ghost Recon Breakpoint ab 19,80€, Rainbow Six Siege ab 8,00€)

jt (Golem.de) 28. Jul 2014

Wohl wahr. Das wurde jetzt nachgereicht. Danke für den Hinweis. :)


Folgen Sie uns
       


Eichrechtskonforme Ladesäule von Allego getestet

Spezielle Module erlauben eine eichrechtskonforme Nutzung von Ladesäulen. Doch sie stellen ein Sicherheitsrisiko dar.

Eichrechtskonforme Ladesäule von Allego getestet Video aufrufen
Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  2. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen
  3. Concept Duet und Concept Ori Dells Dualscreen-Geräte machen Microsoft Konkurrenz

Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

    •  /