Tails: Zero-Day im Invisible Internet Project
Nur kurze Zeit, nachdem mit Tails 1.1(öffnet im neuen Fenster) einige teils gefährliche Sicherheitslücken(öffnet im neuen Fenster) geschlossen wurden, meldete der Exploit-Händler Exodus Intelligence eine weitere, noch bestehende Lücke in der auf Anonymisierung spezialisierten Linux-Distribution. Darüber lasse sich die Identität eines Nutzers ermitteln. Weitere Details nannte das dubiose Unternehmen zunächst nicht. Gegebenenfalls wolle Exodus Intelligence das Tails-Projekt über die Schwachstelle informieren, hieß es vor wenigen Tagen in einem Gespräch mit Forbes(öffnet im neuen Fenster) .
Jetzt hat Exodus Intelligence doch Einzelheiten zu der Schwachstelle veröffentlicht. Sie betrifft das Invisible-Internet-Project- oder I2P-Netzwerk, das neben Tor in Tails integriert ist. Über I2P lässt sich ebenfalls weitgehend anonym surfen, indem der dortige Netzwerkverkehr mehrfach verschlüsselt wird. In einem Video demonstriert(öffnet im neuen Fenster) der Zero-Day-Händler die Schwachstelle, über die Schadcode auf speziell präparierten Webseiten in Tails eingeschleust werden kann. Über den Schadcode kann wiederum die IP-Adresse eines Nutzers enttarnt werden.
Handel mit Exploits
Exodus Intelligence gibt sich in dem dazugehörigen Blogpost zugleich altruistisch und belehrend. Das Unternehmen habe mit der Veröffentlichung darauf hinweisen wollen, dass Nutzer sich nicht allein auf Anonymisierungswerkzeuge verlassen sollten. Zeitgleich zu der Veröffentlichung habe Exodus Intelligence Informationen über die Schwachstelle an Tails und das I2P-Projekt weitergegeben. Über Twitter stellte das Unternehmen jedoch klar, dass es mit gefundenen Exploits handele: Details über Schwachstellen würden nicht an die verantwortlichen Unternehmen(öffnet im neuen Fenster) , sondern direkt an seine Kunden weitergegeben(öffnet im neuen Fenster) .
Das Tails-Projekt hat seinerseits in einem Blogpost kritisiert(öffnet im neuen Fenster) , von Exodus Intelligence nicht vorab über die Schwachstelle informiert worden zu sein. Damit würde das Unternehmen die Schwachstelle für seinen eigenen Profit verwenden. Ohnehin sei I2P standardmäßig in Tails nicht aktiviert. Sobald das Team über die Schwachstelle informiert sei, werde ein Patch nachgereicht.
Exodus Intelligence wurde von Aaron Portnoy mitgegründet, der zuvor die Zero-Day-Initiative (ZDI)(öffnet im neuen Fenster) von HP Tipping Point koordiniert hatte. ZDI will Hersteller und Geschäftskunden vorab über Schwachstellen informieren, die es von Datenexperten erhält. Exodus Intelligence geht offenbar den umgekehrten Weg.
Viel Lärm um Tor
Die Nachricht über die Schwachstelle in Tails und I2P reiht sich in die zahlreichen weiteren Nachrichten über die Unsicherheiten in Tor ein. Zwei Studenten der Carnegie-Mellon-Universität mussten ihren Vortrag auf der Sicherheitskonferenz Black Hat 2014 auf Anraten der juristischen Abteilung der Universität zurückziehen . Sie wollten zeigen, wie Nutzer des Anonymisierungsnetzwerks auch mit geringem finanziellem Aufwand leicht enttarnt werden können. Die genauen Gründe der Absage sind nicht bekannt. Das Tor-Projekt hatte versichert, keinerlei Einfluss auf die Entscheidung gehabt zu haben.
Vor wenigen Tagen hatte die russische Regierung eine Belohnung für denjenigen ausgesetzt , der das Anonymisierungsnetzwerk Tor knacken könne. Außerdem wurde bekannt, dass US-Geheimdienste die Tor-Verzeichnisserver gezielt überwachen .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.