• IT-Karriere:
  • Services:

Tails: Zero-Day im Invisible Internet Project

In der Linux-Distribution Tails befindet sich eine Sicherheitslücke, über die Nutzeridentitäten aufgedeckt werden können. Die Schwachstelle ist nicht in Tor, sondern im Invisible-Internet-Project-Netzwerk zu finden.

Artikel veröffentlicht am ,
In Tails gibt es eine Schwachstelle im I2P-Netzwerk.
In Tails gibt es eine Schwachstelle im I2P-Netzwerk. (Bild: Screenshot Golem.de)

Nur kurze Zeit, nachdem mit Tails 1.1 einige teils gefährliche Sicherheitslücken geschlossen wurden, meldete der Exploit-Händler Exodus Intelligence eine weitere, noch bestehende Lücke in der auf Anonymisierung spezialisierten Linux-Distribution. Darüber lasse sich die Identität eines Nutzers ermitteln. Weitere Details nannte das dubiose Unternehmen zunächst nicht. Gegebenenfalls wolle Exodus Intelligence das Tails-Projekt über die Schwachstelle informieren, hieß es vor wenigen Tagen in einem Gespräch mit Forbes.

Stellenmarkt
  1. MVV Energie AG, Mannheim
  2. Deutsche Nationalbibliothek, Frankfurt am Main

Jetzt hat Exodus Intelligence doch Einzelheiten zu der Schwachstelle veröffentlicht. Sie betrifft das Invisible-Internet-Project- oder I2P-Netzwerk, das neben Tor in Tails integriert ist. Über I2P lässt sich ebenfalls weitgehend anonym surfen, indem der dortige Netzwerkverkehr mehrfach verschlüsselt wird. In einem Video demonstriert der Zero-Day-Händler die Schwachstelle, über die Schadcode auf speziell präparierten Webseiten in Tails eingeschleust werden kann. Über den Schadcode kann wiederum die IP-Adresse eines Nutzers enttarnt werden.

Handel mit Exploits

Exodus Intelligence gibt sich in dem dazugehörigen Blogpost zugleich altruistisch und belehrend. Das Unternehmen habe mit der Veröffentlichung darauf hinweisen wollen, dass Nutzer sich nicht allein auf Anonymisierungswerkzeuge verlassen sollten. Zeitgleich zu der Veröffentlichung habe Exodus Intelligence Informationen über die Schwachstelle an Tails und das I2P-Projekt weitergegeben. Über Twitter stellte das Unternehmen jedoch klar, dass es mit gefundenen Exploits handele: Details über Schwachstellen würden nicht an die verantwortlichen Unternehmen, sondern direkt an seine Kunden weitergegeben.

Das Tails-Projekt hat seinerseits in einem Blogpost kritisiert, von Exodus Intelligence nicht vorab über die Schwachstelle informiert worden zu sein. Damit würde das Unternehmen die Schwachstelle für seinen eigenen Profit verwenden. Ohnehin sei I2P standardmäßig in Tails nicht aktiviert. Sobald das Team über die Schwachstelle informiert sei, werde ein Patch nachgereicht.

Exodus Intelligence wurde von Aaron Portnoy mitgegründet, der zuvor die Zero-Day-Initiative (ZDI) von HP Tipping Point koordiniert hatte. ZDI will Hersteller und Geschäftskunden vorab über Schwachstellen informieren, die es von Datenexperten erhält. Exodus Intelligence geht offenbar den umgekehrten Weg.

Viel Lärm um Tor

Die Nachricht über die Schwachstelle in Tails und I2P reiht sich in die zahlreichen weiteren Nachrichten über die Unsicherheiten in Tor ein. Zwei Studenten der Carnegie-Mellon-Universität mussten ihren Vortrag auf der Sicherheitskonferenz Black Hat 2014 auf Anraten der juristischen Abteilung der Universität zurückziehen. Sie wollten zeigen, wie Nutzer des Anonymisierungsnetzwerks auch mit geringem finanziellem Aufwand leicht enttarnt werden können. Die genauen Gründe der Absage sind nicht bekannt. Das Tor-Projekt hatte versichert, keinerlei Einfluss auf die Entscheidung gehabt zu haben.

Vor wenigen Tagen hatte die russische Regierung eine Belohnung für denjenigen ausgesetzt, der das Anonymisierungsnetzwerk Tor knacken könne. Außerdem wurde bekannt, dass US-Geheimdienste die Tor-Verzeichnisserver gezielt überwachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Batman Arkham City GOTY für 4,25€, Pathfinder: Kingmaker - Explorer Edition für 14...
  2. 22,99€
  3. 6,99€
  4. 8,99€

jt (Golem.de) 28. Jul 2014

Wohl wahr. Das wurde jetzt nachgereicht. Danke für den Hinweis. :)


Folgen Sie uns
       


Die Tesla-Baustelle von oben (März-August 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (März-August 2020) Video aufrufen
Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

Gemanagte Netzwerke: Was eine Quasi-Virtualisierung von WANs und LANs bringt
Gemanagte Netzwerke
Was eine Quasi-Virtualisierung von WANs und LANs bringt

Cloud Managed LAN, Managed WAN Optimization, SD-WAN oder SD-LAN versprechen mehr Durchsatz, mehr Ausfallsicherheit oder weniger Datenstau.
Von Boris Mayer


      •  /