IT-beveiliger demonstreert aanval op privacy-OS Tails
Het Amerikaanse beveiligingsbedrijf Exodus Intelligence heeft na een eerdere aankondiging een video online gezet waarin het een aanval op het privacy-besturingssysteem Tails demonstreert. Met de demonstratie wil het bedrijf Tails-gebruikers waarschuwen dat geen enkele software onfeilbaar is.
Gebruikers moeten Tails dan ook niet volledig vertrouwen, aldus het bedrijf. Tails is een compleet besturingssysteem dat vanaf een cd, dvd of USB-stick is te gebruiken. Het is op Debian gebaseerd en bevat allerlei tools om anoniem te kunnen internetten. Zo zijn standaard programma's als Tor Browser en de chatclient Pidgin aanwezig en voorzien van benodigde plug-ins en verschillende encryptietools.
Kwetsbaarheid
De aandacht voor Tails groeide doordat klokkenluider Edward Snowden het besturingssysteem adviseerde. Exodus Intelligence stelt dat het een zero day-kwetsbaarheid heeft ontdekt die zelfs in de meest recente versie, Tails 1.1, aanwezig is en het mogelijk maakt om gebruikers te identificeren. Het probleem zou zich in I2P bevinden. I2P staat voor Invisible Internet Project (I2P) en is een netwerklaag waardoor applicaties berichten veilig en pseudo-anoniem met elkaar kunnen uitwisselen.
Tails maakt sinds versie 0.7 gebruik van I2P. De aanval werkt volgens Exodus Intelligence tegen de meest recente versie en vereist geen aparte instellingen. De kwetsbaarheid die werd ontdekt maakt het mogelijk om op afstand code op het systeem van een Tails-gebruiker uit te voeren en zo zijn publieke IP-adres te achterhalen. Technische details geeft de IT-beveiliger in een volgende blogposting, maar deze video is inmiddels al online gezet, die laat zien hoe het IP-adres van een Tails-gebruiker wordt achterhaald als hij een I2P-adres opvraagt.
Het beveiligingsbedrijf kreeg de nodige kritiek om het details over de kwetsbaarheid niet had gedeeld met de betrokken partijen. Inmiddels zouden zowel de ontwikkelaars van Tails als het I2P-team over alle benodigde gegevens en aanvalscode beschikken om het probleem te kunnen oplossen.
Waarom niet gewoon "Lek in I2P maakt ontmaskeren Tails gebruiker mogelijk", is al op 't randje want je moet als gebruiker wel eerst zelf I2P aanzetten... Deze kop is het equivalent van het internet is stuk want de rabobank site doet het niet..
Kan het ergens wel begrijpen...
Als deze club gezegd had "mwa.. kan fout gaan"... dan hadden veel toko's gezegd: "kan niet, didn't happen, is niet zo erg als je het voorstelt"... Nu moeten ze gaan rennen... Dat werkt in mijn optiek vele male beter.
Tja, en Tails maakt gebruik van.... I2P. Dus ja, het is een probleem voor Tails gebruikers, die denken volledig anoniem te zijn.
Als Tails het onmogelijk zou vinden deze verantwoordelijkheid waar te maken, had ze kunnen
besluiten i2p niet op te nemen in i2p.
Aan de andere kant zou Tails i2p uitvoerig aan de tand kunnen hebben gevoeld en toch deze
kwetsbaarheid niet hebben gevonden. In dat geval is het typisch een geval van jammer
Als Tails het onmogelijk zou vinden deze verantwoordelijkheid waar te maken, had ze kunnen
besluiten i2p niet op te nemen in i2p.
Aan de andere kant zou Tails i2p uitvoerig aan de tand kunnen hebben gevoeld en toch deze
kwetsbaarheid niet hebben gevonden. In dat geval is het typisch een geval van jammer
i2p is geen product maar net als een Tor een overlay. Tails is het product en Baum de publisher. En die heeft het volgende te melden:
"I2P has been included since Tails v0.7 with Iceweasel preconfigured using FoxyProxy so that eepsites (.i2p TLD) are directed to I2P. All other traffic gets routed through Tor."
Zoals anon 12:31 al meldt, dit is geen probleem met Tails, tenzij je zelf i2p-sites bezoekt.
Zelfs veel ICT'ers hebben nog nooit van eepsites gehoord, laat staan de gemiddelde gebruiker die anoniem wil internetten...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.