Tails-noodpatch wegens mogelijk lekken ip-adres Tor-gebruikers via OpenSSL
Het echte ip-adres van Tor-gebruikers is mogelijk te achterhalen via kwetsbaarheden in OpenSSL waarvoor deze week updates verschenen, zo laten de ontwikkelaars van Tails weten. Die hebben vanwege de impact van de OpenSSL-lekken een noodpatch voor Tails uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen.
Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vandaag is Tails 7.4.1 verschenen, een "emergency release". Deze versie bevat onder andere een update van de gebruikte OpenSSL-library. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Ook het Tor-netwerk maakt er gebruik van.
Afgelopen dinsdag verschenen er beveiligingsupdates voor OpenSSL wegens verschillende kwetsbaarheden, die in het ergste geval remote code execution mogelijk kunnen maken. Volgens de ontwikkelaars van Tails zou een malafide Tor-server door middel van de OpenSSL-kwetsbaarheden mogelijk het echte ip-adres van een Tor-gebruiker kunnen achterhalen. De ontwikkelaars voegen toe dat ze niet bekend zijn met misbruik van deze kwetsbaarheden.
We leven immers in een "Het compiled dus publish" tijdperk. Iets anders is te duur en omdat het leven enkel en alleen nog om geld draait en niet om het leven, blijft dit zo.
We leven immers in een "Het compiled dus publish" tijdperk. Iets anders is te duur en omdat het leven enkel en alleen nog om geld draait en niet om het leven, blijft dit zo.
En zowel het Tor-project als Tails hebben veiligheid en privacy als focus, en alweer niet het totaal negeren daarvan door maar haastig wat te doen.
Misschien heb je domweg niet door dat niet alle software commercieel is. Hier gaat het niet om commerciële software, hier gaat het niet om het verdienmodel en alle hypes die daarbij horen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?