Snowdens Lieblings-Linux mit löchriger Anonymisierung

Neben der Linux-Oberfläche bietet Tails auch einen Windows-Modus, der weniger Aufmerksamkeit erregen soll. Quelle: Wikimedia

The Amnesic Incognito Live System (Tails) ist eine kostenlose Linux-Distribution. Deren Anonymisierungsfunktionen hatten das Betriebssystem bekannt gemacht, weil der Überwachungsexperte Edward Snowden über Tails mit dem Journalisten Glenn Greenwald kommunizierte. Jetzt melden Sicherheitforscher von Exodus Intelligence, dass die Entwickler offenbar einen wichtigen Fehler übersehen haben. Über das Sicherheitsleck kann schließlich doch die Identität eines Nutzers herausgefunden werden.

Laut den Sicherheitsforschern liegt der Fehler im Invisible Internet Project (I2P). Über dieses quelloffene verschlüsselte Network Overlay kann die Kommunikation im Internet geheim gehalten werden. Laut den Experten von Exodus Intelligence lasse sich dank eines Fehlers die IP-Adresse eines Nutzers auslesen.

Über manipulierten Code, der an eine I2P-Adresse geschickt wird, könne man laut den Forschern eine de-anonymisierte IP-Adresse zurückbekommen. Anschließend könnten auf diese Weise über den Internet Service Provider weitere Informationen über den Nutzer herausgefunden werden.

Ein Sprecher des I2P-Projektes erklärte gegenüber Reuters, dass man jetzt mit Hochdruck daran arbeite, den Fehler bald zu beheben. Tails-Nutzer jedoch sollten vorsorglich JavaScript deaktivieren, um zu verhindern, dass ihre Identität ausgelesen wird.

“Keine Software ist unfehlbar”, folgert Exodus in dem Blog, in dem die Entdeckung beschrieben wird. I2P ist in der jüngsten Version von Tails enhalten, ist jedoch per Default deaktiviert. TAILS ist ein so genanntes Live-Betriebssystem und lässt sich von einer DVD, einem USB-Stick oder einer SD-Karte starten. Ziel des Projektes ist, keine Spuren auf dem Gastrechner zu hinterlassen. Damit wäre ein Nutzer praktisch nicht mehr auszumachen. Dafür sorgen ausgeklügelte Verschlüsselungen.

Die aktuelle Version basiert auf Debian, OpenPGP-Verschlüsselung und liefert auch Support für das Tor-Network. In der Distribution sind außerdem ein vorkonfigurierter Firefox-Borwser, Pidgin Instanstant Messaging und der Mail-Client Claws enthalten. Daneben liefert es auch Programme wie OpenOffice, die Bildbearbeitung GIMP und Audacity. Zu einem Virtuellen Keyboard kommt auch ein Schutzmechanismus hinzu, der Keylogger verhindern soll.

Das Projekt arbeitet seit rund fünf Jahren an dem Betriebssystem. Version 1.0 wurde Ende April veröffentlicht, Version 1.1 hatte das Team diese Woche frei gegeben. Version 1.1 stopft mehrere Sicherheitslecks und sorgt für mehr Stabilität mit. Das nächste Release ist für Anfang September geplant.

Exodus Intelligence stand bereits mehrmals in der Kritik. Das Unternehmen hat sich einen Namen gemacht, nachdem es offenbar mehrmals Informationen zu Zero-Day-Lecks und Exploits an den Höchstbietenden verkauft hat. Im Aktuellen Fall hatte Exodus den Bug über Twitter öffentlich gemacht, einen Tag bevor die neue TAILS-Version frei gegeben wurde. Zudem soll Exodus das Team im Vorfeld nicht über das Leck informiert, wie es in einer Stellungnahme heißt. Allerdings hatten die Sicherheitsforscher erklärt, bis das Leck geschlossen ist, keine weiteren Details zu veröffentlichen. Exodus verteidigt dieses Vorgehen, die Sicherheitsforscher wollen damit für mehr Sicherheit sorgen.

Redaktion

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

2 Tagen ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

3 Tagen ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

3 Tagen ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

3 Tagen ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

4 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

4 Tagen ago