- news
- Zu 0days, exploits und disclosure
Ein aktueller Tweet von Exodus Intel (einem Unternehmen mit Sitz in Austin, Texas) hat im Internet für viel Aufsehen gesorgt:
"Wir freuen uns, dass TAILS 1.1 morgen veröffentlicht wird. Unsere mehrfachen RCE/Deanonymisierungs Zero-Days sind immer noch wirksam. #tails #tor"
Tails wird mit einer Menge Software ausgeliefert, vom Linux-Kernel bis hin zu einem voll funktionsfähigen Desktop, einschließlich eines Webbrowsers und einer Menge anderer Programme. Tails fügt auch ein wenig benutzerdefinierte Software hinzu.
Jeden Monat werden in ein paar dieser Programme Sicherheitslücken entdeckt. Manche Leute melden solche Schwachstellen, und dann werden sie behoben: Das ist die Stärke von freier und quelloffener Software. Andere melden sie nicht, sondern betreiben stattdessen ein lukratives Geschäft, indem sie sie als Waffe einsetzen und verkaufen. Das ist nicht neu und [kommt nicht überraschend] (https://www.eff.org/deeplinks/2012/03/zero-day-exploit-sales-should-be-key-point-cybersecurity-debate).
Wir wurden von Exodus Intel vor ihrem Tweet nicht kontaktiert. Tatsächlich war eine irritiertere Version dieses Textes bereits fertig, als wir schließlich eine E-Mail von ihnen erhielten. Sie informierten uns, dass sie uns innerhalb einer Woche einen Bericht zur Verfügung stellen würden. Uns wurde mitgeteilt, dass sie diese Schwachstellen nicht öffentlich bekannt geben werden, bevor wir sie behoben haben und die Tails-Nutzer die Möglichkeit hatten, ein Upgrade durchzuführen. Wir sind der Ansicht, dass dies der richtige Prozess ist, um Schwachstellen verantwortungsbewusst offenzulegen, und wir freuen uns sehr darauf, diesen Bericht zu lesen.
In vollem Bewusstsein für diese Art von Bedrohung arbeiten wir kontinuierlich daran, die Sicherheit von Tails umfassend zu verbessern. Unter anderem arbeiten wir an einer engen Integration von AppArmor in Tails, Kernel, Härtung des Webbrowsers sowie Sandboxing, um nur einige Beispiele zu nennen.
Wir freuen uns über jeden Beitrag, der unsere Benutzer weiter vor Deanonymisierung schützt und ihnen hilft, ihre privaten Daten, Ermittlungen und ihr Leben zu schützen. Wenn Sie ein Sicherheitsforscher sind, überprüfen Sie bitte Tails, Debian, Tor oder jede andere Software, die wir ausliefern. Um die von Ihnen entdeckten Schwachstellen zu melden oder zu besprechen, setzen Sie sich bitte mit uns in Verbindung.
Jeder, der zu Tails beitragen möchte, um die Privatsphäre zu verteidigen, schließt sich bitte uns an!