Zero-Day-Fehler in Tails stehen laut Vulnerability Broker nicht zum Verkauf

Ein Unternehmen, das sich auf den Verkauf von Informationen zu Software-Schwachstellen spezialisiert hat, hat eine Debatte über den Umgang mit solchen Informationen wieder aufgenommen, insbesondere wenn es um datenschutzorientierte Tools geht.

Exodus Intelligence mit Sitz in Austin, Texas, hat am Montag getwittert, es habe mehrere Sicherheitslücken in Tails gefunden, einem Betriebssystem und einer Reihe von Anwendungen, die es schwieriger machen sollen, die Aktivitäten eines Benutzers online zu verfolgen.

Exodus recherchiert und verkauft Informationen über Software-Schwachstellen, ein rechtliches Geschäft, das jedoch wegen seiner Undurchsichtigkeit und der Besorgnis darüber, wie Regierungen oder andere Unternehmen die Informationen verwenden könnten, kritisiert wird.

Das Unternehmen hat inzwischen angekündigt, den Entwicklern von Tails bis Ende dieser Woche einen Bericht mit Informationen zu Sicherheitslücken zur Verfügung zu stellen. Exodus wird diese Informationen bis dahin nicht außerhalb des Unternehmens weitergeben, schrieb Aaron Portnoy, Vizepräsident, in einem E-Mail-Austausch am Dienstag mit IDG News Service.

Auf die Frage, ob Exodus eine spezielle Ausnahme für Tails macht, schrieb Portnoy: „Wir bewerten jede Sicherheitsanfälligkeit, mit der wir uns befassen, von Fall zu Fall. Daher ist die Sicherheitsanfälligkeit von Tails keine Ausnahme, da wir keinen Basisstandard haben.“

Tails ist ein Linux-basiertes Betriebssystem, das verschiedene datenschutzverbessernde Tools wie Tor verwendet, um die Nutzung des Internets anonymer zu gestalten. Es wurde für die Verwendung unterwegs entwickelt, z. B. an öffentlichen Internetzugangspunkten, und gilt als eine der besten, aber nicht narrensicheren Methoden, um das Hinterlassen eines digitalen Fußabdrucks auf einem Computer zu verringern.

Der Tweet von Exodus löste eine Reaktion von Tails aus, der in seinem Blog schrieb, dass er vor dem Tweet nicht kontaktiert wurde. Aber Tails war erfreut, dass es die Möglichkeit haben wird, die Informationen zu sehen.

"Uns wurde gesagt, dass sie diese Sicherheitsanfälligkeiten nicht öffentlich bekannt geben werden, bevor wir sie behoben haben, und dass Tails-Benutzer die Möglichkeit hatten, ein Upgrade durchzuführen", heißt es in dem Blogbeitrag. "Wir sind der Meinung, dass dies der richtige Prozess ist, um Schwachstellen verantwortungsvoll aufzudecken, und freuen uns sehr darauf, diesen Bericht zu lesen."

Portnoy sagte, dass Exodus bestimmte Arten von Software nicht von seiner Analyse ausschließt und dass „wir uns auf Dinge konzentrieren, die weit verbreitet sind“.

Es war nicht klar, ob der öffentliche Druck die Entscheidung von Exodus beeinflusste, die Informationen privat an Tails weiterzugeben. Die Art und Weise, wie das Problem behandelt wurde, löste auf Twitter eine weitgehend negative Reaktion gegen Exodus aus. Einige beschuldigten das Unternehmen, potenziell Benutzer in Gefahr zu bringen.

Portnoy bemerkte einige Tweets von Christopher Soghoian, dem Haupttechnologen des Sprach-, Datenschutz- und Technologieprojekts der American Civil Liberties Union. Soghoian steht dem Geschäft mit Schwachstellenmaklern seit langem kritisch gegenüber.

Soghoian warf einen Schlag auf Portnoy und schrieb: „Ich bin mir ziemlich sicher, dass @aaronportnoy nicht daran interessiert ist, jemanden in Sicherheit zu bringen. Er ist daran interessiert, fantastische 0-Tage für Bargeld zu verkaufen. “

Portnoy sagte in einer E-Mail, dass er verstehe, warum die Entwickler von Tails "möglicherweise irritiert waren über die hyperbolischen Reaktionen einiger der lautstärkeren Personen am Rande dieser Branche, die den Eindruck hatten, wir würden die Informationen an andere verkaufen."

In Bezug auf Soghoian schrieb Portnoy: „Wenn Menschen mehr als 35.000 Anhänger haben, können sich falsche Ideen leicht verbreiten, ohne dass ein Validierungsversuch unternommen wird.“

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.