Door FBI gebruikt zerodaylek in Tails nog altijd onbekend bij ontwikkelaars
Een zerodaylek in het op privacy gericht besturingssysteem Tails dat drie jaar geleden door de FBI werd gebruikt om een verdachte op te sporen is nog altijd onbekend bij de ontwikkelaars. Twee weken geleden werd bekend dat Facebook een niet nader genoemd securitybedrijf een zeroday-exploit voor Tails had laten ontwikkelen om het ip-adres van een gebruiker van de sociale netwerksite te achterhalen.
De exploit werd vervolgens aan de FBI gegeven, die zo de verdachte kon opsporen. De Amerikaanse opsporingsdienst verklaarde tegenover de sociale netwerksite dat de exploit alleen tegen deze ene verdachte zou worden ingezet. Tails staat voor The Amnesic Incognito Live System. Het is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen.
Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden hebben Tails in het verleden aangeraden.
Volgens informatie die via Vice Magazine openbaar werd is er gebruik gemaakt van een kwetsbaarheid in GNOME Videos, de standaard mediaspeler in Tails. Zowel de ontwikkelaars van Tails als GNOME Videos wisten niet dat een zerodaylek in hun software drie jaar geleden is gebruikt voor het opsporen van een verdachte.
"De enige manier waarop Tails zeker weet dat elk aspect van de zeroday al is verholpen, is door de volledige details van de zeroday te kennen", aldus een woordvoerder van het besturingssysteem. "Zonder deze details hebben we geen zekerheid dat onze huidige gebruikers nu tegen deze zeroday beschermd zijn."
Een woordvoerder van het GNOME Project, dat voor de mediaspeler verantwoordelijk is, laat weten dat Facebook in eerste instantie de details wilde delen, totdat het ontdekte dat het probleem klaarblijkelijk al was verholpen. Aangezien onduidelijk is om welke kwetsbaarheid het gaat en in welke versie die dan is verholpen, verwachten de ontwikkelaars nog te worden ingelicht door de FBI of Facebook, zodat ze alle gebruikers kunnen waarschuwen.
Verschillende experts uiten kritiek op de rol van de sociale netwerksite. "Facebook maakt de wereld minder veilig voor mensen die anonimiteit nodig hebben om te overleven", zegt beveiligingsonderzoekster Katie Moussouris. Ze krijgt bijval van Harlo Holmes, die journalisten traint om Tails te gebruiken. Holmes vindt dat Facebook meer details over de overeenkomst met de FBI moet geven. Daarnaast noemt ze de sociale netwerksite hypocriet voor het aanklagen van spywareontwikkelaar NSO Group, die klanten via een zerodaylek WhatsApp-gebruikers liet infecteren, terwijl het zelf de FBI hielp om een verdachte te compromitteren.
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Joh je meent het. Tor of Tails lek. Roep ik al jaren.
De FBI kan dit. Wat zou de NSA kunnen denk je dan? Of Rusland... je weet nooit al die CDNs runt.
Met Tails bescherm je je tenminste tegen een deel maar je acitiviteite zijn niet geheim tenzij je echt moeite doet.
Waarom denk je dat Rusland geen serieuze speler is?
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Joh je meent het. Tor of Tails lek. Roep ik al jaren.
De FBI kan dit. Wat zou de NSA kunnen denk je dan? Of Rusland... je weet nooit al die CDNs runt.
Met Tails bescherm je je tenminste tegen een deel maar je acitiviteite zijn niet geheim tenzij je echt moeite doet.
De NSA kan (i.s.m. the 5-Eyes) een by-pass doen zodat ze packet-delivery naar je computer kunnen zenden (buiten het TOR-netwerk om). Dit is een race-condition die de NSA 'wint' en derhalve kunnen ze content injecten. Dit valt onder de projecten "QUANTUM*". Zie presentaties van Jacob Applebaum.
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Joh je meent het. Tor of Tails lek. Roep ik al jaren.
De FBI kan dit. Wat zou de NSA kunnen denk je dan? Of Rusland... je weet nooit al die CDNs runt.
Met Tails bescherm je je tenminste tegen een deel maar je acitiviteite zijn niet geheim tenzij je echt moeite doet.
De NSA kan (i.s.m. the 5-Eyes) een by-pass doen zodat ze packet-delivery naar je computer kunnen zenden (buiten het TOR-netwerk om). Dit is een race-condition die de NSA 'wint' en derhalve kunnen ze content injecten. Dit valt onder de projecten "QUANTUM*". Zie presentaties van Jacob Applebaum.
ik hoop dat je realiseerd dat dit een zeer complexe en moeilijk uitvoerbare aanval is? ook moet je hiervoor al een gevoel hebben wie de verdachte is.
Er bestaan enkel systemen die graderen van onveilig tot veiliger.
Zo kan geen enkele bank je nooit 100% garantie geven dat ze niet beroofd worden. De kans dat ze beroofd worden kan ogenschijnlijk kleiner gemaakt worden tot een crimineel een manier ontdekt om in te breken.
M.b.t. Tails en we hebben er te weinig info over...wellicht is de zeroday te verhelpen door gnome voorlopig te verwijderen? Echter ik weet niet hoe diep die applicatie geïntegreerd is in het systeem.
En TOR is absoluut niet veilig dat is een illusie. Daarbij verwijs ik naar eerdere berichten inzake dit onderwerp. Het helpt tegen de data graaiende reuzen op deze aardbol..maar opsporingsdiensten hebben dit systeem allang gecompromitteerd.
PS zeroday is per definitie lek. Is een zerodaylek dan net zoiets als groen gras?
De video met de POC is niet langer toegankelijk: https://www.youtube.com/watch?v=YSu_DLe9qyw
Kijk eens bij een willekeurige site naar de beveiliging m.b.v. de Tracker SSL extensie,
Je schrikt je blauw van het rood en daar waar NSA snooping vrij spel lijkt te hebben
(ook via 3rd party tracking zoals door Google, facebook, Amazon, Alibaba etc.).
Scan eens hier http://ssl-checker.online-domain-tools.com/
Onderzoek eens rustig in hoeverre uri's zijn ge-sanitized?
Waar de vele kwetsbaarheden zitten, zowel op client als op de server.
Hoe ver velen afzitten van het toepassen van "best known policies".
Het niveau en de proliferatie van zero-days is dan ook niet zo moeilijk voor te stellen.
Alleen al PHP en JavaScript zijn niet meer veilig te krijgen.
Ook al zouden we het willen. Het enige wat afdoende is, is een script blocker.
Ja, ook bij onveiligheid, die zich nog niet heeft voorgedaan.
Voornamelijk leunt men nog een klein beetje op security through obscurity,
maar de digitale forten zijn merendeels al gevallen voor de Globalania krachten.
Wat niet aan script kan "aflopen", kan je ook niet in de k*nt komen bijten.
Zeker als de algemene veiligheid op de infrastructuur maar mondjesmaat verbeterd wordt.
En ook zeker als er niets aan gedaan wordt (soms jarenlang).
Er zijn een paar grote partijen die angstvallig de status-quo van brakke beveiliging in stand houden,
koste wat het kost. Cyberwar is daarbij een voortdurend gegeven.
Deze woedt al in alle hevigheid en wij zitten allemaal al volop in de "flak".
luntrus
Waarom denk je dat Rusland geen serieuze speler is?
Omdat ik daar geweest ben. En ik weet genoeg.
Wat wij zien is een vooropgezet script van verdeel en heers waarbij de 17 diensten in de VS via hun DOD brainwar systeem tot het bot verdeeld zijn. De polarisatie is ook in Nederland begonnen. Dit is een vroege fase en het is al decennia in onze systemen van oa onderwijs, zorg etc geslopen wat 1 pool betreft. De rechterflank geeft kritiek maar is slechts een tijdelijke katalysator.
Rusland en de VS blijven elkaar oneindig provoceren, maak je daar niet druk om. Zolang de status quo maar behouden blijft.
Uiteindelijk moet je als eindgebruiker gewoon altijd goed nadenken wat je op een systeem uitvoerd, ongeacht wel besturingssysteem of applicatie...
Slechte ontwikkeling dit...
Joh je meent het. Tor of Tails lek. Roep ik al jaren.
De FBI kan dit. Wat zou de NSA kunnen denk je dan? Of Rusland... je weet nooit al die CDNs runt.
Met Tails bescherm je je tenminste tegen een deel maar je acitiviteite zijn niet geheim tenzij je echt moeite doet.
De NSA kan (i.s.m. the 5-Eyes) een by-pass doen zodat ze packet-delivery naar je computer kunnen zenden (buiten het TOR-netwerk om). Dit is een race-condition die de NSA 'wint' en derhalve kunnen ze content injecten. Dit valt onder de projecten "QUANTUM*". Zie presentaties van Jacob Applebaum.
Ik ken het vanuit de user experience. Je ziet dan heel veel duplicate ACKs in TCP en ook TLS renegotiating errors type 21 of gewoon een poging om geautomatiseerd op alle sites die je bezoekt af te zwakken naar een crypto die ze in realtime kunnen breken op https.
NSA doet me niet zoveel. Die zijn volgens mij geen dreiging. Ik maak me wel zorgen met wie ze hun data over mij allemaal delen. En misschien willen ze eens komen vertellen wie target op de andere manier.. iets met biologie. Misschien kan ik dan ophouden met de Alphabet Groep te bashen want er zullen zat rogue darkhat groepjes zijn die hetzelfde doen in georganiseerd verband maar zonder NSA data. Het internet blijft toch 1 grote soep. Als je geld hebt kun je zelf ool een grabbelton opzetten. Dat is volgens mij best lucratief voor die databrokers.
Het belooft ook niet veel goeds voor de mensen, die op veilige software vertrouwen, zoals journalisten in dictatoriale omgevingen. Het schijnt dus zo onderhand te worden, dat het dictatoriale gebied bijna globale properties heeft aangenomen.
In ieder geval wel binnen de Facebook-opvattingen en visie. Jammer dat er zoveel mensen zijn, die nog niet in staat zijn gebleken af te kicken en verdwenen zijn uit de greep van deze online massa-media-ballentent. The good, the bad & the ugly, en "the good" is voor Facebook alleen maar de katalysator voor nog meer "bad & ugly" van Facebook's kant.
Jodocus Oyevaer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
