QR code per la pagina originale

Tails non è sicuro, scoperta una falla zero-day

Anche il sistema operativo usato da Edward Snowden non garantisce la privacy assoluta. Una vulnerabilità permette di scoprire l'indirizzo IP degli utenti.

,

Tails è un sistema operativo basato su Debian, una nota distribuzione Linux, che garantisce l’anonimato e la privacy su Internet, grazie all’integrazione di Tor e di avanzate tecnologie di crittografia. Il software è diventato in poco tempo molto popolare perché è il sistema operativo utilizzato da Edward Snowden. Exodus Intelligence ha però individuato una vulnerabilità zero-day, presente anche nella recente versione 1.1, che consente la de-anonimizzazione dei computer Tails e l’esecuzione di codice remoto.

La società di sicurezza ha annunciato la sua scoperta su Twitter il 21 luglio. Due giorni dopo ha pubblicato un post per descrivere sommariamente il problema. I dettagli tecnici verranno presentati solo dopo il rilascio della patch da parte degli sviluppatori di Tails. Il bug è stato rilevato nel componente I2P, incluso in Tails dalla versione 0.7, che vanta attualmente circa 30.000 peer attivi. La vulnerabilità può essere sfruttata senza nessuna particolari configurazioni o impostazioni. I2P effettua il routing dei siti TLD .i2p attraverso il network distribuito a commutazione di pacchetto. Tutte le comunicazione sono protette da quattro livelli di crittografia.

Nonostante ciò, Exodus ha sviluppato un exploit che permette di scoprire l’indirizzo esatto dell’utente che accede ad un sito e di eseguire codice remoto in pochi secondi. L’azienda sottolinea che nessun software è infallibile, nemmeno Tails. Gli utenti quindi non dovrebbero fidarsi ciecamente dei prodotti ritenuti sicuri al 100%. Le vulnerabilità ci sono sempre e, prima o poi, verranno scoperte. Fortunatamente, la natura open source di Tails velocizza la loro individuazione.

Il team che sviluppa il sistema operativo sostiene che Exodus non li ha contattati prima di pubblicare il tweet. In ogni caso, i dettagli tecnici non saranno divulgati finché non verrà rilasciata la patch.

Fonte: Exodus Intelligence • Notizie su: