Tails non è sicuro, scoperta una falla zero-day

Anche il sistema operativo usato da Edward Snowden non garantisce la privacy assoluta. Una vulnerabilità permette di scoprire l'indirizzo IP degli utenti.
Anche il sistema operativo usato da Edward Snowden non garantisce la privacy assoluta. Una vulnerabilità permette di scoprire l'indirizzo IP degli utenti.
Luca Colantuoni
Pubblicato il 24 lug 2014

Tails è un sistema operativo basato su Debian, una nota distribuzione Linux, che garantisce l’anonimato e la privacy su Internet, grazie all’integrazione di Tor e di avanzate tecnologie di crittografia. Il software è diventato in poco tempo molto popolare perché è il sistema operativo utilizzato da Edward Snowden. Exodus Intelligence ha però individuato una vulnerabilità zero-day, presente anche nella recente versione 1.1, che consente la de-anonimizzazione dei computer Tails e l’esecuzione di codice remoto.

La società di sicurezza ha annunciato la sua scoperta su Twitter il 21 luglio. Due giorni dopo ha pubblicato un post per descrivere sommariamente il problema. I dettagli tecnici verranno presentati solo dopo il rilascio della patch da parte degli sviluppatori di Tails. Il bug è stato rilevato nel componente I2P, incluso in Tails dalla versione 0.7, che vanta attualmente circa 30.000 peer attivi. La vulnerabilità può essere sfruttata senza nessuna particolari configurazioni o impostazioni. I2P effettua il routing dei siti TLD .i2p attraverso il network distribuito a commutazione di pacchetto. Tutte le comunicazione sono protette da quattro livelli di crittografia.

Nonostante ciò, Exodus ha sviluppato un exploit che permette di scoprire l’indirizzo esatto dell’utente che accede ad un sito e di eseguire codice remoto in pochi secondi. L’azienda sottolinea che nessun software è infallibile, nemmeno Tails. Gli utenti quindi non dovrebbero fidarsi ciecamente dei prodotti ritenuti sicuri al 100%. Le vulnerabilità ci sono sempre e, prima o poi, verranno scoperte. Fortunatamente, la natura open source di Tails velocizza la loro individuazione.

Il team che sviluppa il sistema operativo sostiene che Exodus non li ha contattati prima di pubblicare il tweet. In ogni caso, i dettagli tecnici non saranno divulgati finché non verrà rilasciata la patch.

Ti consigliamo anche

ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Software e App

ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Web e Social

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Offerta NordVPN: 65% di sconto + 3 mesi gratis
VPN

Offerta NordVPN: 65% di sconto + 3 mesi gratis
A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Web e Social

A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Link copiato negli appunti