Exploit-Dealer nehmen Anonymisierungs-Tool Tails ins Visier

Mit einer diffusen Warnung vor einer Sicherheitslücke in Tails schürt Exodus Intelligence Verunsicherung bei dessen Nutzern und macht Werbung für seine Geschäft: Exploits für genau solche Lücken zu liefern.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Lesezeit: 2 Min.

Die Exploit-Dealer von Exodus Intelligence haben offenbar eine kritische Sicherheitslücke in der für maximale Anonymisierung konzipierten Linux-Distribution Tails entdeckt, die unter anderem von Edward Snowden empfohlen wurde. Doch statt diese Lücke an den Hersteller zu melden, prahlen sie damit, dass ihre Lücke wohl auch noch in der demnächst erscheinenden Version Tails 1.1 funktionieren werde. Anscheinend kann man über die Lücke fremden Code auf dem System ausführen und die Anonymität des Anwenders komplett aufheben. Weitere Informationen dazu, wo genau die Lücke steckt oder wie man sich schützen könnte, geben die Entdecker nicht preis.

Ex-HP-Mitarbeiter Aaron Portnoy instrumentalisiert dabei geschickt die Medien, um für sein neu gegründetes Unternehmen Werbung zu machen. "Zu gegebener Zeit" wolle man den Hersteller informieren, schiebt er gegenüber Forbes ein moralisches Feigenblättchen vor, während er auf Twitter Klartext redet: Informationen zu intern gefundenen Bugs gebe man nicht an die Hersteller weiter. Kein Wunder: Schließlich will er diesen und andere Bugs inklusive der passenden Exploits möglichst gewinnbringend verkaufen. In der Twitter-Timeline prahlt ExodusIntel damit, welche neuen Exploits man an seine "Kunden" geliefert habe; darunter solche für Windows und Adobe Reader aber auch für industrielle Steuerungs-Systeme (ICS).

Aaron Portnoy koordinierte bis 2012 die Zero Day Initiative (ZDI) von HP TippingPoint, die Informationen zu Sicherheitslücken von Forschern aufkaufte und dann an die Hersteller meldete. Das Geschäftsmodell der ZDI beruht darauf, dass HP seine Kunden schon vorab gegen Angriffe über diese Lücken schützen kann. Mit Exodus Intelligence hat Portnoy jetzt die Seiten gewechselt: Statt die Verteidigung zu stärken, geht es um die Offensive. "Unser Ziel ist es, Kunden mit nutzbaren Informationen und Fähigkeiten für unsere exklusiven Zero-Day-Schwachstellen zu versorgen" lautet das Mission Statement von Exodus Intelligence, die er 2012 mit gegründet hat. Wer diese Kunden sein könnten, kann man sich gut ausmalen. (ju)