Zero-day-gebreken in Tails zijn niet te koop, zegt kwetsbaarheidsmakelaar

Een bedrijf dat gespecialiseerd is in het verkopen van informatie over kwetsbaarheden in software heeft opnieuw een debat losgemaakt over de omgang met dergelijke informatie, vooral als het gaat om privacygerichte tools.

Exodus Intelligence, gevestigd in Austin, Texas, tweette maandag dat het verschillende kwetsbaarheden had gevonden in Tails, een besturingssysteem en een reeks applicaties die zijn ontworpen om het moeilijker te maken om de activiteit van een gebruiker online te volgen.

Exodus onderzoekt en verkoopt informatie over softwarekwetsbaarheden, een legaal bedrijf dat kritiek trekt vanwege het ondoorzichtige karakter ervan en zich zorgen maakt over hoe overheden of andere entiteiten de informatie zouden kunnen gebruiken.

Het bedrijf heeft sindsdien aangekondigd dat het eind deze week een rapport met de kwetsbaarheidsinformatie zal verstrekken aan de ontwikkelaars van Tails. Exodus zal die informatie vóór die tijd niet buiten het bedrijf delen, schreef Aaron Portnoy, vice-president, dinsdag in een e-mailuitwisseling met IDG News Service.

Op de vraag of Exodus een speciale uitzondering voor Tails maakte, schreef Portnoy: "We evalueren elke kwetsbaarheid waarmee we te maken hebben geval per geval, daarom is de Tails-kwetsbaarheid geen uitzondering omdat we geen basisnorm hebben."

Tails is een op Linux gebaseerd besturingssysteem dat verschillende privacyverbeterende tools zoals Tor gebruikt om het gebruik van internet anoniemer te maken. Het is ontworpen om onderweg te worden gebruikt, zoals bij openbare internettoegangspunten, en wordt beschouwd als een van de beste maar niet onfeilbare manieren om het achterlaten van een digitale voetafdruk op een computer te verminderen.

De tweet van Exodus veroorzaakte een reactie van Tails, die op zijn blog schreef dat er voorafgaand aan de tweet geen contact mee was opgenomen. Maar Tails was blij dat het de kans zou krijgen om de informatie te zien.

"Er is ons verteld dat ze deze kwetsbaarheden niet openbaar zullen maken voordat we het hebben gecorrigeerd, en Tails-gebruikers hebben de kans gehad om te upgraden", aldus de blogpost. "We denken dat dit het juiste proces is om verantwoordelijkheden op een verantwoorde manier openbaar te maken, en we kijken er erg naar uit om dit rapport te lezen."

Portnoy zei dat Exodus bepaalde soorten software niet uitsluit van de analyse ervan en dat "we ons richten op dingen die op grote schaal worden ingezet".

Het was niet duidelijk of publieke druk van invloed was op het besluit van Exodus om de informatie privé aan Tails bekend te maken. De manier waarop het probleem werd behandeld, veroorzaakte een grotendeels negatieve reactie tegen Exodus op Twitter, waarbij sommigen het bedrijf beschuldigden van het mogelijk in gevaar brengen van gebruikers.

Portnoy noteerde enkele tweets van Christopher Soghoian, de belangrijkste technoloog bij het Speech, Privacy and Technology Project van de American Civil Liberties Union. Soghoian is al lang kritisch over de brokerbusiness van kwetsbaarheden.

Soghoian wipte naar Portnoy en schreef: 'Ik ben er vrij zeker van dat @aaronportnoy niet geïnteresseerd is in het beschermen van iemand. Hij is geïnteresseerd in het verkopen van geweldige 0-dagen voor contant geld. ”

Portnoy zei in een e-mail dat hij begreep waarom de ontwikkelaars van Tails "mogelijk geïrriteerd waren door de hyperbolische reacties van enkele van de meer luidruchtige individuen aan de rand van deze branche die de indruk hadden dat we de informatie aan anderen verkochten."

Portnoy verwees naar Soghoian: "Wanneer mensen meer dan 35.000 volgers hebben, kunnen valse ideeën zich gemakkelijk verspreiden zonder enige poging tot validatie."

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.