Gibt es Hinweise darauf, dass Linux Tails von Geheimdiensten wie der CIA entwickelt oder beeinflusst wurde, um gezielt Nutzer zu überwachen?
Der Quellcode mag zwar öffentlich zugänglich sein, doch die ausführbare Datei, die auf der offiziellen Webseite heruntergeladen werden kann, könnte theoretisch beliebige Modifikationen enthalten. Eine winzige Backdoor wäre kaum zu bemerken.
Zudem wirkt die Hintergrundgeschichte äußerst undurchsichtig und zum Teil konstruiert. Es gibt zahlreiche Unklarheiten, die Fragen aufwerfen.
Kannst du deine Behauptungen bitte ausreichend belegen?
Tails bietet keine direkten Belege für gezielte Überwachung, doch theoretisch könnten Schwachstellen oder Traffic-Correlation-Techniken zur Deanonymisierung genutzt werden.
Meinst du TAILS direkt oder TOR an sich?
Meine Frage bezieht sich ausschließlich auf Tails selbst, nicht auf das Tor-Netzwerk an sich. Es geht um mögliche Einflussnahmen o. Manipulationen innerhalb der Tails-Distribution.
5 Antworten
Aus rein technischer Sicht hast du Recht. Du kannst nicht wissen, ob das Binary nicht manipuliert wurde.
Da hilft dir nur, den Quellcode selber zu compilieren. Aber dann hast du das Problem, dass du einen nicht manipulierten Compiler brauchst. Den kannst du dir natürlich auch selber compilieren. Aber dann ist wieder die Frage, mit welchem Compiler... GCC versucht dieses Problem anzugehen, indem in der gesamten Historie des Compilers ganz exakt klar ist, wie und womit der compiliert wurde, bis auf den ersten, der von Stallman in Assembler geschrieben wurde. Aber auch da musst du im Endeffekt zumindest Stallman glauben, dass er keine Backdoor eingebaut hat ... oder den Assembler-Code lesen.
Abgesehen davon: Traffic-Correlation-Angriffe sind Angriffe auf das TOR-Netz, nicht auf Tails.
Aber zur eigentlichen Frage: Bei der CIA/NSA wissen wir, dass die schon Angriffe auf Linux versucht haben, und somit auch auf Tails: https://www.youtube.com/watch?v=7gRsgkdfYJ8
Alles ist von den Geheimdiensten und so gemacht, gedacht und du kannst dem nicht entkommen. Es gibt sogar Geheimdienste, deren Namen du nie kennen wirst, denn sie wollen das nicht, damit sie Geheim-Geheimdienste bleiben können. Und Tails läuft ja auch nur auf Hardware, die vollständig unter der Kontrolle der Geheimdienste ist, deswegen ist es egal, wie geschützt du dir mit Tails vorkommst, aber es ist nur eine Illusion.
So, genug des groben Unfugs ;-) Eigentlich geht es immer nur um das eine: Selbst wenn du glaubst, sie würden dich nicht verfolgen, heißt das noch lange nicht, dass sie es nicht trotzdem tun.
doch die ausführbare Datei, die auf der offiziellen Webseite heruntergeladen werden kann, könnte theoretisch beliebige Modifikationen enthalten.
Das stimmt. Es könnte zwischen Quellcode und der veröffentlichten ISO-Datei eine Hintertür oder sonst was durch Projekt-Beteiligte eingebaut werden. Oder diese auch geschickt im Quellcode versteckt werden.
Da hilft dir nur, den Quellcode komplett selbst studieren und selbst kompilieren. Oder du vertraust Berichten und Tests. Mir sind zumindest keine Nachrichten über absichtliche Fehler in TAILS bekannt. TOR wird nur immer schwieriger, weil immer weniger Knoten betreiben und damit der Verkehr abhörbarer (Komparativ!) wird.
Alternativ kannst du natürlich auch TOR außerhalb von TAILS benutzen, wenn du TAILS nicht vertraust. Niemand zwingt dich, TAILS zu benutzen.
Aber immerhin: Der Quellcode ist offen und damit ist eine Grundlage für Vertrauen gegeben.
Nimm etwas wie Microsoft Windows oder Apple macOS: Kein Quellcode und damit kann darin ALLES vorkommen und versteckt werden. Da ist Vertrauen unmöglich!
FS will provozieren. Lies mal seine andere Frage. Es geht also (leider) nicht um die Sache.
Offener Quellcode allein garantiert keine absolute Sicherheit, aber er schafft die Möglichkeit zur unabhängigen Prüfung. Wer sich wirklich absichern will, muss selbst kompilieren oder vertrauenswürdigen Analysen folgen. Proprietäre Systeme bieten diese Transparenz nicht ....dort bleibt nur blindes Vertrauen.
Offener Quellcode allein garantiert keine absolute Sicherheit, aber er schafft die Möglichkeit zur unabhängigen Prüfung.
Deswegen habe ich ja auch geschrieben "Grundlage für Vertrauen" und nicht "Garant für Vertrauen".
Wer sich wirklich absichern will, muss selbst kompilieren oder vertrauenswürdigen Analysen folgen.
Absolut richtig. Das gilt aber für jedes System und hat nichts mit TAILS an sich zu tun.
Proprietäre Systeme bieten diese Transparenz nicht ....dort bleibt nur blindes Vertrauen.
Imho: Kein Vertrauen möglich. Wer den Quellcode nicht offenlegt, hat etwas zu verbergen.
Offener Quellcode ist eine Voraussetzung für Vertrauen, aber nicht ausreichend. Es gab bereits Fälle von bewusst versteckten Schwachstellen in Open-Source-Projekten. Die Sicherheit hängt von unabhängiger Prüfung und aktiver Kontrolle ab – nicht bloß von der Offenlegung.
Wer glaubt, dass proprietäre Software automatisch unsicherer ist, ignoriert, dass auch Open-Source-Projekte manipulierbar sind. Blindes Vertrauen ist in beiden Fällen riskant.
Siehe
"Grundlage für Vertrauen" und nicht "Garant für Vertrauen".
Nimm dir mal einen Duden her und lies die Begriffe Grundlage und Garant nach. 😉
Semantik ist nett, aber mein Punkt bleibt: Transparenz allein reicht nicht – echte Sicherheit entsteht erst durch Prüfung.
Ich behaupte ja auch nichts anderes.
Und dann fordere ich dich dazu auf, selbst die Prüfung von TAILS vorzunehmen, wenn du da Zweifel hast, es aber benutzen willst oder musst.
Denn so verstehe ich den Zweck deiner Frage, dass du es benutzen willst, aber Zweifel hast.
Dass offene Software überprüfbar ist, bedeutet nicht automatisch, dass sie fehlerfrei ist – genau deshalb ist Prüfung entscheidend. Aber das ist bei geschlossener Software eben gar nicht erst möglich.
Richtig. Daraus folgt genau was jetzt für die konkrete Frage? Nichts. Es bleibt offen.
Nein, es bleibt nicht offen – es bleibt dir überlassen, ob du selbst prüfen willst oder vertrauenswürdige Analysen anerkennst. Sicherheit entsteht durch Handlung, nicht durch endlose Semantik.
Dann war deine Frage also keine Frage, sondern ein Aufruf für alle, jegliche Projekte genau zu prüfen und erst mal kein Vertrauen zu verschenken. Sehe ich das richtig so?
Deine Formulierung klingt nett, ändert aber nichts an der eigentlichen Problematik: Offenheit allein reicht nicht, Kontrolle und Prüfung sind entscheidend.
Dem kann ich nur zum dritten mal zustimmen.
Ändert nichts an meinem Kommentar, den du bewusst ignorierst.
Ich ignoriere nichts – ich fokussiere mich auf das Wesentliche. Wenn du etwas Konkretes hast, das meine Argumentation tatsächlich widerlegt, dann raus damit.
Mit manchen Leuten ist es echt, wie Schachspielen mit einer Taube.
Ich wünsche dir einen schönen Tag.
Ach, du beendest das mit einem Spruch statt mit einem Argument? Interessant. Dann wünsche ich dir ebenfalls einen schönen Tag.
Ich sehe keinerlei Hinweise auf eine Einflussnahme von Geheimdiensten.
Wenn du offene Fragen hast, kannst du sie den Entwicklern stellen.
die ausführbare Datei, die auf der offiziellen Webseite heruntergeladen werden kann, könnte theoretisch beliebige Modifikationen enthalten
Dazu müsste der Angreifer Zugriff auf die Website haben, um die Datei zu modifizieren. Und selbst dann würde das nicht funktionieren, denn die Kompilierung ist reproduzierbar. Wenn ein Angreifer die Datei durch eine andere ersetzen würde, würde sofort auffallen, dass die Prüfsumme nicht stimmt.
P.S. Wenn du der Datei dennoch nicht vertraust, kannst du Linux Tails auch selbst kompilieren.
Das setzt voraus, dass jeder Nutzer die Prüfsumme auch tatsächlich überprüft, was in der Praxis oft nicht geschieht. Zudem wäre eine Manipulation über andere Wege denkbar, z.B. Einflussnahme auf die offiziellen Build-Prozesse oder durch kompromittierte Signaturschlüssel.
Das setzt voraus, dass jeder Nutzer die Prüfsumme auch tatsächlich überprüft, was in der Praxis oft nicht geschieht.
Wer Tails nutzt sollte genügend Sachverstand haben, das zu prüfen. Andernfalls - selber Schuld.
Das setzt voraus, dass jeder Nutzer die Prüfsumme auch tatsächlich überprüft, was in der Praxis oft nicht geschieht.
Es reicht, wenn ein einziger Nutzer die Prüfsumme überprüft, die Abweichung bemerkt und die Entwickler informiert.
Zudem wäre eine Manipulation über andere Wege denkbar
Stimmt, aber das gleiche gilt für fast jede Software. Meinst du denn, die CIA würde sich die Mühe machen, Linux Tails zu hacken – eine Distro, die von weniger als 1% aller Linux-Nutzern verwendet wird?
Das mag theoretisch stimmen, aber in der Praxis ist nicht jeder Nutzer ein Sicherheitsexperte. Zudem gibt es genügend Beispiele, in denen selbst erfahrene Anwender auf manipulierte Builds oder kompromittierte Signaturen hereingefallen sind. Sicherheit sollte nicht allein vom individuellen Sachverstand abhängen, sondern durch robuste Schutzmechanismen gewährleistet sein.
Die geringe Verbreitung macht Tails nicht automatisch uninteressant für Geheimdienste.. gezielte Angriffe richten sich oft auf spezifische Nutzergruppen. Aber ja, jede Software kann theoretisch kompromittiert werden...
Das gilt aber für alle Projekte, insbesondere bei Projekten, deren Quellcode nicht einsehbar ist. Das ist keine Eigenart von TAILS.
Ich verstehe das Ziel deiner Frage nicht. Willst du einfach TAILS in den Dreck ziehen?
Stimmt, aber Tails‘ Fokus auf Anonymität macht es besonders interessant für gezielte Manipulationen ...mehr als typische Softwareprojekte.
Massenmarkt-Systeme wie Ubuntu sind allgemeine Ziele, aber Tails‘ Nutzergruppe ist klein, spezifisch und oft hochinteressant für Geheimdienste. ....Weniger Nutzer heißt nicht weniger Risiko.
Aha. Die Begründung würde mich interessieren. Ich kann auf jedem System TOR starten und darüber Surfen. Dafür brauche ich kein TAILS. Letztlich ist das auch nur ein System, das ein paar Dinge vorinstalliert, die ich auf jedem anderen System so reproduzieren kann.
Richtig, Tor läuft auf jedem Betriebssystem. Aber Tails bietet mehr als nur eine Tor-Installation – es sorgt dafür, dass wirklich alles Netzwerk-Traffic ausschließlich über Tor geht, verhindert Datenlecks und hinterlässt keine Spuren auf der Festplatte. Klar kann man das manuell auf anderen Systemen konfigurieren, aber das erfordert technisches Wissen und ist fehleranfällig. Tails liefert eine vorkonfigurierte, geprüfte Umgebung, die genau dafür entwickelt wurde – das macht es sicherer und zuverlässiger.Tor allein schützt nicht vor Datenlecks ...Tails wurde speziell dafür entwickelt. Klar kann man alles manuell nachrüsten, aber Tails bietet eine geprüfte, vorkonfigurierte Umgebung. Sicherheit ist mehr als nur "Tor starten".
Du widersprichst deinen vorherigen Aussagen, wenn du jetzt von "geprüfter, vorkonfigurierter Umgebung" schreibst.
Nein, kein Widerspruch. Die Umgebung ist geprüft, aber das bedeutet nicht absolute Sicherheit – keine Software ist völlig unangreifbar. Tails minimiert Risiken durch Vorkonfiguration und transparente Sicherheitsmechanismen, aber letztlich bleibt jede Software nur so sicher wie die Maßnahmen, die Nutzer ergreifen. Sicherheit ist ein Prozess, kein Zustand.
Also ich zähle mich nicht zu den ausgebufften Sicherheitsexperten, aber der Sinn der Prüfsummenprüfung erschließt sich mir dennoch. Wer das nicht macht, erhöht die Chancen für CIA und noch schlimmeren Leuten, Institutionen - selber schuld, wie gesagt.
Das ist theoretisch richtig, aber praktisch unzureichend. Es setzt voraus, dass dieser eine Nutzer die Manipulation bemerkt und sie auch tatsächlich meldet. Es gibt zahlreiche Fälle, in denen manipulierte Builds über lange Zeit unentdeckt blieben. Zudem ist nicht jeder Nutzer ein Sicherheitsexperte – genau deshalb sind robuste Schutzmechanismen nötig, die nicht bloß auf individuelle Sorgfalt bauen. Tails verbessert diese Sicherheit durch reproduzierbare Builds und transparente Prüfprozesse.
Und was ist dann dein Vorschlag genau? Ich verstehe nicht, auf was du hinaus willst.
Ist dir TAILS jetzt zu unsicher oder lobst du das Projekt aufgrund seines Verfahrens der Prüfung, Quelloffenheit und mehr?
Das wir prinzipiell alles anzweifeln sollen, müsste jedem klar sein. Konjunktiv ist bewusst gesetzt.
Deine Widersprüche sind faszinierend – erst wird Tails als überflüssig dargestellt, dann plötzlich als lobenswert anerkannt. Bleib doch bei einer Linie. Fakt ist: Sicherheit ist ein Prozess, kein Zustand. Wer echte Schutzmechanismen will, nutzt Systeme wie Tails, statt sich in sinnlosen Relativierungen zu verlieren.
Deine Widersprüche sind faszinierend – erst wird Tails als überflüssig dargestellt, dann plötzlich als lobenswert anerkannt. Bleib doch bei einer Linie.
Ich paraphrasiere nur, was du mir antwortest.
Dann paraphrasier bitte präzise. Erst abwerten, dann loben – das ist nicht einfach eine Wiedergabe meiner Aussagen, sondern schlicht inkonsistent.
Dir ist schon bewusst, dass da eine Frage an dich gestellt wird:
Ist dir TAILS jetzt zu unsicher oder lobst du das Projekt aufgrund seines Verfahrens der Prüfung, Quelloffenheit und mehr?
In deiner Frage zweifelst du die Sicherheit und Vertrauenswürdigkeit von TAILS an. Ein paar Kommentare später hebst du deren Verfahren, Quelloffenheit und Prüfung lobend hervor. Kannst du dich bitte entscheiden?
Du versuchst, eine künstliche Widersprüchlichkeit zu konstruieren, anstatt meine eigentliche Argumentation zu widerlegen. Sicherheit ist kein statischer Zustand, sondern ein kontinuierlicher Prozess. Tails bietet starke Schutzmechanismen, aber das bedeutet nicht, dass man Risiken ignorieren sollte. Wer nur zwischen blinder Akzeptanz oder kompletter Ablehnung unterscheidet, versteht nicht, wie echte Sicherheitsanalysen funktionieren.
Dem widerspreche ich nicht.
Deine Frage liest sich nur als "Sollte man TAILS vertrauen? Es gibt schließlich Probleme", während einige deiner Kommentare sich lesen als "Die machen alles richtig".
Sicherheit ist komplex, nicht schwarz-weiß. Tails hat starke Mechanismen, aber kritisches Hinterfragen verbessert sie weiter. Wer das als Widerspruch sieht, vereinfacht das Thema unnötig.
da ist es wohl besser doch wieder mit Windows zu arbeiten.
Kennst du jemand, der sich ausführbare Dateien vom Geheimdienst runter lädt?
Welche Dateien sind das bitte?
In meinem Bekanntenkreis vertrauen alle auf das sichere und geprüfte Repository.
nicht mal das garantiert fehlerfreies Arbeiten.
In einer Anlage der Vermittlungstechnik , die bereits 6 Jahre beim Kunden ohne jegliche Beanstandung lief traten plötzlich Effekte ein, die nur durch Manipulation von Dritten zu erklären war.
Mit viel, sehr viel Aufwand haben wir dann den Fehler doch in unseren eigenen Quellpaketen gefunden.
Wir hatten nicht die Möglichkeit wie bei Linux auf das Wissen, Können und die Ausdauer von hunderten freiwilligen Programmieren zuzugreifen.
Hinzu kam, dass die Programmierer ihren eigenen Code nach 7 oder gar 8 Jahren wieder verstehen mussten (wenn sie überhaupt noch da waren).
Worüber wird hier eigentlich diskutiert? Über Fehler, die noch gar nicht beobachtet wurden?