Documenten tonen dat NSA Tor en TrueCrypt niet kon kraken
Er zijn documenten van de NSA online verschenen waarin de Amerikaanse inlichtingendienst laat weten welke programma's het wel en niet kon kraken. In 2012 zorgden in ieder geval Tor, PGP, TrueCrypt en de Off The Record (OTR)-chatplug-in voor grote problemen bij de surveillance van doelwitten.
De documenten zijn afkomstig van klokkenluider Edward Snowden en werden door Der Spiegel gepubliceerd. Ook werden de documenten gisterenavond tijdens de CCC hackerconferentie in Hamburg gepresenteerd (video). Door tools als OTR, Tor, Zoho.com webmail en TrueCrypt meldt de NSA dat het berichten die via deze netwerken, diensten en software werden uitgewisseld niet kan ontsleutelen. In het geval van een e-mailbericht dat met PGP versleuteld was wordt gesteld dat decryptie van het bericht niet mogelijk is.
Verder blijkt uit de documenten dat de NSA ook actief probeert om encryptiestandaarden en programma's te kraken. Toch hoeft dit volgens beveiligingsexpert Robert Graham niet verkeerd te zijn. "Als onderdeel om de encryptie te verbeteren is het een goed iets. Je beveiligt dingen door ze proberen te kraken", merkt hij op. De expert stelt verder dat het hier om een studentenproject ging met als doel het rekruteren van studenten. Ook was het project gefinancierd door de IAD (Information Assurance Directorate)-afdeling van de geheime dienst, die zich bezighoudt met het verbeteren van encryptie.
Er wordt niet gesteld dat TOR niet te kraken is. En men heeft de laatste tijd ook laten zien dat ze meerdere methodes hebben om TOR gebruikers alsnog te identificeren. Het maakt het natuurlijk wel een heel stuk lastiger bij surveillance taken, wat ze hier terecht aangeven.
In het artikel waarnaartoe wordt gelinked van de Spiegel, worden nou juist een aantal links geboden naar documenten waarin de NSA juist aangeeft welke technieken ze hebben om TOR gebruikers aan te vallen, om hun identiteit boven water te krijgen.
Deanonymizing
Explanation of a potential technique to deanonymise users of the TOR network
Analytics on security of TOR hidden services
Overview on Internet Anonymization Services on how they work
TOR deanonymisation research
TOR Overview of Existing Techniques
A potential technique to deanonymise users of the TOR network
De beweringen over TOR in dit artikel worden al ontkracht door de bronnen waarnaartoe wordt gelinked in het artikel. Dat TOR niet te kraken is, is enkel een bewering van de schrijver van bovenstaand artikel. Dat het gebruik van TOR het in de gaten houden van internet gebruikers lastiger maakt, dat klopt natuurlijk zonder meer (maar dat wisten we al).
Omtrent weerstand tegen TOR; vergeet niet dat het hier gaat om een project dat is gefinancieerd door het Amerikaanse leger (US Naval Research Lab). Heb je de Amerikaanse overheid *ooit* pogingen zien ondernemen om TOR echt effectief tegen te werken ? Ik niet.
That Spiegel NSA story is activist nonsense
http://blog.erratasec.com/2014/12/that-spiegel-nsa-story-is-nonsense.html
Zou daarom truecrypt omzeep geholpen zijn worden ??
Zou daarom truecrypt omzeep geholpen zijn worden ??
Of is dit allemaal "zand in de ogen strooierij". En betekent dat Truecrypt niet niet niet meer veilig is.
Mocht je Truecrypt willen gebruiken, dan is het nog altijd beschikbaar.
http://sourceforge.net/projects/truecrypt/files/TrueCrypt/TrueCrypt-7.2.exe/download
NSA Attacks on VPN, SSL, TLS, SSH, Tor via @DerSPIEGEL
http://t.co/sBi5qb7Q65 (666pp, 197MB, biggest drop) Snowden tally 3,361pp
Het aantal pp 's is wel een merkwaardig getal.
De vraag of de encryptie zelf wel/niet gekraakt kan worden staat wat dat betreft min of meer los van de vraag of de NSA de inhoud van de communicatie wel/niet kan onderscheppen, er zijn meerdere wegen die naar Rome leiden.
Immers gaat het er bij de NSA uiteindelijk niet om of je de encryptie zelf kraakt, of op andere wijze toegang krijgt tot dezelfde gegevens.
"Je beveiligd dingen door ze te proberen kraken"
Dit is waar, maar dan moet het wel gemeld worden wanneer een bepaald protocol of dienst gekraakt is. Niet hetgene waar de NSA om staat te springen.
...bij lange na nog niet allemaal in de publiciteit gebracht.
en ook snowden heeft laten zien dat de hack kracht erg mee valt.
voral als je geen android / windows / mac gebruikt.
...bij lange na nog niet allemaal in de publiciteit gebracht.
Mocht je Truecrypt willen gebruiken, dan is het nog altijd beschikbaar.
http://sourceforge.net/projects/truecrypt/files/TrueCrypt/TrueCrypt-7.2.exe/download
Die zou ik maar niet gebruiken. Want wie vertelt mij dat dit juist een NIET-gemodificeerde versie is waar backdoors in gebouwd zijn? Blijf liever bij 7.1, en neem dan ook een installer die ouder is dan de eerste berichtgevingen hierover. Er zijn namelijk nooit afdoende bewijzen geleverd dat TrueCrypt werkelijk gekraakt is. En versie 7.2, daarvan is de origine niet bekend. je denkt wellicht een "gepatchte" versie te hebben, maar ondertussen zit er misschien wel een backdoor ingebakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
