MIT ontwikkelt niet te traceren berichtensysteem Vuvuzela
Onderzoekers van het Massachusetts Institute of Technology hebben een berichtensysteem ontwikkeld dat niet te traceren is, zo heeft de Amerikaanse universiteit zelf bekendgemaakt. Vuvuzela, zoals het systeem heet, biedt wiskundige garanties om de anonimiteit van gebruikers te garanderen.
De naam van het systeem is afkomstig van de manier waarop het werkt. Net als de Vuvuzela's die werden gebruikt tijdens het WK-voetbal in Zuid-Afrika, worden verkeerspatronen in allerlei 'ruis' verborgen. Dit moet partijen die gebruikers willen afluisteren op het verkeerde been zetten. Vuvuzela is niet bedoeld voor real-time gesprekken. Het is een dead-dropsysteem waarbij de gebruiker voor iemand anders op een vooraf afgesproken locatie een bericht achterlaat. In dit geval een geheugenadres van een server op internet, waar het door de andere gebruiker kan worden opgehaald. Het systeem voegt daarbij verschillende obfuscatielagen toe die ervoor moeten zorgen dat gebruikers niet worden opgemerkt.
Alice, Bob en Charlie
Het systeem werd mede ontwikkeld door PhD-student David Lazar. Hij geeft als voorbeeld voor de werking van het systeem een situatie waarbij het systeem drie gebruikers heeft: Alice, Bob en Charlie. Alice en Bob willen berichten uitwisselen, maar zonder dat iemand te weten kan komen dat ze dit doen. Als ze de dead-dropserver gebruiken en Charlie niet, kan iemand die het systeem monitort afleiden dat Alice en Bob met elkaar communiceren. De eerste vereiste van het systeem is dan ook dat alle gebruikers geregeld berichten naar de server versturen, ongeacht of ze nu informatie bevatten of niet.
Een aanvaller die de server heeft gehackt kan echter zien welke gebruikers welk geheugenadres benaderen. Ook als het bericht van Charlie naar het ene adres wordt gerouteerd, maar die van Alice en Bob naar een ander, kan de aanvaller weer zien wie met elkaar communiceert. In plaats van één server gebruikt Vuvuzela daarom drie servers. Elk bericht dat via het systeem wordt verstuurd is in drie encryptielagen gewikkeld. De eerste server verwijdert de eerste encryptielaag, voordat het naar de tweede server wordt gestuurd. Daarbij wordt ook de volgorde aangepast in het afleveren van berichten. Kwam het bericht van Alice eerder op de eerste server aan dan dat van Bob, dan zal voor de tweede server het bericht van Bob eerder worden afgeleverd.
Uiteindelijk ziet alleen de derde server welke berichten voor welk geheugenadres zijn bedoeld. Zelfs als die server wordt gehackt, kan een aanvaller nog steeds niet bepalen wiens bericht waar precies terecht kwam. Een aanvaller zou wel kunnen zien dat de berichten van twee gebruikers binnen een bepaald tijdsvenster zijn binnengekomen. Om dit tegen te gaan voegt Vuvuzela ruis toe. Als de eerste server het ontvangen bericht doorstuurt, creëert het ook allerlei nepberichten, met elk hun eigen versleutelde bestemmingen. De tweede server doet hetzelfde, wat het bijna onmogelijk voor een aanvaller maakt om alleen al de bestemming van berichten te bepalen die in een bepaald tijdsvenster zijn verstuurd. Zolang niet alle drie de drie servers niet worden gehackt kan het systeem de anonimiteit van gebruikers garanderen, aldus de onderzoekers.
Goed initiatief - zolang die 3 servers niet gehacket zijn. Zet ze in elk geval niet alle 3 in de USA neer (waarbij Europa ook al met argwaan moet worden bekeken, hier bukt ook de hele roverheid op een vingerknip voor de USA)
-zucht- Daar gaan we weer. Zelfs met de niet-gecrypte gegevens die de diensten in handen hadden en waaruit ACHTERAF veel duidelijk was, hebben diezelfde diensten VOORAF niet weten te voorkomen dat het gebeurde.
We gaan serverless. Dat is absoluut de toekomst.
Zie als voorbeeld: https://github.com/ricochet-im/ricochet
Mijn 2 centen
Een VPN afluisteren is ook lastig maar als je * de vooraf afgesproken key * hebt....
En RAID5 gebruiken we niet voor beveiliging maar voor het geval er hardware failure is en dan is er nog steeds een probleem omdat je moet rebuilden.
Met andere woorden, vuvuzela is net zoals die trompetten uit zuid afrika, een hoop herrie, hete lucht en je hebt er helemaal niets aan.
En RAID5 gebruiken we niet voor beveiliging maar voor het geval er hardware failure is en dan is er nog steeds een probleem omdat je moet rebuilden.
Met andere woorden, vuvuzela is net zoals die trompetten uit zuid afrika, een hoop herrie, hete lucht en je hebt er helemaal niets aan.
Verklaar je nader.. Hoe kom je tot deze conclusie?
-zucht- Daar gaan we weer. Zelfs met de niet-gecrypte gegevens die de diensten in handen hadden en waaruit ACHTERAF veel duidelijk was, hebben diezelfde diensten VOORAF niet weten te voorkomen dat het gebeurde.
Ook encryptie verbieden zal echt niet helpen. Zonder gaat ook goed voor de echte kwaadwillende.
Het is een persbericht, niet het onderzoek.
Dit is net zo veilig als Tor, als er maar duizende servers (relays) zijn zoals met Tor.
Als dit net zo werkt: je neemt een random server uit een paar duizend servers en verstuurd het via die, die server doet het zelfde, etc.
Lol, denk nou is na, die aanslagen gebeuren nu ook zonder dit systeem. Dus wat voor verschil maakt dat?. Wordt jij betaald om de publieke opinie via angst te beïnvloeden of is dit echt je persoonlijke mening?
Lees dit artikel: http://www.zerohedge.com/news/2015-12-18/congress-just-passed-second-patriot-act-and-nobody-noticed-how-cisa-became-law
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
