E-mails over een audit van het encryptieprogramma VeraCrypt worden onderschept, zo claimt het Open Source Technology Improvement Fund (OSTIF). Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.
Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. Hierbij wordt er naar de code en werking van opensourcesoftware gekeken. Begin augustus maakte het OSTIF bekend dat het, met financiering van DuckDuckGo en VikingVPN, een audit van VeraCrypt laat uitvoeren. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter wel op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt.
Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. De audit zal deze maand door QuarksLab worden uitgevoerd, waarbij de resultaten voor halverwege september worden verwacht. Het auditteam zal de resultaten direct met de ontwikkelaar van VeraCrypt delen. Hiervoor zal "zwaar versleutelde communicatie" worden gebruikt om te voorkomen dat het onderzoek met eventuele onbekende beveiligingslekken in de encryptiesoftware, voordat ze kunnen worden verholpen, openbaar wordt. Zodra de mogelijk aanwezige problemen zijn opgelost zullen de drie partijen de resultaten openbaar maken.
Nu meldt het OSTIF dat e-mails van de organisatie, QuarksLab en VeraCrypt worden onderschept. In de e-mails hebben de partijen informatie over kwetsbaarheden, procedures en processen besproken voor het uitwisselen van details over de audit. In totaal zijn nu vier berichten van verschillende onafhankelijke afzenders spoorloos verdwenen. Niet alleen zijn de e-mails niet aangekomen, maar staan ze ook niet in de verzonden-map.
Het OSTIF maakt voor het versturen gebruik van Google Apps voor bedrijven en Gmail. "Dit suggereert dat aanvallers van buiten met het auditproces proberen mee te luisteren of het proberen te verstoren", aldus de organisatie. Er is nu besloten om alternatieve manieren van versleutelde communicatie op te zetten en met het auditproject door te gaan. "Als landen geïnteresseerd zijn in wat we doen, dan moeten we wel iets goeds doen, niet waar?", aldus het OSTIF.
Deze posting is gelocked. Reageren is niet meer mogelijk.