OSTIF: e-mail over VeraCrypt-audit wordt onderschept
E-mails over een audit van het encryptieprogramma VeraCrypt worden onderschept, zo claimt het Open Source Technology Improvement Fund (OSTIF). Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.
Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. Hierbij wordt er naar de code en werking van opensourcesoftware gekeken. Begin augustus maakte het OSTIF bekend dat het, met financiering van DuckDuckGo en VikingVPN, een audit van VeraCrypt laat uitvoeren. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter wel op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt.
Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. De audit zal deze maand door QuarksLab worden uitgevoerd, waarbij de resultaten voor halverwege september worden verwacht. Het auditteam zal de resultaten direct met de ontwikkelaar van VeraCrypt delen. Hiervoor zal "zwaar versleutelde communicatie" worden gebruikt om te voorkomen dat het onderzoek met eventuele onbekende beveiligingslekken in de encryptiesoftware, voordat ze kunnen worden verholpen, openbaar wordt. Zodra de mogelijk aanwezige problemen zijn opgelost zullen de drie partijen de resultaten openbaar maken.
Onderschept
Nu meldt het OSTIF dat e-mails van de organisatie, QuarksLab en VeraCrypt worden onderschept. In de e-mails hebben de partijen informatie over kwetsbaarheden, procedures en processen besproken voor het uitwisselen van details over de audit. In totaal zijn nu vier berichten van verschillende onafhankelijke afzenders spoorloos verdwenen. Niet alleen zijn de e-mails niet aangekomen, maar staan ze ook niet in de verzonden-map.
Het OSTIF maakt voor het versturen gebruik van Google Apps voor bedrijven en Gmail. "Dit suggereert dat aanvallers van buiten met het auditproces proberen mee te luisteren of het proberen te verstoren", aldus de organisatie. Er is nu besloten om alternatieve manieren van versleutelde communicatie op te zetten en met het auditproject door te gaan. "Als landen geïnteresseerd zijn in wat we doen, dan moeten we wel iets goeds doen, niet waar?", aldus het OSTIF.
Wie heeft er nu belang bij het verdwijnen van E-mails?
Ze zijn er achter gekomen dat ze verdwenen zijn,
dus nutteloze actie.
Misschien hebben ze teveel in hun alu hoedje gebeten?
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
wanneer de E-mail encrypted is (wat het was) is het transport niet meer interessant. tenzij dat transport zodanig is dat er andere zaken gaan meespelen.
in dit geval lijkt het erop dat de NSA graag van te voren wil weten of hun backdoor(s) in veracrypt worden gedetecteert, zoja, moeten ze de code weer 'aanpassen' of hun veldmedewerkers informeren.
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Google wordt ook geaudit. Die rapporten zijn openbaar. Dat is meer dan van diverse leveranciers van maildiensten, zoals bijvoorbeeld je eigen provider, gezegd kan worden. Daarnaast biedt Google Apps for Business uitgebreide mogelijkheden om het verkeer, documenten en mail te controleren door de beheerder van de betreffende organisatie. Het probleem hierbij is vaak dat men de zaken uitbesteed aan Google om zelf het beheer niet te hoeven doen. Waarbij men dan gelijk de regie (en dus de controle) niet goed inricht.
Peter
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...
De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...
De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...
De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)
Het voelt raar aan dat je alles basseert op PGP/GPG en dan wel de hosting bij google doen.
Het verdwijnen van emails gaat bijv GPG/PGP niet tegen...een eigen email server waar je zelf in controle bent wel of meer :)
Waarom zou een geheime dienst van welk land dan ook, zichzelf verraden, door een en ander te laten verdwijnen, dat klinkt vooral naar een broodje aap verhaal. De wens van complottheorieën, lijken ook hier het kritisch beoordelen te hebben vertroebelt.
wanneer de E-mail encrypted is (wat het was) is het transport niet meer interessant. tenzij dat transport zodanig is dat er andere zaken gaan meespelen.
in dit geval lijkt het erop dat de NSA graag van te voren wil weten of hun backdoor(s) in veracrypt worden gedetecteert, zoja, moeten ze de code weer 'aanpassen' of hun veldmedewerkers informeren.
Ik lees dat mail niet aankomt, niet dat deze gelezen is door derden.
Het zou wel wat amateuristisch zijn om bij het willen meelezen met een mail conversatie (bijv door NSA) deze mails
intussen meteen even te deleten....
Er zit dus vast een andere oorzaak achter, bijvoorbeeld een false positive op een of andere scanner ofzo.
Het voelt raar aan dat je alles basseert op PGP/GPG en dan wel de hosting bij google doen.
Het verdwijnen van emails gaat bijv GPG/PGP niet tegen...een eigen email server waar je zelf in controle bent wel of meer :)[/quote]Wat denk je dat het kost, om een een mail/calaender omgeving neer te zetten, inclusief security (IPS/IDS) meerdere locaties en dan moet je dit ook nog eens beheren, anders heeft het geen nu.
Conclusie: Niet haalbaar.
Jij gaat er hierbij vanuit dat jouw mailserver beter is beveiligd dan die van Google.
Jij gaat er hierbij vanuit dat jij een betere back-up strategie hebt dan Google.
Dat wil niet zeggen dat andere personen en organisaties de kennis en het geld hebben om alles zoveel-voudig uit te voeren en om goede 2-step of 2FA authenticatie in te voeren.
Ik ga er vanuit dat de betreffende organisatie een goede risico analyse heeft uitgevoerd en op de huidige werkwijze is gekomen. Ja, misschien is het huidige probleem niet in de analyse meegenomen, maar heft blijft een cirkel. Niemand kan de toekomst voorspellen en dus ook niet welke problemen hoe vaak zich voor zullen doen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
