image

OSTIF: e-mail over VeraCrypt-audit wordt onderschept

maandag 15 augustus 2016, 11:05 door Redactie, 14 reacties

E-mails over een audit van het encryptieprogramma VeraCrypt worden onderschept, zo claimt het Open Source Technology Improvement Fund (OSTIF). Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.

Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. Hierbij wordt er naar de code en werking van opensourcesoftware gekeken. Begin augustus maakte het OSTIF bekend dat het, met financiering van DuckDuckGo en VikingVPN, een audit van VeraCrypt laat uitvoeren. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter wel op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt.

Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. De audit zal deze maand door QuarksLab worden uitgevoerd, waarbij de resultaten voor halverwege september worden verwacht. Het auditteam zal de resultaten direct met de ontwikkelaar van VeraCrypt delen. Hiervoor zal "zwaar versleutelde communicatie" worden gebruikt om te voorkomen dat het onderzoek met eventuele onbekende beveiligingslekken in de encryptiesoftware, voordat ze kunnen worden verholpen, openbaar wordt. Zodra de mogelijk aanwezige problemen zijn opgelost zullen de drie partijen de resultaten openbaar maken.

Onderschept

Nu meldt het OSTIF dat e-mails van de organisatie, QuarksLab en VeraCrypt worden onderschept. In de e-mails hebben de partijen informatie over kwetsbaarheden, procedures en processen besproken voor het uitwisselen van details over de audit. In totaal zijn nu vier berichten van verschillende onafhankelijke afzenders spoorloos verdwenen. Niet alleen zijn de e-mails niet aangekomen, maar staan ze ook niet in de verzonden-map.

Het OSTIF maakt voor het versturen gebruik van Google Apps voor bedrijven en Gmail. "Dit suggereert dat aanvallers van buiten met het auditproces proberen mee te luisteren of het proberen te verstoren", aldus de organisatie. Er is nu besloten om alternatieve manieren van versleutelde communicatie op te zetten en met het auditproject door te gaan. "Als landen geïnteresseerd zijn in wat we doen, dan moeten we wel iets goeds doen, niet waar?", aldus het OSTIF.

Reacties (14)
15-08-2016, 11:12 door SPlid
Of misschien zijn ze wat slordig geweest.
Wie heeft er nu belang bij het verdwijnen van E-mails?
Ze zijn er achter gekomen dat ze verdwenen zijn,
dus nutteloze actie.
Misschien hebben ze teveel in hun alu hoedje gebeten?
15-08-2016, 11:12 door Erik van Straten
Hoewel je je kunt afvragen wat het waarheidsgehalte is van zo'n verhaal, is het natuurlijk wel zo dat je er totaal geen zicht op hebt wie er toegang heeft tot jouw informatie als je opslag, verwerking en transport van die informatie overlaat aan derden.
15-08-2016, 11:14 door PietdeVries
Door Erik van Straten: Hoewel je je kunt afvragen wat het waarheidsgehalte is van zo'n verhaal, is het natuurlijk wel zo dat je er totaal geen zicht op hebt wie er toegang heeft tot jouw informatie als je opslag, verwerking en transport van die informatie overlaat aan derden.

Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
15-08-2016, 12:03 door Erik van Straten
15-08-2016, 11:14 door PietdeVries: Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Dat bedoelde ik ook te zeggen... (okay wat omslachtig ;-)
15-08-2016, 12:58 door Anoniem
wat het transport medium is van e-mail (gmail, rookwolken, tamtam, x25) is niet relevant..
wanneer de E-mail encrypted is (wat het was) is het transport niet meer interessant. tenzij dat transport zodanig is dat er andere zaken gaan meespelen.
in dit geval lijkt het erop dat de NSA graag van te voren wil weten of hun backdoor(s) in veracrypt worden gedetecteert, zoja, moeten ze de code weer 'aanpassen' of hun veldmedewerkers informeren.
15-08-2016, 12:58 door Anoniem
Door PietdeVries:
Door Erik van Straten: Hoewel je je kunt afvragen wat het waarheidsgehalte is van zo'n verhaal, is het natuurlijk wel zo dat je er totaal geen zicht op hebt wie er toegang heeft tot jouw informatie als je opslag, verwerking en transport van die informatie overlaat aan derden.

Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...

Google wordt ook geaudit. Die rapporten zijn openbaar. Dat is meer dan van diverse leveranciers van maildiensten, zoals bijvoorbeeld je eigen provider, gezegd kan worden. Daarnaast biedt Google Apps for Business uitgebreide mogelijkheden om het verkeer, documenten en mail te controleren door de beheerder van de betreffende organisatie. Het probleem hierbij is vaak dat men de zaken uitbesteed aan Google om zelf het beheer niet te hoeven doen. Waarbij men dan gelijk de regie (en dus de controle) niet goed inricht.

Peter
15-08-2016, 13:12 door Anoniem
Door PietdeVries:
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Als je het originele artikel had gelezen (meestal wel een goed idee, security.nl is het nu.nl van de IT sector) dan had je gezien dat de berichten beveiligd waren met PGP encryptie. Dus als er berichten onderschept zijn, dan kan de aanvaller er waarschijnlijk niet zo heel veel mee. Ik zie ook verder niet zo heel veel verkeerds ermee om je mail verkeer over Google servers te laten lopen. Die zijn niet onveiliger dan andere servers. En als er dan wat geks gebeurt, dan ga je kijken wat er aan de hand is. Volkomen normaal in de IT. (if it ain't broken, don't fix it)

De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...

De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)
15-08-2016, 14:59 door Anoniem
Door Anoniem:
Door PietdeVries:
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Als je het originele artikel had gelezen (meestal wel een goed idee, security.nl is het nu.nl van de IT sector) dan had je gezien dat de berichten beveiligd waren met PGP encryptie. Dus als er berichten onderschept zijn, dan kan de aanvaller er waarschijnlijk niet zo heel veel mee. Ik zie ook verder niet zo heel veel verkeerds ermee om je mail verkeer over Google servers te laten lopen. Die zijn niet onveiliger dan andere servers. En als er dan wat geks gebeurt, dan ga je kijken wat er aan de hand is. Volkomen normaal in de IT. (if it ain't broken, don't fix it)

De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...

De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)
Door Anoniem:
Door PietdeVries:
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Als je het originele artikel had gelezen (meestal wel een goed idee, security.nl is het nu.nl van de IT sector) dan had je gezien dat de berichten beveiligd waren met PGP encryptie. Dus als er berichten onderschept zijn, dan kan de aanvaller er waarschijnlijk niet zo heel veel mee. Ik zie ook verder niet zo heel veel verkeerds ermee om je mail verkeer over Google servers te laten lopen. Die zijn niet onveiliger dan andere servers. En als er dan wat geks gebeurt, dan ga je kijken wat er aan de hand is. Volkomen normaal in de IT. (if it ain't broken, don't fix it)

De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...

De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)

Het voelt raar aan dat je alles basseert op PGP/GPG en dan wel de hosting bij google doen.
Het verdwijnen van emails gaat bijv GPG/PGP niet tegen...een eigen email server waar je zelf in controle bent wel of meer :)
15-08-2016, 15:06 door Anoniem
"Als landen geïnteresseerd zijn in wat we doen, dan moeten we wel iets goeds doen, niet waar?", aldus het OSTIF.
Welja, geef er maar een draai aan.
15-08-2016, 15:18 door Anoniem
Wie gebruikt er dan ook webmail voor vertrouwelijke communicatie?
15-08-2016, 16:44 door Anoniem
" <i>e-mails van de organisatie, QuarksLab en VeraCrypt worden onderschept. In totaal zijn nu vier berichten van verschillende onafhankelijke afzenders spoorloos verdwenen. Niet alleen zijn de e-mails niet aangekomen, maar staan ze ook niet in de verzonden-map.</i> "
Waarom zou een geheime dienst van welk land dan ook, zichzelf verraden, door een en ander te laten verdwijnen, dat klinkt vooral naar een broodje aap verhaal. De wens van complottheorieën, lijken ook hier het kritisch beoordelen te hebben vertroebelt.
15-08-2016, 16:59 door Anoniem
Door Anoniem: wat het transport medium is van e-mail (gmail, rookwolken, tamtam, x25) is niet relevant..
wanneer de E-mail encrypted is (wat het was) is het transport niet meer interessant. tenzij dat transport zodanig is dat er andere zaken gaan meespelen.
in dit geval lijkt het erop dat de NSA graag van te voren wil weten of hun backdoor(s) in veracrypt worden gedetecteert, zoja, moeten ze de code weer 'aanpassen' of hun veldmedewerkers informeren.

Ik lees dat mail niet aankomt, niet dat deze gelezen is door derden.
Het zou wel wat amateuristisch zijn om bij het willen meelezen met een mail conversatie (bijv door NSA) deze mails
intussen meteen even te deleten....
Er zit dus vast een andere oorzaak achter, bijvoorbeeld een false positive op een of andere scanner ofzo.
15-08-2016, 20:56 door Anoniem

Het voelt raar aan dat je alles basseert op PGP/GPG en dan wel de hosting bij google doen.
Het verdwijnen van emails gaat bijv GPG/PGP niet tegen...een eigen email server waar je zelf in controle bent wel of meer :)[/quote]Wat denk je dat het kost, om een een mail/calaender omgeving neer te zetten, inclusief security (IPS/IDS) meerdere locaties en dan moet je dit ook nog eens beheren, anders heeft het geen nu.

Conclusie: Niet haalbaar.
16-08-2016, 13:15 door Anoniem
Door Anoniem:Het verdwijnen van emails gaat bijv GPG/PGP niet tegen...een eigen email server waar je zelf in controle bent wel of meer :)

Jij gaat er hierbij vanuit dat jouw mailserver beter is beveiligd dan die van Google.
Jij gaat er hierbij vanuit dat jij een betere back-up strategie hebt dan Google.

Dat wil niet zeggen dat andere personen en organisaties de kennis en het geld hebben om alles zoveel-voudig uit te voeren en om goede 2-step of 2FA authenticatie in te voeren.

Ik ga er vanuit dat de betreffende organisatie een goede risico analyse heeft uitgevoerd en op de huidige werkwijze is gekomen. Ja, misschien is het huidige probleem niet in de analyse meegenomen, maar heft blijft een cirkel. Niemand kan de toekomst voorspellen en dus ook niet welke problemen hoe vaak zich voor zullen doen.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.