image

Onderschepte VeraCrypt-mails waarschijnlijk lokaal probleem

woensdag 17 augustus 2016, 09:51 door Redactie, 7 reacties

Deze week kwam het Open Source Technology Improvement Fund (OSTIF) met een bericht waarin het stelde dat e-mails over een audit van het encryptieprogramma VeraCrypt werden onderschept, maar één van de betrokken partijen meldt nu dat het aan zijn kant zeer waarschijnlijk een lokaal probleem betreft.

VeraCrypt is een encryptieprogramma waarmee gebruikers bestanden en hun volledige harde schijf kunnen versleutelen. Het is gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. De werking en code van VeraCrypt zijn nooit geaudit, waar het OSTIF nu verandering in wil brengen. De audit zal door beveiligingsbedrijf Quarkslab worden uitgevoerd.

Verschillende e-mails die tussen OSTIF, de VeraCrypt-ontwikkelaar en Quarkslab werden uitgewisseld bleken echter verdwenen te zijn. Volgens het OSTIF waren de berichten onderschept. "Ik denk dat de aankondiging een fout was. Ik verloor een bericht dat ik naar Mounir stuurde (Mounir Idrassi, de ontwikkelaar van VeraCrypt) en Derek (Derek Zimmer, ceo van OSTIF). Ze hadden drie keer eerder met soortgelijke problemen te maken gekregen", zegt Fred Raynal, ceo van Quarkslab, tegenover Threatpost. "Vervolgens kwam Derek met een verklaring, maar hij had dat niet moeten doen. Aan mijn kant weet ik vrij zeker dat het om een lokaal probleem op mijn computer gaat tussen Mail.app en GPGMail."

Audit

De audit zal zich op alle nieuwe code richten die sinds het verdwijnen van TrueCrypt is toegevoegd. Daarnaast zal er speciale aandacht aan EFI en schijfversleuteling, alsmede nieuw toegevoegde encryptie-algoritmes worden gegeven. Volgens Idrassi is EFI-encryptie de belangrijkste nieuwe feature ten opzichte van TrueCrypt. TrueCrypt ondersteunde namelijk alleen volledige schijfversleuteling van systemen met een master boot record (MBR).

Tegenwoordig beschikken steeds meer systemen over een Extensible Firmware Interface (EFI). Daardoor kunnen deze gebruikers TrueCrypt niet gebruiken. Sinds het toevoegen van EFI-ondersteuning aan VeraCrypt 1.18 kunnen deze gebruikers toch weer hun systeem versleutelen. De VeraCrypt-audit zou halverwege september moeten zijn afgerond. Het OSTIF wilde niet op vragen over de eerdere aankondiging reageren.

Reacties (7)
17-08-2016, 10:40 door [Account Verwijderd]
[Verwijderd]
17-08-2016, 10:40 door grizzler
Wat het resultaat van die audit ook zal zijn, erg veel vertrouwen zal ik er niet in hebben. Een auditor die een Google-product gebruikt voor zijn vertrouwelijke e-mail? Echt? En dan ook nog eens voor niks onrust stoken over verdwenen mail?

Prutsers.
17-08-2016, 10:43 door [Account Verwijderd] - Bijgewerkt: 17-08-2016, 10:43
[Verwijderd]
17-08-2016, 10:47 door Anoniem
Door grizzler: Wat het resultaat van die audit ook zal zijn, erg veel vertrouwen zal ik er niet in hebben. Een auditor die een Google-product gebruikt voor zijn vertrouwelijke e-mail? Echt? En dan ook nog eens voor niks onrust stoken over verdwenen mail?

Prutsers.

Veel vertrouwen heb ik niet in mensen die internet gebruiken, dat is toch zo onveilig.
17-08-2016, 11:12 door Anoniem
Ja dit dacht ik de hele tijd al!
"Never attribute to malice what can be adequately explained by stupidity"
17-08-2016, 11:15 door Anoniem
Door grizzler: Wat het resultaat van die audit ook zal zijn, erg veel vertrouwen zal ik er niet in hebben. Een auditor die een Google-product gebruikt voor zijn vertrouwelijke e-mail? Echt? En dan ook nog eens voor niks onrust stoken over verdwenen mail?

Prutsers.

Jij begrijpt er helemaal niets van. Zoek eens op wat PGP is voordat je begint te schreeuwen en te doen.
17-08-2016, 12:48 door Anoniem
Heerlijk gevoel is dat, als je gelijk krijgt:
https://www.security.nl/posting/481421/OSTIF%3A+e-mail+over+VeraCrypt-audit+wordt+onderschept
Door Anoniem:
Door PietdeVries:
Zeker - maar wat voor security auditor ben je nou als je de communicatie met je partner over hoe veilig ze zijn nou niet controleert? Een auditor die Veracrypt wil auditen op hun veiligheid, maar die zelf vertrouwt op Google om z'n communicatie te beveiligen? Klinkt een beetje jammer...
Als je het originele artikel had gelezen (meestal wel een goed idee, security.nl is het nu.nl van de IT sector) dan had je gezien dat de berichten beveiligd waren met PGP encryptie. Dus als er berichten onderschept zijn, dan kan de aanvaller er waarschijnlijk niet zo heel veel mee. Ik zie ook verder niet zo heel veel verkeerds ermee om je mail verkeer over Google servers te laten lopen. Die zijn niet onveiliger dan andere servers. En als er dan wat geks gebeurt, dan ga je kijken wat er aan de hand is. Volkomen normaal in de IT. (if it ain't broken, don't fix it)

De versleutelde communicatie die ze nu opzetten zal wel via een ander protocol gaan dan smtp, dat is volgens mij de strekking van het verhaal. Maar wie ben ik...

De opmerking op het eind over landen die meeluisteren is inderdaad een beetje tendentieus. Maar wat is er nou spannender dan 007? :-)

Mijn dag is weer goed :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.