image

Vpn-providers Private Internet Access en TunnelBear laten audit uitvoeren

donderdag 17 augustus 2017, 10:25 door Redactie, 1 reacties

Vpn-providers Private Internet Access en TunnelBear hebben beiden een security-audit laten uitvoeren en de resultaten zijn nu openbaar gemaakt. TunnelBear liet het Duitse securitybedrijf Cure53 eind vorig jaar en halverwege dit jaar naar de eigen vpn-software en serverinfrastructuur kijken.

Bij de eerste audit werden verschillende ernstige kwetsbaarheden in de browser-extensie en macOS-client ontdekt. Zo kon een aanvaller de vpn-verbinding via een kwaadaardige website uitschakelen en maakte de macOS-client het mogelijk voor een lokale aanvaller om rootrechten te krijgen. Zes maanden later waren deze problemen verholpen en werden er geen nieuwe ernstige kwetsbaarheden gevonden, zo blijkt uit de resultaten van de tweede audit (pdf).

Wel werden er problemen met de vpn-server ontdekt. Bestanden met gevoelige informatie zoals interne gebruikersnamen en wachtwoorden werden met iets te genereuze permissies opgeslagen, aldus de onderzoekers. Een aanvaller zou echter directe toegang tot de server moeten hebben om de bestanden te benaderen. De onderzoekers zijn dan ook te spreken over de vooruitgang die TunnelBear op securitygebied heeft gemaakt.

Private Internet Access besloot niet de eigen diensten te laten auditen, maar één van de softwarebibliotheken die het gebruikt. Het gaat om Libsodium, een opensource-cryptobibliotheek voor encryptie, decryptie, digitale handtekeningen, het hashen van wachtwoorden en andere zaken. De software wordt door allerlei projecten gebruikt, zoals de digitale valuta Zcash, alsmede interne applicaties bij Private Internet Access zelf. De audit werd door de bekende cryptograaf Matthew Green uitgevoerd en leverde geen ernstige kwetsbaarheden op. Volgens Green is Libsodium een zorgvuldig geïmplementeerde en veilige cryptobibliotheek.

Reacties (1)
17-08-2017, 16:03 door Anoniem
Had OpenVPN laatst ook niet een audit laten uitvoeren? En waren er laatst niet een paar grote en diverse kleine gaten gevonden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.