DEA vroeg LastPass om toegang tot wachtwoorden gebruiker
De Amerikaanse drugsbestrijdingsdienst DEA heeft wachtwoordmanager LastPass om de wachtwoorden van een gebruiker gevraagd, alsmede ip-adressen en adresgegevens. Dat blijkt uit gerechtelijke documenten waarover zakenblad Forbes bericht (pdf).
LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Een gebruiker van de dienst wordt verdacht van online drugshandel en de DEA eiste dat LastPass informatie over hem zou verstrekken. De verdachte werd vorig jaar mei aangehouden. Zowel op zijn mobiele telefoon als computer was LastPass geïnstalleerd. Daarbij wisten de onderzoekers de encryptie van zijn "CyberPowerPC" te omzeilen, maar verdere details worden hierover niet gegeven.
Om toegang tot de in LastPass opgeslagen wachtwoorden te krijgen is een hoofdwachtwoord vereist. Aangezien dit wachtwoord niet op de apparatuur werd aangetroffen en de verdachte het niet verstrekte besloot de DEA via een gerechtelijk bevel bij LastPass aan te kloppen. De drugsbestrijdingsdienst eiste inloggegevens, ip-adressen en adresgegevens, alsmede communicatie tussen de gebruiker en LogMeIn, de eigenaar van LastPass
LastPass verstrekte geen wachtwoorden, maar wel ip-adressen waarmee er op het LastPass-account was ingelogd, alsmede wanneer het account was aangemaakt en voor het laatst gebruikt. LastPass laat op de eigen website weten dat het hoofdwachtwoord op de computer van gebruikers wordt gehasht, en deze hash op de servers wordt opgeslagen. "De enige manier om het wachtwoord te ontsleutelen is aan de kant van de gebruiker", aldus een woordvoerder. LastPass, dat naar eigen zeggen zo'n 17 miljoen gebruikers heeft, zou jaarlijks minder dan tien verzoeken om toegang tot dergelijke gegevens krijgen.
Reacties (41)
Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
Door Anoniem: Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest. Waar onder ik.
Je gebruikt zeker ook geen telefoon, indien telco's ingaan op tapverzoeken t.b.v. georganiseerde criminelen. Alsof het hun taak is, om drugshandelaren te beschermen tegen vervolging. Betrouwbaarheid impliceert niet dat je criminelen moet beschermen tegen opsporing/vervolging.
Overigens was dit de enige mogelijke reactie vanuit Lastpass, aangezien ze niet beschikken over de wachtwoorden.
Door Manjaro Linux:
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Door Anoniem: Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
In Australia is het ondertussen mogelijk dat werknemers verplicht kunnen worden om backdoors te installeren.
Wij weten niet of er toch een bypass of decryptiesleutel aanwezig is/was.
Door Manjaro Linux:
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Door Anoniem: Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
En dat is precies zoals het hoort te zijn; technisch onmogelijk.
Door Manjaro Linux: Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
In het geval dat je vaak met verschillende devices op verschillende locaties werkt, is de cloud toch wel erg handig. Met KeePass moet je altijd een USB stick of zoiets bij je hebben als je van je vaste plek weg bent. Een draagbare wachtwoorden database (die gemakkelijk gestolen of verloren kan worden) heeft ook een zeker risico.
16-04-2019, 13:34 door
Bitwiper
Door Manjaro Linux: Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Onzin. Met name omdat ze de door de verdachte gebruikte IP-adressen kennen, is het een koud kunstje om de verdachte een aangepaste login-pagina te tonen - die gewoon het ingevoerde wachtwoord opstuurt. Het is allesbehalve in het belang van diensten als Lastpass om hier openhartig over te zijn.Overigens is zoiets ook mogelijk als je een lokale i.p.v. een web-applicatie gebruikt. Als leek weet je niet of een update daarvan mogelijkerwijs gebackdoored is. Het zou zelfs kunnen dat de "originele" app tijdens bijv. een "update-check" een instructie krijgt om het master password en de locatie van de database aan de makers (of direct aan een opsporingsdienst) door te geven. Dat soort backdoors kunnen zelfs door derden zijn toegevoegd zonder medeweten van de feitelijke makers (aangezien het ook lukt om op de netwerken van bijv. Asus, Adobe en Microsoft in te breken, zal dat bij vrijwilligers vermoedelijk niet moeilijker zijn).
Opsporingsdiensten zullen, net als cybercriminelen, net zo lang naar een gat zoeken dat jij niet gedicht hebt (meestal omdat je niet eens weet dat het bestaat). Daarbij moet het risico niet worden onderschat dat criminelen zich voordoen als geautoriseerde opsporingsdienstmedewerkers, en zo ontwikkelaars weten te overtuigen dat ze moeten meewerken aan de strijd "voor de goede zaak" - waarbij e.e.a. natuurlijk in het diepste geheim moet gebeuren.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Technisch onmogelijk WAS, maar via een speciale software update voor dit IP-adres kunnen ze theoretisch het wachtwoord achterhalen, de volgende keer dat hij inlogt.
Je privacy blijkt dus niet veilig en heilig bij LastPass. Want IP en daarmee locatie kan ook een privacy gegeven zijn. Je kunt een geregistreerde gebruiker toch ook eerst om toestemming vragen om zulke gegevens te verstrekken?
Door Bitwiper:
Overigens is zoiets ook mogelijk als je een lokale i.p.v. een web-applicatie gebruikt. Als leek weet je niet of een update daarvan mogelijkerwijs gebackdoored is. Het zou zelfs kunnen dat de "originele" app tijdens bijv. een "update-check" een instructie krijgt om het master password en de locatie van de database aan de makers (of direct aan een opsporingsdienst) door te geven. Dat soort backdoors kunnen zelfs door derden zijn toegevoegd zonder medeweten van de feitelijke makers (aangezien het ook lukt om op de netwerken van bijv. Asus, Adobe en Microsoft in te breken, zal dat bij vrijwilligers vermoedelijk niet moeilijker zijn).
Opsporingsdiensten zullen, net als cybercriminelen, net zo lang naar een gat zoeken dat jij niet gedicht hebt (meestal omdat je niet eens weet dat het bestaat). Daarbij moet het risico niet worden onderschat dat criminelen zich voordoen als geautoriseerde opsporingsdienstmedewerkers, en zo ontwikkelaars weten te overtuigen dat ze moeten meewerken aan de strijd "voor de goede zaak" - waarbij e.e.a. natuurlijk in het diepste geheim moet gebeuren.
Door Manjaro Linux: Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Onzin. Met name omdat ze de door de verdachte gebruikte IP-adressen kennen, is het een koud kunstje om de verdachte een aangepaste login-pagina te tonen - die gewoon het ingevoerde wachtwoord opstuurt. Het is allesbehalve in het belang van diensten als Lastpass om hier openhartig over te zijn.Overigens is zoiets ook mogelijk als je een lokale i.p.v. een web-applicatie gebruikt. Als leek weet je niet of een update daarvan mogelijkerwijs gebackdoored is. Het zou zelfs kunnen dat de "originele" app tijdens bijv. een "update-check" een instructie krijgt om het master password en de locatie van de database aan de makers (of direct aan een opsporingsdienst) door te geven. Dat soort backdoors kunnen zelfs door derden zijn toegevoegd zonder medeweten van de feitelijke makers (aangezien het ook lukt om op de netwerken van bijv. Asus, Adobe en Microsoft in te breken, zal dat bij vrijwilligers vermoedelijk niet moeilijker zijn).
Opsporingsdiensten zullen, net als cybercriminelen, net zo lang naar een gat zoeken dat jij niet gedicht hebt (meestal omdat je niet eens weet dat het bestaat). Daarbij moet het risico niet worden onderschat dat criminelen zich voordoen als geautoriseerde opsporingsdienstmedewerkers, en zo ontwikkelaars weten te overtuigen dat ze moeten meewerken aan de strijd "voor de goede zaak" - waarbij e.e.a. natuurlijk in het diepste geheim moet gebeuren.
Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
Door Manjaro Linux: Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
Welk risico bedoel je precies? LastPass heeft geen wachtwoorden prijsgegeven, om de simpele reden dat ze dat niet kunnen. En ga er maar van uit dat LastPass de veiligheid van die wachtwoorden heel erg serieus neemt. Het is hun hele bestaansrecht.Strikt genomen de verkeerde manier aan weerskanten. Medewerking is een prima idee, maar na goedkeuring van het verzoek door een rechter.
Waarbij opgemerkt dat een organisatie natuurlijk altijd alvast mag vertellen dat ze ergens simpelweg technisch niet bij kunnen. Een opsporingsorganisatie onnodig naar een rechter laten gaan om dan pas te vertellen dat hun verzoek niet kan is werkverschaffing.
Waarbij opgemerkt dat een organisatie natuurlijk altijd alvast mag vertellen dat ze ergens simpelweg technisch niet bij kunnen. Een opsporingsorganisatie onnodig naar een rechter laten gaan om dan pas te vertellen dat hun verzoek niet kan is werkverschaffing.
16-04-2019, 14:05 door
SPer
Door Anoniem:
Je gebruikt zeker ook geen telefoon, indien telco's ingaan op tapverzoeken t.b.v. georganiseerde criminelen. Alsof het hun taak is, om drugshandelaren te beschermen tegen vervolging. Betrouwbaarheid impliceert niet dat je criminelen moet beschermen tegen opsporing/vervolging.
Overigens was dit de enige mogelijke reactie vanuit Lastpass, aangezien ze niet beschikken over de wachtwoorden.
Ik ben geen crimineel maar vind uw reactive toch wat aan de vreemde kant, dus om met de woorden van een bekend person aan te halen : Zij die een fundamentele vrijheid opgeven voor meer tijdelijke veiligheid verdienen noch vrijheid noch veiligheid. (Benjamin Franklin) . Ik will niet mijn privacy opgeven omdat de opsporingsdiensten achter een stel criminele aanzitten. Dus maar goed dat Lastpass niet in staat is op de password vault te openen. Laten we wel zijn, dit sort zaken gaat steeds meer het hellende vlak op. Dadelijk wordt deze vorm van encryptie verboden en zitten we allemaal in 'China' .Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest. Waar onder ik.
Je gebruikt zeker ook geen telefoon, indien telco's ingaan op tapverzoeken t.b.v. georganiseerde criminelen. Alsof het hun taak is, om drugshandelaren te beschermen tegen vervolging. Betrouwbaarheid impliceert niet dat je criminelen moet beschermen tegen opsporing/vervolging.
Overigens was dit de enige mogelijke reactie vanuit Lastpass, aangezien ze niet beschikken over de wachtwoorden.
16-04-2019, 14:57 door
Bitwiper
Door Manjaro Linux: Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
En bij elke update controleer je alle sources (en hebt de kennis en voldoende tijd om "obfuscated" backdoors, bewust aangebrachte kwetsbaarheden of zwakke random number generators te herkennen), en je compileert vervolgens zelf?En waar komen de door jou gebruikte compiler, linker, make etc. en libraries vandaan? En het OS, en alle daemons/services en drivers die daarop draaien?
Om gegarandeerd te voorkomen dat een aanvaller één gat vindt, zul jij ze allemaal moeten vinden en dichten...
16-04-2019, 15:00 door
Happy Linux User
Door Manjaro Linux: Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
Ja, dat is precies de reden, dat ik geen gebruik maak van de Cloud diensten (zeker niet voor wachtwoorden!)
Daarom gebruik ik geen cloud,en bewaar liever alles zelf.
Dat is het veiligste ook nog er boven op tegen pottenkijkers,tja zoals het bij Die Amerikaan gold die had wat fouts gedaan,dan is het een ander verhaal,maar ja ik vind het gewoon geen fijn gevoel dat de overheid mij monitort door die sleepwet e.t.c.
Dus heb zoveel mogelijk achter slot en grendel. Ik heb wel eens waar niks te verbergen, maar ja wil wel kosten wat het kost mijn privacy zelf waarborgen, omdat er elders nog zoveel datalekken zijn dat er gevens op straat belanden.
Dat is niet de bedoeling dat dat gebeurd,veel software bij de overheid is ook nog niet op orde zoals het hoort met databescherming dus van daar.
Dat is het veiligste ook nog er boven op tegen pottenkijkers,tja zoals het bij Die Amerikaan gold die had wat fouts gedaan,dan is het een ander verhaal,maar ja ik vind het gewoon geen fijn gevoel dat de overheid mij monitort door die sleepwet e.t.c.
Dus heb zoveel mogelijk achter slot en grendel. Ik heb wel eens waar niks te verbergen, maar ja wil wel kosten wat het kost mijn privacy zelf waarborgen, omdat er elders nog zoveel datalekken zijn dat er gevens op straat belanden.
Dat is niet de bedoeling dat dat gebeurd,veel software bij de overheid is ook nog niet op orde zoals het hoort met databescherming dus van daar.
Door SPer:
Door Anoniem:
Je gebruikt zeker ook geen telefoon, indien telco's ingaan op tapverzoeken t.b.v. georganiseerde criminelen. Alsof het hun taak is, om drugshandelaren te beschermen tegen vervolging. Betrouwbaarheid impliceert niet dat je criminelen moet beschermen tegen opsporing/vervolging.
Overigens was dit de enige mogelijke reactie vanuit Lastpass, aangezien ze niet beschikken over de wachtwoorden.
Ik ben geen crimineel maar vind uw reactive toch wat aan de vreemde kant, dus om met de woorden van een bekend person aan te halen : Zij die een fundamentele vrijheid opgeven voor meer tijdelijke veiligheid verdienen noch vrijheid noch veiligheid. (Benjamin Franklin) . Ik will niet mijn privacy opgeven omdat de opsporingsdiensten achter een stel criminele aanzitten. Dus maar goed dat Lastpass niet in staat is op de password vault te openen. Laten we wel zijn, dit sort zaken gaat steeds meer het hellende vlak op. Dadelijk wordt deze vorm van encryptie verboden en zitten we allemaal in 'China' .Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest. Waar onder ik.
Je gebruikt zeker ook geen telefoon, indien telco's ingaan op tapverzoeken t.b.v. georganiseerde criminelen. Alsof het hun taak is, om drugshandelaren te beschermen tegen vervolging. Betrouwbaarheid impliceert niet dat je criminelen moet beschermen tegen opsporing/vervolging.
Overigens was dit de enige mogelijke reactie vanuit Lastpass, aangezien ze niet beschikken over de wachtwoorden.
Wat een groot woord weer "mijn privacy opgeven omdat..."
En natuurlijk wordt er weer China en Benjamin Franklin bijgehaald om het slappe briesje subjectieve kracht bij te zetten.
Ik relativeer de soesa maar eens voor het gemak naar een voorbeeld in de 'analoge' realiteit:
Als politie bij mij 's-avonds zou aanbellen om via mijn woning achterom een "van criminele activiteiten (inbreken) verdachte locatie buitenshuis in te nemen, zou ik geen probleem zien laat staan denken "Oei, ik ga mijn privacy opgeven".
Ik zou dan - sterker nog - vooeral denken: "Ik ben blij dat ik de politie van dienst kan zijn". Zij beschermen juist mijn privacy omdat zij inbrekers die wèl een bedreiging kunnen vormen voor mijn veiligheid en privacy gaan aanpakken."
Maar tja er zo eens over nadenken is vooral hier op security.nl dat dagelijks wordt overspoeld door privacy voorvechters 'at all costs' een brug te ver.
Door Manjaro Linux: ...
Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
Open source is geen bescherming tegen veiligheidsdiensten wetshandhavers. Je weet nog steeds niet wat zij zouden kunnen weten. De beste insteek is gewoon niet interessant voor ze zijn.Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
Ironchat, heel open source, is vandaag door de rechter beoordeeld of de polities de chats mag hacken. Het mag.
Door Brainpresser: .. Zij die een fundamentele vrijheid opgeven voor meer tijdelijke veiligheid verdienen noch vrijheid noch veiligheid. (Benjamin Franklin) . ..
Ik had hem gemist. Degene die hem gepost heeft heeft de context van die uitspraak gemist en er een eigen omgekeerde uitleg aan gegeven. De werkelijke context is het verplicht laten meedoen van William Penn aan een gemeenschappelijke overheid. Dus niet anti overheid maar pro overheid.Door Brainpresser: Als politie bij mij 's-avonds zou aanbellen om via mijn woning achterom een "van criminele activiteiten (inbreken) verdachte locatie buitenshuis in te nemen, zou ik geen probleem zien laat staan denken "Oei, ik ga mijn privacy opgeven".
Ik zou dan - sterker nog - vooeral denken: "Ik ben blij dat ik de politie van dienst kan zijn". Zij beschermen juist mijn privacy omdat zij inbrekers die wèl een bedreiging kunnen vormen voor mijn veiligheid en privacy gaan aanpakken."
Maar tja er zo eens over nadenken is vooral hier op security.nl dat dagelijks wordt overspoeld door privacy voorvechters 'at all costs' een brug te ver.
En hou zou je het vinden als deze door jouw gereguleerde toegang buiten jouw invloedsfeer zou liggen en structurele aanpassingen in jouw slot zou vergen, waardoor de volledige beveiliging van je huis op losse schroeven zou komen te staan?Ik zou dan - sterker nog - vooeral denken: "Ik ben blij dat ik de politie van dienst kan zijn". Zij beschermen juist mijn privacy omdat zij inbrekers die wèl een bedreiging kunnen vormen voor mijn veiligheid en privacy gaan aanpakken."
Maar tja er zo eens over nadenken is vooral hier op security.nl dat dagelijks wordt overspoeld door privacy voorvechters 'at all costs' een brug te ver.
Je moet je analogie wel in het juiste perspectief plaatsen. Als LastPass bij jouw wachtwoord kan, betekent dit dat ze bij ieders wachtwoord kunnen en dus dat criminelen/criminele medewerkers dat ook kunnen, met alle gevolgen van dien. Het gaat er niet om of de politie het mag, het gaat erom dat er bij encryptie niet zoiets bestaat als "achterdeur voor de politie: OK, de rest NEE..."
Door Anoniem:
Door Manjaro Linux: Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
In het geval dat je vaak met verschillende devices op verschillende locaties werkt, is de cloud toch wel erg handig. Met KeePass moet je altijd een USB stick of zoiets bij je hebben als je van je vaste plek weg bent. Een draagbare wachtwoorden database (die gemakkelijk gestolen of verloren kan worden) heeft ook een zeker risico.KeePassXC heeft een portable versie die je op USB stick mee kunt nemen, heel handig. Enkel te kraken met brute force op de database file, als je master password maar lang genoeg is en geen bekende woorden bevat een ondoenlijke zaak qua tijd.
Door Bitwiper:
En waar komen de door jou gebruikte compiler, linker, make etc. en libraries vandaan? En het OS, en alle daemons/services en drivers die daarop draaien?
Om gegarandeerd te voorkomen dat een aanvaller één gat vindt, zul jij ze allemaal moeten vinden en dichten...
Door Manjaro Linux: Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
En bij elke update controleer je alle sources (en hebt de kennis en voldoende tijd om "obfuscated" backdoors, bewust aangebrachte kwetsbaarheden of zwakke random number generators te herkennen), en je compileert vervolgens zelf?En waar komen de door jou gebruikte compiler, linker, make etc. en libraries vandaan? En het OS, en alle daemons/services en drivers die daarop draaien?
Om gegarandeerd te voorkomen dat een aanvaller één gat vindt, zul jij ze allemaal moeten vinden en dichten...
ik zelf niet maar ik denk dat veiliheidsdiensten eerder closed source voor backdoors zullen kiezen omdat ze dan vrijwel zeker niet ontdekt worden, bij open source is er altijd wel een puzzelaar die backdoors zal vinden.
16-04-2019, 17:53 door
karma4
Door Manjaro Linux: ..
ik zelf niet maar ik denk dat veiliheidsdiensten eerder closed source voor backdoors zullen kiezen omdat ze dan vrijwel zeker niet ontdekt worden, bij open source is er altijd wel een puzzelaar die backdoors zal vinden.
Eerder andersom, omdat OSS zo onvoorwaardelijk gelooft wordt als veilig maar niemand de code echt kan doornemen dan wel goed begrijpen is het het ideale aanvalsmedium. Met alle open IOT open databses etc is er denk niet eens echt veel voor nodig. Zelfs camera's in rusland kun je zo oppikken. Git en beheerders rechten lijk je zo te krijgen. Ook bij Linux distributiebeheerders. Closed source heft nog het voordeel dat er iemand voor verantwoordelijk is, ik zelf niet maar ik denk dat veiliheidsdiensten eerder closed source voor backdoors zullen kiezen omdat ze dan vrijwel zeker niet ontdekt worden, bij open source is er altijd wel een puzzelaar die backdoors zal vinden.
https://www.trendmicro.com/vinfo/nl/security/news/cybercrime-and-digital-threats/linux-mint-website-hacked-iso-downloads-replaced-with-a-backdoor
Door Anoniem: Je privacy blijkt dus niet veilig en heilig bij LastPass. Want IP en daarmee locatie kan ook een privacy gegeven zijn. Je kunt een geregistreerde gebruiker toch ook eerst om toestemming vragen om zulke gegevens te verstrekken?
Het zijn daar erg bezig bijtjes, maar ondertussen is mijn privacy EN VEILIGHEID compleet geruineerd door het LastPass incident en volgens mij rommelen hun scriptkiddies bewust aan.
Ik moet een lijst met eisen maken om alles terug te draaien om de situatie er nog een beetje goed uit te laten zien. Als ze mij niet helpen dan ga ik mijn verhaal eens aan de grote klok hangen. De mail is al uitgestuurd, ze hebben een week om te reageren.
Een slachtoffer van deze zogenaamde security IT service.
Door karma4:
https://www.trendmicro.com/vinfo/nl/security/news/cybercrime-and-digital-threats/linux-mint-website-hacked-iso-downloads-replaced-with-a-backdoor
https://www.trendmicro.com/vinfo/nl/security/news/cybercrime-and-digital-threats/linux-mint-website-hacked-iso-downloads-replaced-with-a-backdoor
Ah, weer een linkje gevonden van 3 jaar oud.
Door karma4:
Door Manjaro Linux: ..
ik zelf niet maar ik denk dat veiliheidsdiensten eerder closed source voor backdoors zullen kiezen omdat ze dan vrijwel zeker niet ontdekt worden, bij open source is er altijd wel een puzzelaar die backdoors zal vinden.
Eerder andersom, omdat OSS zo onvoorwaardelijk gelooft wordt als veilig maar niemand de code echt kan doornemen dan wel goed begrijpen is het het ideale aanvalsmedium. ik zelf niet maar ik denk dat veiliheidsdiensten eerder closed source voor backdoors zullen kiezen omdat ze dan vrijwel zeker niet ontdekt worden, bij open source is er altijd wel een puzzelaar die backdoors zal vinden.
Je snapt het hele concept weer eens niet. Niemand hoeft (steeds) de code door te nemen want deze staat in onder versiebeheer (git is gebruikelijk) en elke wijziging wordt daarmee vastgelegd (en normaliter gecontroleerd). Want source code is in tegen stelling tot een closed source executable gewoon tekst. Het hele proces van code wijzigingen - bij ontwikkeling en onderhoud - is daarmee inzichtelijk gemaakt.
Door karma4: Met alle open IOT open databses etc is er denk niet eens echt veel voor nodig. Zelfs camera's in rusland kun je zo oppikken. Git en beheerders rechten lijk je zo te krijgen. Ook bij Linux distributiebeheerders. Closed source heft nog het voordeel dat er iemand voor verantwoordelijk is,
Ook voor closed source zijn mensen verantwoordelijk. Natuurlijk! Denk je dat aan een bestaande code base zomaar gewijzigd kan worden? Zonder dat iemand daarbij meekijkt en controles doet? (Unit) tests draait? Je hebt duidelijk geen enkel benul van omgevingen waarin professionele software ontwikkeling plaatsvindt.
Door Kapitein Haddock:Je snapt het hele concept weer eens niet. Niemand hoeft (steeds) de code door te nemen want deze staat in onder versiebeheer (git is gebruikelijk) en elke wijziging wordt daarmee vastgelegd (en normaliter gecontroleerd). Want source code is in tegen stelling tot een closed source executable gewoon tekst. Het hele proces van code wijzigingen - bij ontwikkeling en onderhoud - is daarmee inzichtelijk gemaakt.
Ook voor closed source zijn mensen verantwoordelijk. Natuurlijk! Denk je dat aan een bestaande code base zomaar gewijzigd kan worden? Zonder dat iemand daarbij meekijkt en controles doet? (Unit) tests draait? Je hebt duidelijk geen enkel benul van omgevingen waarin professionele software ontwikkeling plaatsvindt.
Ook voor closed source zijn mensen verantwoordelijk. Natuurlijk! Denk je dat aan een bestaande code base zomaar gewijzigd kan worden? Zonder dat iemand daarbij meekijkt en controles doet? (Unit) tests draait? Je hebt duidelijk geen enkel benul van omgevingen waarin professionele software ontwikkeling plaatsvindt.
Sorry, maar het enige wat ik lees in je reactie is: 'er is vast wel iemand....die het controleert...toch?' Ik haal hier nergens uit dat jij zelf de controles doet. Je legt de volledige verantwoordelijkheid bij een vreemde, en verwacht dat die het beste met je voor heeft. Wat ook vast wel zo zal zijn....toch?
Door Manjaro Linux: Dat is het risico met wachtwoorden in de cloud. Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
Heb jij de code gecontroleerd voordat je hem voor je diverse systemen hebt gecompileerd?
Je weet natuurlijk wel dat die code gewoon, voor jouw IP adres, aangepast kan worden als je die download. Dus moet je iedere keer je code helemaal doorlopen.
Persoonlijk gebruik ik Safe in Cloud. Die slaat de gegevens ook op in de cloud, maar die cloud kan ook bij je thuis zijn. Je kunt kiezen voor een willekeurige WebDav server. Dat kan dus ook je eigen server zijn. Of eentje bij je organisatie.
Peter
Door Anoniem:
En dat is precies zoals het hoort te zijn; technisch onmogelijk.
Door Manjaro Linux:
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Door Anoniem: Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
En dat is precies zoals het hoort te zijn; technisch onmogelijk.
Daarin schuilt ook een gevaar.
Afhankelijk van de omstandigheden, kan het een misdrijf zijn om niet te voldoen aan een gerechterlijk bevel. Of het nu uit onwil is of technische onmogelijkheid is niet altijd relevant.
Met genoeg precedenten zullen er in de toekomst misschien geen aanbieders meer zijn waarbij het technisch onmogelijk blijft...
Door Manjaro Linux:Daarom werk ik liever met KeePassXC. (Multi platform en Open Source)
Wat is het voordeel van XC boven de gewone KeePass? Hun database formaat is trouwens door veel programma's te lezen, ik gebruik KeePassDroid op Android en er is zelfs een Javascript versie die je in een browser kune draaien (KeePassWeb).Door Anoniem: Strikt genomen de verkeerde manier aan weerskanten. Medewerking is een prima idee, maar na goedkeuring van het verzoek door een rechter.
Mondiaal zijn er afspraken tussen landen. Medewerking weigeren kan ernstige gevolgen hebben, gaande van stopzetten medewerking door de andere partij, tot economische sancties zelfs in het slechtse geval tot oorlogsdaden.
Wat jij voorstelt wil zeggen dat ik maar 1 rechter hoef te vinden om om te kopen, in een van deze landen waarmee er een samenwerkingsverband bestaat.
De maffia had het moeilijker en moest rechters uit eigen land naar hun hand zetten...
Door Anoniem:
Sorry, maar het enige wat ik lees in je reactie is: 'er is vast wel iemand....die het controleert...toch?' Ik haal hier nergens uit dat jij zelf de controles doet. Je legt de volledige verantwoordelijkheid bij een vreemde, en verwacht dat die het beste met je voor heeft. Wat ook vast wel zo zal zijn....toch?
Door Kapitein Haddock:Je snapt het hele concept weer eens niet. Niemand hoeft (steeds) de code door te nemen want deze staat in onder versiebeheer (git is gebruikelijk) en elke wijziging wordt daarmee vastgelegd (en normaliter gecontroleerd). Want source code is in tegen stelling tot een closed source executable gewoon tekst. Het hele proces van code wijzigingen - bij ontwikkeling en onderhoud - is daarmee inzichtelijk gemaakt.
Ook voor closed source zijn mensen verantwoordelijk. Natuurlijk! Denk je dat aan een bestaande code base zomaar gewijzigd kan worden? Zonder dat iemand daarbij meekijkt en controles doet? (Unit) tests draait? Je hebt duidelijk geen enkel benul van omgevingen waarin professionele software ontwikkeling plaatsvindt.
Ook voor closed source zijn mensen verantwoordelijk. Natuurlijk! Denk je dat aan een bestaande code base zomaar gewijzigd kan worden? Zonder dat iemand daarbij meekijkt en controles doet? (Unit) tests draait? Je hebt duidelijk geen enkel benul van omgevingen waarin professionele software ontwikkeling plaatsvindt.
Sorry, maar het enige wat ik lees in je reactie is: 'er is vast wel iemand....die het controleert...toch?' Ik haal hier nergens uit dat jij zelf de controles doet. Je legt de volledige verantwoordelijkheid bij een vreemde, en verwacht dat die het beste met je voor heeft. Wat ook vast wel zo zal zijn....toch?
Je zou moeten lezen dat bij open source het hele proces van wijzigingen aanbrengen in een (bestaande) codebase een gecontroleerd en open proces is. Waardoor er publiek inzicht in wijzigingen is. Dat betekent niet dat je bij elke update de hele softwarestack moet gaan controleren. Dat gebeurt voor je. Delegeren etc. Er geldt echter: "vertrouwen is goed maar controleren is beter" en dat wordt met open source mogelijk gemaakt. Met closed source ben je aan de blauwe ogen van de softwarefabrikant overgeleverd. Hoe dat kan uitpakken zie je aan de huidige Windows ellende.
Door Kapitein Haddock:Je zou moeten lezen dat bij open source het hele proces van wijzigingen aanbrengen in een (bestaande) codebase een gecontroleerd en open proces is. Waardoor er publiek inzicht in wijzigingen is. Dat betekent niet dat je bij elke update de hele softwarestack moet gaan controleren. Dat gebeurt voor je. Delegeren etc. Er geldt echter: "vertrouwen is goed maar controleren is beter" en dat wordt met open source mogelijk gemaakt. Met closed source ben je aan de blauwe ogen van de softwarefabrikant overgeleverd. Hoe dat kan uitpakken zie je aan de huidige Windows ellende.
Dus wat 'Anoniem' daar zegt klopt dus. Je legt die verantwoordelijkheid volledig bij 'die vreemde' en gaat er vanuit dat, doordat het open source is, er wel iemand naar kijkt...en aan de bel trekt als het niet klopt. Nou, veel succes daarmee.
17-04-2019, 15:55 door
karma4
Door Kapitein Haddock: ...
Je zou moeten lezen dat bij open source het hele proces van wijzigingen aanbrengen in een (bestaande) codebase een gecontroleerd en open proces is. Waardoor er publiek inzicht in wijzigingen is. Dat betekent niet dat je bij elke update de hele softwarestack moet gaan controleren. Dat gebeurt voor je. Delegeren etc. Er geldt echter: "vertrouwen is goed maar controleren is beter" en dat wordt met open source mogelijk gemaakt. Met closed source ben je aan de blauwe ogen van de softwarefabrikant overgeleverd. Hoe dat kan uitpakken zie je aan de huidige Windows ellende.
Jou toch eens meer naar Dijkstra hebben moeten luisteren. Je zou moeten lezen dat bij open source het hele proces van wijzigingen aanbrengen in een (bestaande) codebase een gecontroleerd en open proces is. Waardoor er publiek inzicht in wijzigingen is. Dat betekent niet dat je bij elke update de hele softwarestack moet gaan controleren. Dat gebeurt voor je. Delegeren etc. Er geldt echter: "vertrouwen is goed maar controleren is beter" en dat wordt met open source mogelijk gemaakt. Met closed source ben je aan de blauwe ogen van de softwarefabrikant overgeleverd. Hoe dat kan uitpakken zie je aan de huidige Windows ellende.
Dat je de code kan zien betekent echt niet dat jet het kan begrijpen en dat er geen fouten in zouden zitten.
Dat wast in 1968 als zo en iedereen begreep dat, dat is echt niet veranderd. De hoeveel code is nu factoren omvangrijker.
De blauwe ogen van OSS zijn verradelijker want geen verantwoordelijkheid dan de closed source met verantwoordelijkheid.
De volwassen technologie omgevingen automotive vliegtuigen kennen allemaal die aansprakelijkheid en verantwoording.
Bij de 737-max iedereen kon het ontwerp en de code zien. Gelukkig is het bedrijf erachter nog steeds verantwoordelijk. Stel je dat ze hadden gezegd: "het is goedgekeurd" je hebt het gekocht, zoek het nu zelf maar uit.
Hoe is lastpass op deze manier veilig? Er is een pre processing stap toegevoegd, waarmee het gebruiker ingevoerde wachtwoord voor versturen gehasht wordt. Vervolgens geeft lastpass aan deze hash op te slaan.
Hiermee heb je alleen een gemodificeerde client nodig die de hash naar lastpass stuurt en je krijgt alle wachtwoorden.
Oftewel als lastpass wil kunnen ze bij de wachtwoorden.
Er is geen reden dat het wachtwoord of hash ooit naar lastpass gestuurd hoeft te worden, behalve om lastpass toegang te kunnen verschaffen. Lastpass zou dit kunnen voorkomen door een challenge naar clients te sturen waarmee de gebruiker lokaal het wachtwoord moet gebruiken om de challenge te voltooien. Als de challenge gelukt is, de vault sturen. Deze challenge zou bij iedere succesvolle login lokaal gemaakt kunnen worden.
Hiermee heb je alleen een gemodificeerde client nodig die de hash naar lastpass stuurt en je krijgt alle wachtwoorden.
Oftewel als lastpass wil kunnen ze bij de wachtwoorden.
Er is geen reden dat het wachtwoord of hash ooit naar lastpass gestuurd hoeft te worden, behalve om lastpass toegang te kunnen verschaffen. Lastpass zou dit kunnen voorkomen door een challenge naar clients te sturen waarmee de gebruiker lokaal het wachtwoord moet gebruiken om de challenge te voltooien. Als de challenge gelukt is, de vault sturen. Deze challenge zou bij iedere succesvolle login lokaal gemaakt kunnen worden.
Door [Account Verwijderd]:
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Door Anoniem: Enige goede reactie vanuit Lastpass. Als ze hadden meegeholpen waren ze een hoop klanten waarschijnlijk kwijt geweest.
Waar onder ik.
Waar onder ik.
Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Ze kunnen de hash natuurlijk wel hebben doorgegeven, want die hebben ze wel (of ze daar ook zomaar bij kunnen is weer iets anders, maar goed, dat weten we niet). De hash afgeven en de DEA veel success met bruteforcen wensen, kan natuurlijk best...
Door Anoniem:
Technisch onmogelijk WAS, maar via een speciale software update voor dit IP-adres kunnen ze theoretisch het wachtwoord achterhalen, de volgende keer dat hij inlogt.
Dik kans dat de verdachte niet meer inlogt, omdat die weet dat de DEA dat kan gebruiken.Welke goede reactie? Ze hebben alles meegegeven wat te geven viel. Wachtwoord hebben ze niet meegegeven omdat dit technisch onmogelijk was.
Technisch onmogelijk WAS, maar via een speciale software update voor dit IP-adres kunnen ze theoretisch het wachtwoord achterhalen, de volgende keer dat hij inlogt.
Door Bitwiper:
Het is opensource, dus er zijn genoeg andere mensen die dat controleren en aan de bel trekken als er wat mis is. Zo doet iedereen dat immers. Door Manjaro Linux: Daarom gebruik ik specifiek KeePassXC want die is Open Source (en ook nog multi platform)
En bij elke update controleer je alle sources (en hebt de kennis en voldoende tijd om "obfuscated" backdoors, bewust aangebrachte kwetsbaarheden of zwakke random number generators te herkennen), en je compileert vervolgens zelf?Ow, ehe, Ok, dus waarschijnlijk toch niemand die dat controleert. Hooguit een verveelde beveiligingsonderzoeker die met pasen toch niets anders te doen heeft en er toevallig tegenaan loopt. Eventueel ook nog kans bij een gesponsorde audit.
Door Anoniem:KeePassXC heeft een portable versie die je op USB stick mee kunt nemen, heel handig. Enkel te kraken met brute force op de database file, als je master password maar lang genoeg is en geen bekende woorden bevat een ondoenlijke zaak qua tijd.
Niet helemaal.Je kan natuurlijk heel veel kopietjes maken van die db en dan vele malen parallel je brute-force doen op verschillende delen van je key-space. Met oneindig veel kopietjes gaat de tijd theoretisch naar 0 en je kosten ook naar oneindig.
Met minder kopietjes wordt de tijd weer langer (en de kosten lager), maar theoretisch kan je ook een lang master-wachtwoord snel kraken als je erg veel resources inzet.
Met een cloud-kluis gaat dat niet zo makkelijk lukken, omdat je netwerk begrenst is en er waarschijnlijk ook een rate-limit zit op het aantal inlogpogingen. Maar.... De DEA kan natuurlijk wel een kopietje van de encrypted data vorderen, is weer makkelijker dan je zoekgeraakte USB stick vinden.
Door Anoniem:Hoe zou je het vinden als deze door jouw gereguleerde toegang buiten jouw invloedsfeer zou liggen en structurele aanpassingen in jouw slot zou vergen, waardoor de volledige beveiliging van je huis op losse schroeven zou komen te staan?
Waarschijnlijk gaat de overheid het gebruik van deugdelijke sloten verbieden, zoals in Australie. Je mag dan hooguit nog 'hier waak ik' bordjes met een plaatje van een hond op je deur schroeven, maar alleen met ontheffing.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
