'Versleutelde chatdienst CryptoCat gekraakt' *update*
Wie het chatprogramma CryptoCat gebruikt om versleuteld met anderen te communiceren, moet ervan uitgaan dat alle berichten tussen 17 oktober 2011 en 15 juni 2013 zijn gecompromitteerd. Dat beweert beveiligingsonderzoeker Steve Thomas. Hij ontdekte een kwetsbaarheid in de manier waarop CryptoCat privésleutels voor versleutelde berichten genereerde.
Thomas schreef een tool genaamd DecryptoCat, om de berichten die met de kwetsbare privésleutels zijn verstuurd te ontsleutelen. De bug bleef volgens de onderzoeker 347 dagen onopgemerkt. Uiteindelijk gaf hij CryptoCat naar eigen zeggen een patch om het gevonden probleem op te lossen, maar de update werd door de ontwikkelaars van de chatdienst aangepast.
Daardoor werd de beveiliging van de privésleutels minder goed dan Thomas had bedoeld. Hij stelt dan ook dat de ontwikkelaars van CryptoCat volledig 'incompetent' zijn en waarschuwt dat er waarschijnlijk nog veel meer bugs in de software aanwezig zijn, aangezien hij alleen naar het generen van encryptiesleutels heeft gekeken.
Update 14:15
CryptoCat bevestigt in een eigen blogposting het door Thomas ontdekte lek. Gebruikers van versies voor 2.0.42 krijgen het dringende advies om naar de meest recente versie te upgraden. De ontwikkelaar van het chatprogramma is blij met de feedback van Thomas, maar hekelt de toonzetting van zijn publicatie.
Ook zou het SSL-certificaat van CryptoCat, voor zover bekend, veilig zijn. Er gaan namelijk geruchten rond dat het certificaat gecompromitteerd is, maar dat is volgens de ontwikkelaar niet waar.
Als laatste verontschuldigt hij zich tegenover gebruikers. "Slechte bugs komen voor. Bij CryptoCat hebben we ervoor gekozen om het gat tussen toegankelijkheid en security te dichten. Dit is nooit eenvoudig en we zullen altijd fouten maken, zelfs over tien jaar."
Als dat het niet geweest was was deze kwetsbaarheid waarschijnlijk pas ontdekt na langdurige cryptanalysis of reverse engineering. Gedurende die gehele periode is de software dus kwetsbaar en ookal weet niemand er dan van is de periode waarover er uiteindelijk (na ontdekking) onveilig gecommuniceerd is veel groter en kan er achteraf veel meer informatie lekken.
Open source is geen garantie dat software veilig/bug-free is... maar dat snap je zelf ongetwijfeld ook wel.
Maar maar gelukkig ben jij er om ons dat te vertellen. Breathtaking gewoon.
Als dat het niet geweest was was deze kwetsbaarheid waarschijnlijk pas ontdekt na langdurige cryptanalysis of reverse engineering. Gedurende die gehele periode is de software dus kwetsbaar en ookal weet niemand er dan van is de periode waarover er uiteindelijk (na ontdekking) onveilig gecommuniceerd is veel groter en kan er achteraf veel meer informatie lekken.
Open source is geen garantie dat software veilig/bug-free is... maar dat snap je zelf ongetwijfeld ook wel.
Alleen is het makelijker want er is geen reverse engeneering voor nodig.
De NSA heeft dit dus al die tijd kunnen misbruiken.
En inderdaad de veel gebruikt open source dus iedereen kan er naar kijken gaat ook hier weer niet op.
Zeker niet als het om encryptie gaat dan zijn er niet zoveel ogen.
Het kan een voordeel zijn maar ook een nadeel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.