image

Onderzoeker vindt lek in WhatsApp-alternatief Franse overheid

vrijdag 19 april 2019, 16:04 door Redactie, 13 reacties

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt in Tchap, de nieuwe chat-app van de Franse overheid, waardoor hij van de dienst gebruik kon maken. De Franse overheid lanceerde Tchap deze week als alternatief voor de versleutelde chatdiensten Telegram en WhatsApp.

Via de dienst kunnen Franse ambtenaren met elkaar communiceren. Tchap, een fork van de beveiligde chat-app Riot, is alleen te gebruiken voor mensen met een .gouv of soortgelijk e-mailadres. Deze gebruikers ontvangen op hun e-mailadres een bericht om hun account te valideren. De Franse beveiligingsonderzoeker met het alias fs0c131y ontdekte dat de controle van het e-mailadres niet waterdicht was.

Door het opgeven van het e-mailadres "fs0c131y@protonmail.com@presidence@elysee.fr" kon hij namelijk zijn account valideren en zo inloggen als een medewerker van het Élysée. Op deze manier had hij toegang tot allerlei publieke chatgroepen die door de verschillende ministeries waren aangemaakt. De onderzoeker waarschuwde de ontwikkelaars van Riot, die met een beveiligingsupdate kwamen. Ook informeerde hij de Franse overheid. Nadat het probleem was verholpen publiceerde hij een blogposting met details over de kwetsbaarheid.

Reacties (13)
20-04-2019, 15:50 door karma4
open source …. wat kan er mis gaan?
20-04-2019, 16:36 door [Account Verwijderd]
net zoveel als met closed source, als de lekken maar op tijd gedicht worden is er niks aan de hand.

voordelen van open source: geen vendor lockin, geen stiekeme achterdeurtjes.
20-04-2019, 17:01 door karma4
Door karma4_loves_linux: net zoveel als met closed source, als de lekken maar op tijd gedicht worden is er niks aan de hand.
voordelen van open source: geen vendor lockin, geen stiekeme achterdeurtjes.
Lees het artikel...… De franse overheid heeft een open source chat gekopieerd en vervolgens kon je met die analyse binnen 90 minuten na de code gekeken te hebben zo naar binnen zonder wachtwoord. Inputvalidatie faalde jameerlijk.
Daar hebben meerdere mensen aan gewerkt, iedereen komt het probleem zien.
De links hmmm , er lijkt wat meer aan de hand te zijn met gebruikte andere libraries.

Als je er niet tegen kunt dat software fouten bevat, dan moet je ver weg van software blijven.
Open of closed maakt niet veel uit.
Wel gevaarlijk is dat het omdat het open source zou er geen fouten in zouden kunnen zitten.
20-04-2019, 21:17 door Anoniem
Door karma4: Wel gevaarlijk is dat het omdat het open source zou er geen fouten in zouden kunnen zitten.
Je reageerde op iemand die "net zoveel als met closed source" schreef, niet dat er geen fouten in zouden kunnen zitten.
20-04-2019, 22:32 door [Account Verwijderd]
Door Anoniem:
Door karma4: Wel gevaarlijk is dat het omdat het open source zou er geen fouten in zouden kunnen zitten.
Je reageerde op iemand die "net zoveel als met closed source" schreef, niet dat er geen fouten in zouden kunnen zitten.

Nu zie je dat hij niet leest wat anderen schrijven. Hij ziet kans Open Source aan te vallen en gaat meteen met gestrekt been erin.
21-04-2019, 08:19 door [Account Verwijderd] - Bijgewerkt: 21-04-2019, 09:08
Door karma4: open source …. wat kan er mis gaan?

Als het closed source was geweest dan had jij dit niet met zoveel detail geweten. Sterker nog, je zou het helemaal niet hebben geweten tot het moment dat een niet nader gedefinieerde patch, zou zijn uitgereikt in een maandelijkse patch ronde :-(
21-04-2019, 20:21 door [Account Verwijderd] - Bijgewerkt: 21-04-2019, 20:22
Alweer een topic dat vertrold wordt door types die een account aanmaken en hun nickname veranderen zodra iemand op hen reageert:

karma4_loves_linux verandert een dag na registratie al zijn nickname in Cinnamon, zodat het lijkt of er twee verschillende accounthouders dezelfde kritiek hebben op Karma4, waarna als verzuurd toetje K. Haddock nog eens opportunistisch natrapt.

De doelstelling van posten op security.nl is voor de soort obscure types zoals Cinnamon uitsluitend trollen. Zo niet dan liet je deze nog waardelozer dan puber-adolescente grollerij wel achterwege die 'excelleert' in met opzet misverstanden veroorzaken al of niet in de quotes, verwarring zaaien en - naar zij sadistisch hopen - het bloed onder de nagels van anderen vandaan knijpen. (Gewoon het op één na laagste van het laagste dat je op Internet tegenkomt, en dat is genaamd: Malware).

Deze jakhalzerij chronologisch: https://www.security.nl/posting/606063#posting606147... betreft een verwijzing naar dit topic waarna de reactie van Karma4 komt die uiteraard nog de voorgaande nickname toont: https://www.security.nl/posting/606058#posting606149
21-04-2019, 21:00 door karma4
Door Kapitein Haddock:
Door karma4: open source …. wat kan er mis gaan?
Als het closed source was geweest dan had jij dit niet met zoveel detail geweten. Sterker nog, je zou het helemaal niet hebben geweten tot het moment dat een niet nader gedefinieerde patch, zou zijn uitgereikt in een maandelijkse patch ronde :-(
Dit is het terugkerende issue van falend beheer. Dat staat los van of de daarbij gebruikte software van elders open of closed is. Ik vind het een typisch voorbeeld dat OSS fanatisme hand in hand gaan met dat falend beheer.
Cinnamon met zijn …. gedrag een typisch voorbeeld, dat door dat vereenzelvigen met OSS het de oorzaak van falen is.
De correlatie naar causatie heb je weer voor je liggen.

Let wel er was nergens een softwarefout gebruikt in de onderliggende OSS delen, enkel in het eigen configuratie beheer deel.


Ik lees nog even...
"1 sydent uses python's email.utils.parseaddr function to parse the input email address before sending validation mail
2 synapse's checking of email addresses relies on regular expressions in the home server configuration file."

Elders
" All the available servers are defined in the AndroidManifest.xml"


Alsof je alle interen informatie en de koppelingen daarvoor zo open zet voor een ieder. Uit de beveiligingsstratgie moet je juist zo min mogelijk aan onbekenden geven. Als jij vindt dat van een ieder het user-id de passwords (niet encrypted) pgp private keys SSH keys etc zo moet openbaren want OSS beleid dan heb je van security weinig begrepen.
21-04-2019, 22:45 door [Account Verwijderd]
Door Brainpresser:
Alweer een topic dat vertrold wordt door types die een account aanmaken en hun nickname veranderen zodra iemand op hen reageert:

karma4_loves_linux verandert een dag na registratie al zijn nickname in Cinnamon, zodat het lijkt of er twee verschillende accounthouders dezelfde kritiek hebben op Karma4, waarna als verzuurd toetje K. Haddock nog eens opportunistisch natrapt.

De doelstelling van posten op security.nl is voor de soort obscure types zoals Cinnamon uitsluitend trollen. Zo niet dan liet je deze nog waardelozer dan puber-adolescente grollerij wel achterwege die 'excelleert' in met opzet misverstanden veroorzaken al of niet in de quotes, verwarring zaaien en - naar zij sadistisch hopen - het bloed onder de nagels van anderen vandaan knijpen. (Gewoon het op één na laagste van het laagste dat je op Internet tegenkomt, en dat is genaamd: Malware).

Deze jakhalzerij chronologisch: https://www.security.nl/posting/606063#posting606147... betreft een verwijzing naar dit topic waarna de reactie van Karma4 komt die uiteraard nog de voorgaande nickname toont: https://www.security.nl/posting/606058#posting606149

Volgens mij begon karma4 met trollen. Hij was er als de kippen bij (eerste commentaar op deze post) met de veelzeggende trol zin:
open source …. wat kan er mis gaan?
22-04-2019, 11:03 door [Account Verwijderd] - Bijgewerkt: 22-04-2019, 11:35
Door Brain_karma:
Door Brainpresser:
Alweer een topic dat vertrold wordt door types die een account aanmaken en hun nickname veranderen zodra iemand op hen reageert:

karma4_loves_linux verandert een dag na registratie al zijn nickname in Cinnamon, zodat het lijkt of er twee verschillende accounthouders dezelfde kritiek hebben op Karma4, waarna als verzuurd toetje K. Haddock nog eens opportunistisch natrapt.

De doelstelling van posten op security.nl is voor de soort obscure types zoals Cinnamon uitsluitend trollen. Zo niet dan liet je deze nog waardelozer dan puber-adolescente grollerij wel achterwege die 'excelleert' in met opzet misverstanden veroorzaken al of niet in de quotes, verwarring zaaien en - naar zij sadistisch hopen - het bloed onder de nagels van anderen vandaan knijpen. (Gewoon het op één na laagste van het laagste dat je op Internet tegenkomt, en dat is genaamd: Malware).

Deze jakhalzerij chronologisch: https://www.security.nl/posting/606063#posting606147... betreft een verwijzing naar dit topic waarna de reactie van Karma4 komt die uiteraard nog de voorgaande nickname toont: https://www.security.nl/posting/606058#posting606149

Volgens mij begon karma4 met trollen. Hij was er als de kippen bij (eerste commentaar op deze post) met de veelzeggende trol zin:
open source …. wat kan er mis gaan?

TROLL ALERT !! TROLL ALERT !! TROLL ALERT !!

In bovenstaande quote zijn Brain_karma en karma4_loves_linux één en dezelfde persoon.

En het is niet de eerste keer dat deze geregistreerde gebruiker verwarring sticht op deze manier, want:

Hier wordt voor de derde maal !! de accountnaam veranderd om gerichtheid en zuiverheid en origine van topics èn van replies op topics te verbergen !

Chronologisch:

4amrak (19-04)

karma4_loves_linux (20-04)

Cinnamon (21-04)

Brain_karma (22-04)
22-04-2019, 19:15 door Anoniem
@karma4 & Brainpresser,

Maar wat wil je dan ook met luitjes, genoemde trollen, die niet inhoudelijk willen reageren
of daartoe ook hoogstwaarschijnlijk niet bij machte zijn.
In zo'n geval ga je je verlagen tot dit soort (re)acties.

Dit is het bedrijf van lieden, die ergens de schuld neerlegen bijvoorbeeld bij iets of iemand,
die hen geblokkeerd zouden hebben, want hun cloud streaming service over poort 123 werkt niet.
Ik geef maar even een praktijk voorbeeld uit een dwarsstraat van incompetentie.

Dit nadat achteraf blijkt dat ze udp met tcp hebben verwisseld
en uit de server geen response muziek meer te persen valt (net-error 404).

Juist in dat geval, toch vooral doorgaan met niet of eigenlijk nooit de hand in eigen boezem te steken,
en ruiterlijk de eigen onkunde erkennen. Neen, geen denken aan, grof en agressief reageren
en later bijvoorbeeld alles weghalen, zodat dat niet gezien mag worden door de wel ter zake kundigen.

Als je iets niet weet of onvoldoende weet, reageer dan niet in de eerste plaats
en laat het je uitleggen, dan heb je wat geleerd.

Leer om te weten, weet om te kunnen en slagen is je loon.

Zo ben ik ook vaak aan hele expliciete kennis gekomen.
Dat betekent in zo'n geval een win-win situatie,
al het andere is dubbel verlies en voor jezelf en in ogen van je omgeving.
Wat een minkukels heb je toch.

luntrus
22-04-2019, 21:11 door [Account Verwijderd]
Door Brainpresser: karma4_loves_linux verandert een dag na registratie al zijn nickname in Cinnamon, zodat het lijkt of er twee verschillende accounthouders dezelfde kritiek hebben op Karma4, waarna als verzuurd toetje K. Haddock nog eens opportunistisch natrapt.

Opportunistisch natrappen? Ben ik me niet van bewust (want had allerlei andere reacties niet eens gelezen). N.B.: ik heb weinig op met censuur zeloten (met of zonder een net zo anonieme als Anoniem alias).
24-04-2019, 09:07 door [Account Verwijderd]
Door Anoniem:
Door karma4: open source …. wat kan er mis gaan?

Maar wat wil je dan ook met luitjes, genoemde trollen, die niet inhoudelijk willen reageren
of daartoe ook hoogstwaarschijnlijk niet bij machte zijn.
In zo'n geval ga je je verlagen tot dit soort (re)acties.
<knip>
luntrus

Helemaal eens!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.