Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 126 reacties

De NSA beschikt over een speciale afdeling die vpn-verbindingen hackt. De geheime dienst voert man in the middle-aanvallen uit waarbij communicatie wordt ontsleuteld. Ook ssh- en https-verbindingen worden soms met succes gekraakt. Dat blijkt uit nieuwe gelekte documenten.

NSADe NSA-afdeling kraakt onder meer verbindingen over het zogeheten point-to-point-tunneling-protocol zonder al te veel moeite. Dat maakten journalisten Laura Poitras en Jacob Appelbaum in samenwerking met Der Spiegel bekend op de CCC-beveiligingsconferentie in Hamburg, op basis van documenten van klokkenluider Edward Snowden. Appelbaum is ook verantwoordelijk voor het Tor-project, dat gebruikers relatief anoniem gebruik laat maken van internet.

Volgens de journalisten gaat het om een project waarbij vpn-verbindingen op grote schaal worden onderschept en de gegevens worden ontsleuteld. Vervolgens worden de gegevens weer geïnjecteerd in de verbinding tussen de server en de gebruiker, zodat beide niets merken van de tussenkomst van de geheime dienst. De NSA zou onder meer een team van twaalf mensen hebben om de vpn-verbindingen van de Griekse overheid te onderscheppen.

Dat pptp onveilig is, is overigens al langer bekend, maar het vpn-protocol wordt nog breed ondersteund. De geheime dienst zou al iets meer moeite hebben met vpn-verbindingen die over ipsec verlopen; de inlichtingendienst zou daarom de routers die het protocol aanbieden hacken om de encryptiesleutels in handen te krijgen. Dat lijkt vooral gebruikers van ipsec in combinatie met een vooraf bepaalde sleutel te treffen. Het is overigens onduidelijk hoe het zit met verbindingen die via OpenVPN verlopen.

De NSA zou in 2009 1000 keer per uur een verzoek hebben verwerkt om vpn-verbindingen te kraken. De dienst zou van plan zijn geweest om dat aantal tegen 2011 op te voeren naar 100.000 per uur, maar of die wens is uitgekomen, is niet bekend. Wel is duidelijk dat de NSA de Ierse vpn-dienst SecurityKiss met succes zou hebben gekraakt.

Naar eigen zeggen slaagt de NSA er in sommige gevallen in om ssh-verbindingen te kraken. Het kan daarbij gaan om brute force-pogingen of dictionary attacks: ssh dwingt geen sterke wachtwoorden af, en de NSA zou het wachtwoord waarmee de verbinding is beveiligd kunnen raden om de encryptiesleutels te achterhalen. Gebruik van een certificaat met een stevige sleutellengte zou dat voorkomen.

De dienst zou ook https-verbindingen kraken, al is niet duidelijk hoe succesvol die pogingen zijn en of de dienst in staat is om de verbindingen op grote schaal te kraken. Het is wel duidelijk dat de dienst dat in ieder geval van plan was. De NSA zou onder meer inbreken op servers om certificaten te stelen, zodat communicatie kan worden onderschept.

De NSA zou ook proberen om het versleutelingsalgoritme aes te kraken. Het is niet geheel duidelijk of het gaat om een wens, of dat de geheime dienst er daadwerkelijk in is geslaagd om het algoritme te kraken. In de documenten is te lezen dat de NSA 'een beperkt aantal inhouse-technieken' heeft tegen aes-encryptie, maar dat duidt er niet op dat het algoritme zelf is achterhaald. In veel gevallen is niet het encryptie-algoritme zelf kwetsbaar, maar de implementatie ervan.

AES

Bron: Der Spiegel

Uit de documenten die zijn vrijgegeven blijkt niet alleen waar de NSA wel in slaagt, maar ook waar de geheime dienst moeite mee heeft. "Er is ook goed nieuws: pgp en otr zijn veilig", aldus Jacob Appelbaum tijdens zijn toespraak op de CCC-conferentie. Otr is een protocol waarmee gebruikers versleuteld kunnen chatten; met pgp kunnen gebruikers versleuteld e-mailen.

Dat wil niet zeggen dat de NSA er nooit in slaagt om otr- en pgp-communicatie te ontsleutelen, maar wel dat dit in meerdere gevallen niet is gelukt. Dat wil overigens niet zeggen dat de geheime dienst dit nog steeds niet kan: de documenten van klokkenluider Snowden zijn circa twee jaar oud.

De meeste moeite lijkt de NSA te hebben met mensen die meerdere technieken gebruiken om hun sporen te wissen. Zo gebruikte één persoon die door de NSA werd gevolgd een combinatie van Tor, een andere anonimiseringsdienst, het chatsysteem cspace en het voip-protocol zrtp. Dat laatste protocol wordt onder meer gebruikt in de RedPhone, een veilige telefoon. De betreffende persoon was door de NSA niet tot bijna niet te volgen. Ook met TrueCrypt, cryptografiesoftware waarvan de ontwikkeling is gestaakt en die inmiddels als onveilig wordt beschouwd, heeft de geheime dienst moeite.

Uit de documenten blijkt tot slot dat de NSA personeel stuurt naar bijeenkomsten van de Internet Engineering Task Force, dat internetstandaarden ontwikkelt, om gesprekken over cryptografische standaarden te beïnvloeden. De geheime dienst beschouwt versleuteling overduidelijk als een bedreiging, zo blijkt uit documenten.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (126)

Veiligheid is een emotie.
Als iets belangrijk is, dan doe ik het ook niet digitaal.

Alles via internet is een kansberekening, voor mij in elk geval.
Moet ik bang zijn als particulier? Nee, ik heb geen bijzondere dingen die men kan gebruiken. Dus ik zet onbelangrijke communicatie op via een onbelangrijke beveiligde link.

VPN voor werk gebruik ik wel, wachtwoord van minimaal 16 karakters. Natuurlijk is dit ook te kraken, maar ik schat in dat de NSA niet veel interessant vindt in mijn werkomgeving.
Tenzij de NSA zich bezighoud met bedrijfsspionage.
Dit laatste verwacht ik eigenlijk wel, want de NSA moet de belangen van de VS beschermen, ook economish. Diefstal en spionage van bedrijfsgegevens zullen daar best in kunnen passen.

Cloud oplossingen zal ik ook altijd blijven tegenwerken binnen ons bedrijf en ik ben zelf ICT'er. Ik zie de voordelen wel, maar ook de nadelen.
Goeie, dat zou ik niet erg vinden.

Het is mij inderdaad te doen om het uit handen geven van de "cloud" of andere vorm.
Ik wil niet dat onze data op externe servers staat waar een ieder bij kan. Vooral als het gaat om bv amerikaanse clouddiensten, deze vallen allemaal onder de patriot act.
Als de eventuele interne cloud is gehost in zuid-amerika valt die automatisch ook onder de wet van de VS, (omdat alle internetverkeer europa-zuid amerika via noord-amerika gaat en dus over grondgebied van de VS.

Ook wordt data soms "per ongeluk" via hun omgeleid. En tevens zijn alle grote internet knooppunten ter wereld "geinfecteerd" door de NSA - dus die tapt het sowieso af.

En als niet-amerikaan hebben ze geen wetten om deze spionage in te dammen, dus je bent sowieso niet beschermd. Welkom in 2015
Met intern bedoelde ik echt "intern", dus bij ons op het terrein en nergens anders en geen openstaande lijn naar buiten.
Ik ben me inderdaad bewust van de situaties in het buitenland.
Het is juist mooi als je een interne cloud hebt die wel van buitenaf bereikbaar is. En veilig is.

Maarja, dan hoor je dit soort nieuwsitems :(

Als iemand fysieke toegang heeft (en de kennis en de tools) dan snap ik dat een beveiliging niet altijd 100% kan zijn. Maar zonder fysieke toegang moet het beveiligd kunnen worden. Ook met externe verbindingen.
Vreemd bericht weer.
AES is in opdracht van NIST gemaakt en de 'main participator' was en is de NSA.
Ze hadden dus al alle ingrediënten om het te kraken. Wat wel en niet mogelijk is door deze privacyschenders zullen we nooit echt weten. Journalisten worden massaal gebruikt door of het gebrek aan kennis, of door bronafscherming en bronmanipulatie van de informatieverstrekker.
allemaal leuk en aardig maar eh...
het maakt alleen de bokjes en nu zelfs schaapjes onrustig terwijl mensen die daadwerkelijk iets geheimzinnigs willen uitwisselen en weten waar ze mee bezig zijn geen gebruik maken van standaard oplossingen...
sterker nog... de gemiddelde hobbyist programmeur die eens iets met encryptie (bijv. game reversing) bezig heeft gehouden heeft hier waarschijnlijk al eens over nagedacht en misschien zelfs in elkaar getikt want het is echt geen rocketscience
gewoon een aantal logische bewerkingen over bitjes of bytes

custom encryptie waarbij het algoritme en keys alleen bekend zijn bij de verzendende en ontvangende partij en persoonlijk zijn uitgewisseld zodat ze (NSA en zo) met die data weinig kunnen doen behalve raden wat het is en hoe het tot stand is gekomen
hoe je het verzend maakt dan ineens helemaal niets meer uit en je maakt jezelf waarschijnlijk alleen maar verdacht wanneer je VPN en andere "veilige services" gaat gebruiken
alleen wanneer ze dan jouw software in handen krijgen of je niet creatief genoeg was met je custom encryptie kunnen ze achterhalen wat je daadwerkelijk uitwisselt

als je dit, bijvoorbeeld, kunt decrypten heb je waarschijnlijk buitengewone mentale krachten oid:
(*MQ#V98qM$@!!98q_$*VMd*Q@V$M)*q29,v<Vvq@vQM?@(V$9

gedocumenteerde massatoepassingen van 1 en het zelfde maakt het alleen maar gemakkelijker omdat je zo op 1 algoritme en implementaties er van kunt focussen
voorbeeld:
https://www.youtube.com/watch?v=xav-GUO_o4s
elke (crypto-)analist weet dat voorspelbaarheid bijna zo goed als de sleutel zelf is

dit nieuws werkt hooguit demotiverend om het gros in-check te houden door angst
maar door alle publiciteit gaan mensen zich er in verdiepen en word het de NSA (en zo) steeds lastiger
waarschijnlijk met paranoia tot gevolg bij enforcement en citizen met nare gevolgen

[Reactie gewijzigd door 500749 op 29 december 2014 04:04]

sterker nog... de gemiddelde hobbyist programmeur die eens iets met encryptie (bijv. game reversing) bezig heeft gehouden heeft hier waarschijnlijk al eens over nagedacht en misschien zelfs in elkaar getikt want het is echt geen rocketscience
gewoon een aantal logische bewerkingen over bitjes of bytes

custom encryptie waarbij het algoritme en keys alleen bekend zijn bij de verzendende en ontvangende partij en persoonlijk zijn uitgewisseld zodat ze (NSA en zo) met die data weinig kunnen doen behalve raden wat het is en hoe het tot stand is gekomen
hoe je het verzend maakt dan ineens helemaal niets meer uit en je maakt jezelf waarschijnlijk alleen maar verdacht wanneer je VPN en andere "veilige services" gaat gebruiken
alleen wanneer ze dan jouw software in handen krijgen of je niet creatief genoeg was met je custom encryptie kunnen ze achterhalen wat je daadwerkelijk uitwisselt

als je dit, bijvoorbeeld, kunt decrypten heb je waarschijnlijk buitengewone mentale krachten oid:
(*MQ#V98qM$@!!98q_$*VMd*Q@V$M)*q29,v<Vvq@vQM?@(V$9

gedocumenteerde massatoepassingen van 1 en het zelfde maakt het alleen maar gemakkelijker omdat je zo op 1 algoritme en implementaties er van kunt focussen
voorbeeld:
https://www.youtube.com/watch?v=xav-GUO_o4s
elke (crypto-)analist weet dat voorspelbaarheid bijna zo goed als de sleutel zelf is
What a load of BullCrap™ :')

Elke zichzelf respecterende crypto-analyst/cryptograaf is ook bekend met Kerckhoff's Principle en zal je vierkant uitlachen met je 'NIH encryptie'. Eigen gemaakte/verzonnen encryptie is, tenzij je een cryptograaf bent en dan ook nog alleen eens aan fatsoenlijke peer-reviews doet (en nog wat andere randvoorwaarden), altijd een slecht idee. Als non-cryptograaf heb je geen benul wat er allemaal 'lekt' op basis van de encrypted data (kijk eens naar de pinguïns hier) als je implementatie niet goed is. Ik heb geen idee wat je "decrypt uitdaging" bevat, noch of dat voldoende data is om iets mee te kunnen maar geheid dat kundige(re) cryptoanalysten hier veel meer mee kunnen dan je denkt (denk aan analyses op basis van letterfrequenties en andere heuristieken bijvoorbeeld). Dat jij, of de gemiddelde tweaker, iets niet kan kraken wil niet zeggen dat een beetje kundig cryptoanalyst dit tijdens z'n lunch op een servetje oplost.

Je zegt ook "echt geen rocketscience" maar ondertussen falen er duizenden implementaties van wél goede encryptie algoritmes puur en alleen al omdat ontwikkelaars de basis niet snappen en dus een bestaande library/implementatie verkeerd gebruiken; laat staan dat ze zélf een fatsoenlijk algoritme kunnen bedenken dat een beetje bestendig is.
Cryptographic protocols and algorithms are difficult to get right, so do not create your own. Instead, where you can, use protocols and algorithms that are widely-used, heavily analyzed, and accepted as secure. When you must create anything, give the approach wide public review and make sure that professional security analysts examine it for problems. In particular, do not create your own encryption algorithms unless you are an expert in cryptology, know what you're doing, and plan to spend years in professional review of the algorithm. Creating encryption algorithms (that are any good) is a task for experts only.
Kerckhoff's Principle in "jip-en-janneke":
een systeem van versleuteling moet even veilig zijn, zelfs als alles behalve de sleutel over het systeem publiek bekend is.

Kerckhoffs' principe werd anders gesteld (mogelijk onafhankelijk) door Claude Shannon als "de tegenstander kent het systeem". Het wordt als een basisregel gebruikt door specialisten in geheimschrift, in tegenstelling tot "security through obscurity".
En dat laatste, security through obscurity, is nou precies wat jij voorstelt.
Security through obscurity is een beginsel uit de beveiliging. Men beoogt daarmee beveiligingsrisico's te beperken door (de werking van) beveiligingsmaatregelen geheim te houden. De achterliggende gedachte is, dat als het beveiligingsmechanisme niet bekend is, de beveiliging moeilijk door derden kan worden doorbroken.

In de praktijk lekken de geheimen over de beveiligingstechniek op een gegeven moment toch uit, bijvoorbeeld doordat individuen onzorgvuldig met de geheimen omgaan of bewust proberen het systeem te kraken.
Koeiepoep dus.
A common mistake made by amateur cryptographers is the assumption that because the method is secret, the cipher is secure. This is not usually true. Many "home grown" encryption algorithms reveal the key quite easily
Anyone who thinks they have devised an unbreakable encryption scheme either is an incredibly rare genius or is naive and inexperienced. Unfortunately, I sometimes have to deal with would-be cryptographers who want to make "improvements" to PGP by adding encryption algorithms of their own design.

I remember a conversation in 1991 with Brian Snow, a highly placed senior cryptographer with the NSA. He said he would never trust an encryption algorithm designed by someone who had not "earned their bones" by first spending a lot of time cracking codes. That made a lot of sense. I observed that practically no one in the commercial world of cryptography qualifies under this criterion. "Yes," he said with a self-assured smile, "And that makes our job at NSA so much easier." A chilling thought. I didn't qualify either.
Preventing cryptographic flaws takes careful planning. The most common problems are:
  • Not encrypting sensitive data
  • Using home grown algorithms
  • Insecure use of strong algorithms
Unfortunately, in the world of cryptography, different is bad. Cryptography is at its best when it is conservative, and the conservative approach is to choose an algorithm that has already been analyzed. The admonition not to put all your eggs in one basket does not apply in this case. The security of a system is the security of its weakest component, since the weakest component breaks the entire system. In cryptography, there is security in following the crowd. A home-grown algorithm can't possibly be subjected to the hundreds of thousands of hours of analysis that DES and triple-DES have been subjected to. A company just can't mobilize the resources that are being brought to bear against the AES candidates, or the IPSec Internet security protocol. No one can duplicate the confidence that RSA offers after 20 years of cryptanalytic review. A standard security review, even by competent cryptographers, can only prove insecurity; it can never prove security. By following the pack you can leverage the cryptanalytic expertise of the worldwide community, not just a handful of hours of a consultant's time.
Cryptography is hard, and the odds that a home-brew encryption product is better than a well-studied open-source tool is slight. Last fall, Matt Blaze said to me that he thought that the Snowden documents will usher in a new dark age of cryptography, as people abandon good algorithms and software for snake oil of their own devising.
Almost every programmer has at some point in their career tried to write their own cryptographic algorithms. While the computations used to create the resulting encrypted output may be complicated and seem rock solid, usually custom cryptographic algorithms end up falling for one or more classic crypto pitfalls.
[...]
These are just some of the problems that come up time and time again when someone creates their own cryptographic algorithms. If you want to securely encrypt data, you should use any of the freely available systems
Having said all that: ik zou er niet raar van staan kijken als je "uitdaging" helemaal niets encrypted is maar gewoon "met je ellebogen op je toetsenbord hebt geramd" (bij wijze van). Zeg eens? Eerlijk? Amiright? ;)

[Reactie gewijzigd door RobIII op 29 december 2014 12:29]

willekeurige stukjes quoten waarin een willekeurig iemand "nee" zegt is geen tegenargument wanneer jouw "veel gebruikte", "superveilig bewezen product" duidelijk faalt, zie nieuwstopic
nog wel doordat de werking EN aanpak bekend zijn

het simpele feit dat raden wat iets is terwijl het uniek en onmogelijk toe te relateren is, ten opzichte van massaproducten die zichzelf bewijzen op verschillende punten te breken (kijk nieuws topic) of juist (nog) niet maar de analist/hacker alvast de software en alle gegevens alvast in handen geeft, is geen rocketscience

omdat mensen zoals jij niet verstandelijk capabel zijn om iets in bepaalde mate onherkenbaar en niet-terug-te-lijden te maken betekend dat niet dat het principe niet geldt

elke analist, of denker überhaupt, die met welk type data dan ook werkt om welke conclusie dan ook te trekken,
weet dat hoe meer er bekend is, hoe beter er te voorspellen is of een manier van aanpakken af te lijden is

hoe beter er te voorspellen is, hoe dichter je komt bij het raden van een uitkomst
namelijk des te meer pointers/hints je hebt


moeilijk he? zelf over een principe nadenken?
of jij het waar kunt maken is een tweede...
en elke kleuter zal herkennen dat het een sequence aan "randomly" typed keystrokes zijn
in het voorbeeld wat ik geef
nogmaals, het principe is dat je totaal niets om handen hebt om te beginnen te beredeneren hoe het tot stand is gekomen wanneer het werkelijk encrypted data zou zijn

we kunnen hier lang en uitgebreid gaan babbelen over hoe je het voorbeeld kunt gaan aanpakken door er bijvoorbeeld blokken in te gaan herkennen, patronen van herhaling of juist unieke stukken
maar daar mee sla je het punt nog verder mis

lees het vetgedrukte nog maar een keer en gebruik je eigen verstand om het simpele principe te zien in plaats van je "goeroes" te aanbidden en te misbruiken als ticklefeather om je eigen ego te strelen
public opinion na-brallen kan iedereen, zelf er over nadenken valt blijkbaar zwaarder

zal ik anders onder het idee van een proof of concept anders maar een echt voorbeeld geven?
mag jij vervolgens laten zien hoe geschoold jij bent

ik zal deze reply zo er mee aanvullen wanneer ik wat in elkaar getikt heb

d6e2f32e2c60aa1531f54356269d7d4ef7f151555bbe91190e7b8791f3ea2389be96e9a2e24e74efd7e04974630a7c8090b311690876ec385c1e1ff57564fd5a6567758d32787558671409fd5c9d1c651a280169e67facc626eaa27a45422a79f396e56db528dfee8d4bc4f1753ab65d9624f8db024a3b6f59ba7a4d90114f3f6854bd3e773b37d55b0618a805b5a600f3a576

have fun guessing
als je je niet "gemotiveerd" genoeg voelt:
deep deep down that rabbithole of obscurity, ligt het bewijs van je eigen falen die je vervolgens mag weerleggen

hint:
de originele sleutel heeft een lengte van slechts 16 bytes
"provemewrongsnob"

[Reactie gewijzigd door 500749 op 29 december 2014 14:54]

willekeurige stukjes quoten waarin een willekeurig iemand "nee" zegt is geen tegenargument wanneer jouw "veel gebruikte", "superveilig bewezen product" duidelijk faalt, zie nieuwstopic
Het nieuwsbericht bewijst helemaal NADA en ik haal geen "willekeurige iemanden" aan maar gerespecteerde security experts / cryptografen. Dat jij ze niet kent zegt al wel wat...
nog wel doordat de werking EN aanpak bekend zijn
Aanpak :? Wat heeft dat er mee te maken? Wat versta je er überhaupt onder?

Ja, er zijn in 't verleden cryptografische methoden 'lek' gebleken (soms door side-channel attacks, soms door gewoon domme fouten) maar 9 v.d. 10 keer is 't degene die het implementeert die fout is (en dus de implementatie verkeerd/half/niet goed doet).
omdat mensen zoals jij niet verstandelijk capabel zijn om iets in bepaalde mate onherkenbaar en niet-terug-te-lijden te maken betekend dat niet dat het principe niet geldt
Wat heeft dat met mij te maken? Waar heb ik beweerd dat ik een kenner / expert ben op dit gebied :? En daarbij; trust me: ik flans in 5 minuten een "encryptie" in elkaar waar jij je tanden op stuk bijt. Maar een cryptograaf/cryptoanalyst zal zich er een breuk om lachen ;)
elke analist, of denker überhaupt, die met welk type data dan ook werkt om welke conclusie dan ook te trekken,
weet dat hoe meer er bekend is, hoe beter er te voorspellen is of een manier van aanpakken af te lijden is
offtopic:
Ik zie je nu al 2 keer lijden schrijven waar je (af)leiden bedoelt....
moeilijk he? zelf over een principe nadenken?
Moeilijk he, de waarheid horen van mensen die weten waar ze 't over hebben (en dan doel ik niet (specifiek) op mij maar op de vele bronnen die ik aanhaal.
of jij het waar kunt maken is een tweede...
Nogmaals: waar heb ik dat beweerd :?
en elke kleuter zal herkennen dat het een sequence aan "randomly" typed keystrokes zijn in het voorbeeld wat ik geef
No shit :')
nogmaals, het principe is dat je totaal niets om handen hebt om te beginnen te beredeneren hoe het tot stand is gekomen wanneer het werkelijk encrypted data zou zijn
En nogmaals: in het verleden is keer-op-keer gebleken dat, ondanks dat de data er 'willekeurig' uit ziet, home-grown implementaties die niet peer-reviewed zijn (door experts, niet de 1337-hackz0r buurjongen) en wiskundig bewezen zijn, stuk-voor-stuk falen op den duur. Enigma anyone?
we kunnen hier lang en uitgebreid gaan babbelen
Maar dat ga ik niet doen ;) Ik ben er klaar mee. Ik heb wel eens tegen een muur gepraat die zinniger antwoorden gaf ;) Ik heb geen zin die betonplaat voor je hoofd weg te moeten bikken ;) Dat laat ik over aan iemand met meer energie :Y)
zal ik anders onder het idee van een proof of concept anders maar een echt voorbeeld geven?
mag jij vervolgens laten zien hoe geschoold jij bent
*sigh* Again: waar heb ik dat beweerd? Maar goed, wonderboy, bijt jij je tanden maar eens stuk op deze dan:
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
:+
Ik kan je vast vertellen dat een beetje crypto-analyst hier in 5 minuten mee klaar is, tops.

:w

[Reactie gewijzigd door RobIII op 29 december 2014 15:04]

je mist nog steeds het punt en levert geen bewijs van onjuistheid

daar naast is jouw voorbeeld, wanneer we het hebben over data die verzonden word tussen A en B over een zgn. "veilige verbinding", vatbaar voor MITM en je data zoals het nieuws topic impliceert sowieso inzichtelijk
terwijl dat in mijn geval niet zo is

je mag nog steeds bewijzen dat obscurity waardeloos onveilig is

[Reactie gewijzigd door 500749 op 29 december 2014 15:12]

en levert geen bewijs van onjuistheid
Daar heb ik ook geen behoefte aan; de cryptografische wereld staat aan mijn zijde en daar heb ik vrede genoeg mee :Y) :w

[Reactie gewijzigd door RobIII op 29 december 2014 15:24]

holy crap... zo eigenwijs als stealthy kom je ze maar zelden tegen. 8)7
Ik schrok een beetje bij het lezen van de titel, maar dit zijn dus geen lekken in de protocols (met uitzondering van ptpp natuurlijk) maar gewoon slechte beveiliging/wachtwoorden.

Zolang je gewoon een sterk wachtwoord (of beter: SSH keys/certificaten) gebruikt en zorgt dat deze alleen door jezelf te bekijken zijn (ik zou ze dus niet in Dropbox etc zetten) is er weinig aan de hand.

En door het gebruik van bijvoorbeeld fail2ban kan de kans op een succesvolle bruteforce een heel stuk omlaag gehaald worden.

[Reactie gewijzigd door Naxiz op 28 december 2014 21:50]

Gelukkig iemand die zich heeft ingelezen alvorens de (fitst)post te plaatsen.. Bespaart mij veel werk/tijd, en daarvoor zit ik op T-net...
Je opmerking : 'En door het gebruik van bijvoorbeeld fail2ban kan de kans op een succesvolle bruteforce een heel stuk omlaag gehaald worden.' raakt bij mij wat snaren..
Wel K'T-protocol staat in hemelsnaam nog brute-force toe.. Meerdere pogingen in korte tijd door één gebruiker, of van één IP, etc... Die ongein kon ik TIEN jaar geleden al 'blokkeren' op mijn ADSL-modem. Door simpel in te stellen MAX-try-outs.. en Delay-seconds.. Maar nu niet meer (UPC-modem)!!
Op z'n Jip+Jannekes: ome Kees wil op mijn wifi-netwerk, maar weet het wachtwoord niet meer precies... Op mijn oude modem kon hij het 2x proberen, en daarna lag hij (zijn ip of mac) er een half uur uit.. Hufterproof tegen bruteforce. Deze simpele 'anti-hufter'-optie ben ik al jaren niet meer tegengekomen en lijkt mij de simpelste oplossing tegen BF-aanvallen.
UPC lijkt me nu ook niet de meest betrouwbare partner in 'onze' strijd tegen overheidssurveillance en andere digitale inbrekers.
akooijman, UPC is (helaas) ook aan handen en voeten gebonden door de wet (Fredje T) én onwetende gebruikers.
Met name het laatste punt (onwetende gebruikers) zal/kan/zou mogelijk voor UPC (en vele andere providers!!) een aanleiding kunnen zijn geweest om veel opties uit hun modem-software te slopen.. Ik keur het niet goed, maar ik moet er wél mee werken.. OOK met alle familie-leden en aanhang die mij weten te vinden als 'het niet werkt', meestal omdat ze een instelling waar ze gewoon af moeten blijven hebben vernaggeld.
Als ik de provider/helpdesk was sloopte ik die opties er óók uit, maar ik ben dan ook geen professional..
Dat, enorme rekenkracht, best wat storage én toegang tot kritische punten in het wereldwijde netwerk om data effectief te kunnen afluisteren.
Mij lijkt het dat ze dus selectief moeten aanvallen en ontsleutelen. Slecht opgezette beveiliging, zoals slecht gekozen keys of zwakke protocollen helpen hen zeker, maar omgekeerd zal sterkere beveiliging hen niet stoppen om meer resources in te zetten om hun kansen te vergroten. In de praktijk lijkt me dat je véél moeite zal moeten om hen af te houden eenmaal de interesse gewekt.
Geen interesse wekken dus ;) :X
Klopt, maar het zal ze zeker heel wat tijd kosten (afhankelijk van de cipher, key size etc natuurlijk). Als je dus niet wil dat je data bekeken kan worden door de NSA kan je dus gewoon je keys elke paar dagen/weken/maanden/jaren vernieuwen en kunnen ze weer opnieuw beginnen. Dit gebeurt o.a. ook met SSL certificaten. :)

Of bedrijven dit ook echt doen is natuurlijk weer een ander verhaal.

[Reactie gewijzigd door Naxiz op 28 december 2014 22:06]

Als je dus niet wil dat je data bekeken kan worden door de NSA kan je dus gewoon je keys elke paar dagen/weken/maanden/jaren vernieuwen

Op zich natuurlijk niets mis met je advies, maar we moeten niet vergeten dat de kans dat jij afgeluisterd wordt door de NSA nog altijd kleiner is dan de kans dat je door de Nederlandse overheid afgeluisterd wordt O-)

En die kans is weer veel kleiner dan dat je door een 'gewone' crimineel aangevallen wordt.

Ik zeg dat niet als flauwe sneer, maar om enige nuance aan te brengen. Ik ben bijvoorbeeld niet bang dat de NSA/overheid mijn bankgegevens inziet. Als ze die willen krijgt men ze namelijk veel makkelijker op andere wijze. _/-\o_

Idem bij dit uit het artikel:

De geheime dienst beschouwt versleuteling overduidelijk als een bedreiging, zo blijkt uit documenten.

Uit de documenten blijkt dat de NSA twee petten op heeft. Enerzijds wil men zélf kunnen hacken, maar tegelijk wil men dat het buitenland niet kan hacken bij de eigen overheid. Men vergeet immers wel eens dat de eigen overheid ook bij de NSA aanklopt voor advies.

De 'backdoors' die aangelegd worden zijn dan ook tot nu toe heel specifieke backdoors die het karakter van een sleutel hebben, maar geen inherente onveiligheid in protocollen.

Om die reden ben ik dus ook niet verbaasd over dit artikel waar men vooral implementaties en zwakke wachtwoorden gebruikt. Lavabit (Snowden's provider) toont bijvoorbeeld aan dat standaard SSL/TLS met AES onkraakbaar was voor zelfs de NSA.

Goede encryptie met goede wachtwoorden werkt gelukkig, ook aldus Snowden.
Of de kans kleiner is eigenlijk niet van belang. Wacht maar totdat je een keer bent afgeluisterd en een huiszoeking heb gehad. Alles wordt nagecheckt en bij alles zullen vraagtekens gezet worden. De mensen die je controleren willen je hoe dan ook pakken. Ja, je komt er hoogstwaarschijnlijk mee weg omdat het juridisch weinig stand houdt maar je zal zo'n ervaring nooit meer vergeten.
Wat denk jij dat je moet doen voor zo iets gebeurd? Ze komen echt niet zomaar even naar je huis de boel overhoop halen hoor. Daar gaan eerst wat weken, maanden of soms zelfs jaren overheen.

En waar was je dan van plan mee weg te komen dan? :+
Dus je wilt zeggen dat iedere huiszoeking bij een schuldige gebeurd?
Dat gebeurd namelijk net zo goed bij onschuldige. Bijvoorbeeld na een ongelukkige combinatie van zoektermen op google.
Ik tik al jarenlang af en toe een google search in waarvan ik hoop dat ze voor mijn deur staan. Wanneer ze komen is nog niet bekend.
Dan ben ik benieuwd wat voor een combinatie jij in gedachten hebt? Wat ik denk dat jij heel wat dingen moet opzoeken en dan ook hele specifieke dingen, voor ze bij je aan de deur staan.
Of de kans kleiner is eigenlijk niet van belang

Mijn punt is meer dat je je aandacht en investeringen in tijd en geld moet afwegen tegen het risico. Heel veel moeite doen om je als gewone NLse burger te beschermen tegen de NSA is dan minder efficient. Beter een deel (!) van die aandacht verplaatsen naar beveiligingen tegen zaken die je meer waarschijnlijker zullen raken.

Voorbeeld: met chatten vind ik gewone encryptie genoeg. Dat de overheid theoretisch bij de chatmachine kan inbreken en mijn "Gelukkig Nieuwjaar' chats kan lezen is een risico dat ik dan voor lief neem. Wél heb ik alle machines in mijn huishouden geupgrade a 100 europ per stuk naar Windows Professional zodat ik Bitlocker encryptie kan toepassen zodat een hypothetische gewone inbreker mijn data niet kan inzien.

Zo moet iedereen een eigen afweging maken, maar dus wel met oog voor risico.

Momenteel als je op tweakers.net leest lijkt het erop dat Het Grote Gevaar van de NSA komt, terwijl ik minstens twee andere partijen kan bedenken die een groter risico vormen voor de gemiddelde Nederlander.
Dat ben ik helemaal met je eens maar zo ga je voorbij het punt dat dit soort praktijken uitermate slecht zijn voor de rechtsstaat en de mensenrechten in het algemeen. Het feit dat steeds meer tot op de kleinste details opgeslagen wordt op het web en dat deze informatie voor iedereen met genoeg macht voor het grijpen ligt is bijzonder gevaarlijk. Je kan immers iedereen monddood maken op deze wijze. En als iemand op wonderlijke wijze schoon blijkt te zijn dan is er altijd nog iemand in zijn omgeving zijn die gepakt kan worden.

En daar ligt het daadwerkelijke probleem, men neemt de situatie voor lief en denkt dat het aan zichzelf is om zich te verdedigen tegen het collectief dat ze ironisch genoeg zelf steunen.
Laten we het omkeren.

De kans dat de nationale NSA in een land alles van je heeft is 100% natuurlijk.
Dat is ook niet de issue.

Waar het om gaat is dat de CIA het niet te pakken krijgt om door te brieven aan hun bedrijfsleven, en hun bedrijven een oneerlijke informatievoorsprong geeft, laat staan google. Alleen google stoppen is al ingewikkeld genoeg - want die hebben militaire scanners alleen al staan op hun streetview auto's. Dus alles wat wireless of via internet valt te hacken - dat hacken ze al.
Maar geen interesse wekken is dus lastig als je bijvoorbeeld de Griekse overheid bent. Of de Nederlandse overheid.
Het is denk ik ook een beetje dit. Je kunt je nog zo goed je best doen, maar uiteindelijk is 99% van de gebruikers ook maar leek die wellicht een paar uren heeft besteed aan het inlezen over protocollen, om dan te denken dat je 'op kan' tegen een organisatie die praktisch ongelimiteerde rekenkracht, kennis en geld tot haar beschikking heeft en die eigenlijk ook boven de wet staat... Mij lijkt het optimistisch, hoewel ik dat verder niet kan onderbouwen. Niemand gaat natuurlijk 10 man full time met 9001 teraflops rekenkracht zetten op gekke henkie die een keer gegoogled heeft waar je wiet kan kopen, maar als 'ze' echt denken dat je iets snoods in de zin hebt dan denk ik niet dat je privacy gewaarborgd kan zijn.

Ik lees dit nu terug en het klinkt heel erg aluhoedje, maar als we 1 ding geleerd hebben van de Snowden/Assange leaks is het wel dat wat 10 jaar geleden echt als absurd en onmogelijk werd bestempeld nu de werkelijkheid is.
Je hebt gelijk, maar de motor achter het terugwinnen van privacy zit hem juist in het kostenplaatje. Hopelijk komt het toch een keer zover dat datagrabben en uitkristalliseren zo duur gaat worden (omdat iedereen geavanceerde beveiligingen gaat gebruiken) dat zulke diensten uiteindelijk weer terug moeten naar de 'normale' gang van zaken. Een verdachte persoon tracen en niet zomaar jan en alleman. Onze hoop ligt in het feit dat het een onmogelijke opgave, of in ieder geval, een niet langer verdedigbare onkostenpost wordt dat overheden besluiten om hier uiteindelijk mee te stoppen.
Precies, ik dacht gelijk dat het ging om OpenVPN verbindingen, maar dat lijkt gelukkig nog niet gekraakt.
Dat het niet expliciet genoemd wordt betekend niet dat de NSA het niet kan kraken. Zolang het huidige OpenVPN core team patches in de ijskast zet omdat het de betreffende (oude) OpenVPN code zelf niet begrijpt heb ik er in elk geval niet zo heel veel vertrouwen in.
Het betekenT ook niet dat het wél kan. Ik heb er iig vertrouwen in dat het nog niet gekraakt kan worden :)
In elk geval maakt juist dit soort akties door overheden het internet niet veiliger maar juist onveiliger. Want hackers die kwaad willen zullen vaker gebruik gaan maken van de backdoors / technieken die onder het NSA regime zijn ontwikkeld. Dit schaadt software bedrijven niet alleen in de VS maar ook in de landen waarin er een AIVD bijv is die verregaand samenwerkt met de NSA. Werken in de cloud met KPN ?? ik dacht toch maar van niet.

Een rechtstaat kent namelijk wel een onderscheid tov een surveillance belastingstaat. Dat je in eerste instantie onschuldig wordt geacht en dat schuld redelijkerwijs bewezen moet worden met bewijs dat door derden geverifieerd kan worden.

Afgezien van het feit dat in Nederland de politiek en dus ook de overheid (die zo op tweakers verheerlijkt wordt) zich zelden zelf iets gelegen laat om zelf de grondwet na te leven die zij wel oplegd aan de individuele burger. Heb ik niet veel vertrouwen meer in overheid / de politiek.
Is het je nooit opgevallen dat informatie die de nationale NSA heeft, dat die NOOIT in rechtszaken gebruikt wordt?

Simpelweg daar ze alles hebben natuurlijk. Dat is ook niet de issue. Kwalijk is als buitenlandse inlichtingendiensten dat gebruiken voor hun bedrijfdsleven.
Dat kun je niet zeker weten. Iets wat wordt gepresenteerd als een "anonieme tip", "gut feeling van een agent", etc. kan natuurlijk best gebaseerd zijn op informatie die indirect bij de NSA vandaan komt.
Precies, ik dacht gelijk dat het ging om OpenVPN verbindingen, maar dat lijkt gelukkig nog niet gekraakt.
Weet niet waar jij dat denkt te lezen want in het artikel staat: "Het is overigens onduidelijk hoe het zit met verbindingen die via OpenVPN verlopen." In de vrijgegeven documenten wordt niet gesproken over openvpn.
Ik heb bij mij 1password op laptop en telefoon die gezamenlijk een db onderhouden in Dropbox.
Uiteraard versleutelt.
Let op zie de video's van Kevin Mitnick, 1Password en Lastpass zijn absoluut niet veilig als men Admin rechten krijgt over je computer.
als men Admin rechten krijgt over je computer
Als men admin rechten heeft op je machine is het sowieso game over. Er is dan letterlijk niets wat je op die machine kunt doen dat nog veilig is, al was het maar omdat ze alle input en output zouden kunnen opnemen en opslaan.
Raymond Chen heeft daar een mooie uitdrukking voor: "It rather involved being on the other side of this airtight hatchway" ;)

[Reactie gewijzigd door RobIII op 28 december 2014 23:42]

Daardoor heb ik mijn laptop altijd bij me, laat ik nooit achter, en sowieso beveiligd met een firmware wachtwoord (MacBook Air).
En mijn telefoon, altijd gelockt. Tevens met een extra lock op 1password.
Inderdaad Dropbox :'). Nog wat punten waarom je dat niet moet doen. Dropbox staat in het lijstje van bedrijven die onder surveillance staan bij de NSA aldus Snowden. Wat nog verder in het nadeel spreekt van Dropbox is dat men anti-privacy voorstander mevrouw Rice heeft laten toetreden tot de raad van bestuur.

Links:
http://boingboing.net/201...ropbox-is-an-nsa-sur.html
http://www.techtimes.com/...a-rice-edward-snowden.htm

[Reactie gewijzigd door ChicaneBT op 28 december 2014 22:03]

Inderdaad Dropbox :'). Nog wat punten waarom je dat niet moet doen. Dropbox staat in het lijstje van bedrijven die onder surveillance staan bij de NSA aldus Snowden.
Elk Amerikaans bedrijf is per definitie onbetrouwbaar, net als alle Russische en Chinese bedrijven dat zijn.

Hoe "schokkend" de Snowden documenten misschien ook lijken, het is maar het topje van de ijsberg. De digitale wapenwedloop is al jaren aan de gang.
Inderdaad, niets aan de hand.

Zolang je maar gewoon sterke keys gebruikt voor je encryptie kan je niets gebeuren. Dat dat hoe dan ook vaak genoeg gewoon niet gebeurd, is geen geheim en het is dus dan ook geen grote schok dat dat soort verbindingen makkelijk te kraken zijn, zo ook door de NSA.
Je moet de nationale NSA die toegang overal toe heeft niet verwarren met wat bedrijven en consultants.

Als de NSA ergens niet in kan, dan sturen ze wel een team fysiek op je huis af - zo uniek is de situatie namelijk dan als ze een woonhuis niet binnen kunnen komen.

Dat is natuurlijk ook hun functieomschrijving.

Heel anders is het als een CIA team in het buitenland aan de gang gaat enkel ter verrijking van het Amerikaans bedrijfdsleven.

In de nieuwsberichten wordt dit onderscheid nooit gemaakt - wat heel jammerlijk is - altijd wordt het woord 'nsa' te pas en te onpas gebruikt.
het is ook niet altijd nodig om de protocollen te kraken of de data te decrypten. Vaak is het veel makkelijker om het versturende of ontvangende device te targetten.

Het blijft een cliché dat keer op keer wordt bevestigd: de ketting is maar zo sterk als de zwakste schakel. Daarom dat het pas bij heel consequent toegepaste security-maatregelen moeilijk is om zoals gezegd iemand te volgen (that is: digitaal). Als je zo'n maatregelen tegen komt als overheidsdienst, dan moeten er al een hoop rode lichtjes beginnen branden, als die al niet stonden te flikkeren, want dan wéét je dat die specifiek tegen jou worden gebruikt
Is er "weinig" aan de hand? Beter om te zeggen: er is "minder" aan de hand. Schijnveiligheid.

Het zou zomaar kunnen dat ze juist die mensen zoeken met sterke wachtwoorden.
Immers de NSA is de meest fascistische instelling die de mensheid ooit heeft gekend. Massale spionage op de gewone burger. Waarom? Omdat WIJ de macht hebben. Helaas geven wij die massaal uit handen. Zij lachen zich mateloos omdat wij niet willen nadenken over ons bestaansrecht en als stomme slaven door het leven rennen.
Wat veranderd er op het moment dat een wij persoon een zij wordt?
>Waarom? Omdat WIJ de macht hebben.

Droom lekker verder...

1: Er zijn maar 2 landen ter wereld waar een echte democratie heerst en je dus enigzins kan spreken van de burger aan de macht.

2: In een democratisch gekozen parlementair geregeerd land als Nederland is het de coalitie die de politieke macht heeft, icm hun verbindingen met corporaties. Niet de burger.

3: Je weet vooraf niet of iemand een sterk of zwak wachtwoord heeft. De NSA gaat niet af op deze eigenschap.

4: Je kletst uit je nek.
2: In een democratisch gekozen parlementair geregeerd land als Nederland is het de coalitie die de politieke macht heeft, icm hun verbindingen met corporaties. Niet de burger.
Niet helemaal waar. Geen enkele burger heeft de eerste kamer gekozen, dat doen de leden van de provinciale staten. De eerste kamer kan de tweede kamer terugfluiten of het kabinet door hun acties doen vallen.. En het staatshoofd heeft ook niemand gekozen en hij heeft best nog wel veel macht.
Welke twee landen zijn dat volgens jou? Ik kan me Zwitserland voorstellen, maar verder...
Op het moment dat je (ssh of anderszinds) private keys op dropbox zet verdien je het ook wel 8)7
Ik vraag mij af hoeveel zwakke debian ssh keys er nog rondhangen (https://www.debian.org/security/2008/dsa-1571).
Als het certificaat ooit per mail verstuurd is, zouden ze ook al bij kunnen. Het is dus niet zo vanzelfsprekend om dit 100% veilig te houden. En als men echt wil, is het niet veel moeite meer om even een computertje te hacken voor eens te zoeken naar wachtwoorden en certificaten.
De NSA is best goed op het gebied van hacken. Maar dit staat er toch wel een beetje raar als ik het zo lees:
Dat blijkt uit nieuwe gelekte documenten.
Beveiliging zijn ze dan niet zo goed in, als het "gelekt" is.

[Reactie gewijzigd door AnonymousWP op 28 december 2014 21:48]

DIt is nog steeds van Snowden. Volgens mij klopt die zijn dus ook eigenlijk niet want de documenten zijn niet nieuw, of onlangs gelekt. Er wordt nog steeds door die enorme berg aan documenten geplozen van Snowden.
Word hij daardoor niet strafbaar? Omdat hij de bestanden van de NSA lekt? Want als je iemand zijn computer hacked, en je dan al zijn bestanden op internet zet. Dat mag dan toch ook niet lijkt mij?
Word hij daardoor niet strafbaar? Omdat hij de bestanden van de NSA lekt? Want als je iemand zijn computer hacked, en je dan al zijn bestanden op internet zet. Dat mag dan toch ook niet lijkt mij?
* confirmed ..... Héle grote steen :|

Sorry hoor, "maar je komt best een beetje dom over", zou Hkh. Maxima gezegd hebben
Zoals ik zei tegen een andere Tweaker: "Ik heb het zeer zeker wel gevolgt.
Ik wist natuurlijk wel dat hij dingen over de NSA uitlekte. Ik wist alleen niet dat hij zich schuil houdt in Rusland."

Ik vind het alleen een beetje raar dat je het doet overkomen alsof ik dom ben. Volgens mij hoef je niet ALLES te weten om een Tweaker account te hebben. Niemand weet alles, en iedereen kan nog leren.

[Reactie gewijzigd door AnonymousWP op 29 december 2014 11:03]

Het is regelmatig in het nieuws. En dan bedoel ik niet enkel op Tweakers maar ook op het NOS/RTL journaal. Als je dan ook nog claimt het "gevolgt" ze hebben (wat dus insinueert dat je beter op de hoogte bent dan iemand die wel eens het nieuws ziet) én je voert het Anon logo....

Niemand weet alles maar ik ben benieuwd welk woord jij dan kiest voor deze gigantische flater?
Steen? ROTS! En dat met een Anonymous logo. Die zou toch beter op de hoogte moeten zijn ;)
*guy fawkes masker.... (V for Vendetta film)
Hij zit niet voor niets in Rusland :)
Dan lijkt het me dat ook hij achterhaald word, van waar hij zich schuil houdt. Dan word hij denk ik uitgeleverd aan Amerika.
|:( waarom denk je dat ie een visum heeft in rusland. Ik denk dat je het nieuw niet gevolgd hebt over mnr snowden.
Ik heb het zeer zeker wel gevolgt.
Ik wist natuurlijk wel dat hij dingen over de NSA uitlekte. Ik wist alleen niet dat hij zich schuil houdt in Rusland.
Altijd nog beter als 35 jaar lang op een betonnen vloer slapen net zoals Manning.
De NSA is best goed op het gebied van hacken. Maar dit staat er toch wel een beetje raar als ik het zo lees:
[...]
Beveiliging zijn ze dan niet zo goed in, als het "gelekt" is.
Klein steentje, waar je onder gelegen hebt ?
http://www.theguardian.com/us-news/the-nsa-files
Voor HTTPS moeten mensen eens kijken naar squid in combo met ssl bumping. Als je dit combineert met /32 route redirection heb je leuke speeltjes in hand zeker als je de CA architectuur nabouwt. Heb je een niet van werkelijk onder te scheiden Internet sandbox gecreëerd.

[Reactie gewijzigd door analog_ op 28 december 2014 23:27]

Daar heb je exact de zwakke schakel van HTTPS te pakken. Een man in the middle attack en de computer van het slachtoffer laten denken dat het certificaat echt is door de CA authoriteit te faken. Het slachtoffer ziet een slotje en de balk is groen. Meer kun je van iemand niet verwachten maar je bankrekening kan wel leeg zijn.

Als er niet snel oplossingen gaan komen uit de industrie komen gaan we als consument de strijd verliezen als het al niet te laat is.
Dit is niet op te lossen zelfs DNSSEC kan je om de te tuin leiden in je MITM. Ook leuk om te weten is dat bepaalde IP blokken zoals die van NK, carrier grade nat of de unassigned 1.1.1.0/24 bijvoorbeeld regelmatig her en der ook worden gebruikt. Als je dat concept verder door trekt zou je de IPv4 adresseren kunnen virtualiseren afhankelijk van de source (zeg maar source policy based destination NAT). Dan begint de fun pas: who do you think you trust?

[Reactie gewijzigd door analog_ op 29 december 2014 19:00]

Moet je dan alsnog niet de nieuwe (valse) certificaten eerst vertrouwen of een echte CA hebben die wilt meewerken en certificaten voor jouw bekende domeinen in jouw "experiment" uitschrijft ?
Een overheids instantie zou geen moeite hebben een dergelijk certificaat op te eisen lijkt me of forceren een zwakkere methode (wat al gebeurt is in crypto stds) ben er nog niet 100% uit want dit is puur verkennend werk tot nu toe. Mogelijk ben ik ook mis, maar dan weten we dat ook weer :)

[Reactie gewijzigd door analog_ op 29 december 2014 19:00]

Nee je hebt inderdaad maar 1 meewerkende CA nodig. Er is al iets gelijkaardigs per ongeluk gebeurd trouwens, VeriSign heeft zo ooit een Microsoft certificaat uitgeschreven aan een andere. 8)7
ach ja, NSA laat teminste zien waarmee ze bezig zijn toch? Denk dat elk land wel een NSA achtige dienst heeft op het cybergebied.
:')

De NSA laat niets zien, dit nieuws (en alle nieuws omtrent dit soort zaken en de NSA en consorten de agelopen jaren) heb je allemaal te danken aan Snowden. Ik vind 't ronduit schandelijk dat je hier anno 2014 nog niets over gehoord hebt (klaarblijkelijk), net als AnonymousWP hierboven... :N

Het staat zelfs létterlijk in 't artikel:
Dat maakten journalisten [...] in samenwerking met Der Spiegel bekend [...] op basis van documenten van klokkenluider Edward Snowden

[Reactie gewijzigd door RobIII op 28 december 2014 23:47]

Waar iedereen overheen leest is nog veel erger:
"In veel gevallen is niet het encryptie-algoritme zelf kwetsbaar, maar de implementatie ervan."

Alle commercieel verkrijgbare encryptie software is per definitie lek. De maker kan in de dataload de sleutel verbergen. De luisteraar hoeft alleen maar te weten waar te luisteren voor de juiste bits. Alleen als de code opensource is en door daarna ook nog door jezelf in een binary gecompileerd dan mag je hopen dat een en ander echt veiig is. Alleen als je dan protocol problemen hebt zoals laatst in SSL die iedereen gemist heeft Tja. dan word dat ook lastig. Verder zal je ook nog encryptie wizard moeten zijn om de code goed te kunnen begrijpen.

jm2c
Alleen als de code opensource is en door daarna ook nog door jezelf in een binary gecompileerd dan mag je hopen dat een en ander echt veiig is.

Dit deed me denken aan een stukje van Ken Thompson:

http://cm.bell-labs.com/who/ken/trust.html

Punt is: zelfs als je van de broncode uit vertrekt, en je compileert de code kunnen er vreemde dingen gebeuren. Wat kun je tegenwoordig nog vertrouwen? Als je absoluut zeker wil zijn dat niemand mee kan kijken? Zeg maar, als je leven er van af zou hangen?
Het enige wat Ken Thompson doet met zijn paper is je alert maken van de impliciete vertrouwelingen om je heen. Dus om alles in rekening te brengen en niet enkel de "last-mile".
Aha.. Er wordt dus helemaal niets gekraakt, maar gewoon een SSL man-in-the-middle.

Dat dat gebeurde is geen verrassing, zo lang je er voor zorgt dat je SSL cert trusted is voor een bepaald domein en je toegang hebt tot de DNS of er voor kunt gaan zitten kun je je eigen SSL proxy er tussen proppen zonder dat het opgemerkt wordt. Dit is niets nieuws en niets NSA specifieks.

Het is dus geen lek in SSL oid, maar eerder dat de NSA optreed als proxy die SSL client naar de server is en SSL server naar de gebruiker.
Als zij dit op grote schaal doen wordt hun systeem ook een optie om te kraken voor bijvoorbeeld andere overheden.

Ik vind dit dus veel zwaarder wegen dan je denkt.
"De geheime dienst beschouwt versleuteling overduidelijk als een bedreiging, zo blijkt uit documenten."

Ja lekker, we moeten hen het zeker nog gemakkelijker maken om ons hele reilen en zeilen te kunnen inzien. Een organisatie die zo achteloos omgaat met de privacy van zo'n beetje iedereen is juist de bedreiging hier, en ik snap echt niet dat de werkwijze van de NSA ongestraft/ongeremd blijft.

[Reactie gewijzigd door David Regeling op 28 december 2014 21:50]

Daar ben ik het volledig met je eens. In Amerika staat ook als ik het goed heb, op BIJNA elke router, malware geïnstalleerd.

Waar is onze privacy, mensen?
Daar ben ik het volledig met je eens. In Amerika staat ook als ik het goed heb, op BIJNA elke router, malware geïnstalleerd.
Bron?
Ik heb het ergens gelezen een half jaar tot een jaar terug op Tweakers. Maar in dit artikel hebben ze het over computers: nieuws: 'NSA infecteert computers op grote schaal met malware'

edit:
ik heb hier iets soortgelijks gevonden:

http://bgr.com/2014/05/13...e-on-servers-and-routers/

[Reactie gewijzigd door AnonymousWP op 28 december 2014 22:06]

Artikel spreekt ook over routerfirmware. Bugs in routerfirmware, nou die zijn er plenty en ze worden erg slecht gedicht door ISP's en door de eigenlijke fabrikanten. Dat is dus een hele makkelijke manier voor dergelijke diensten.
Nee dat werkt anders. Je krijgt je huis-en-tuin router niet op de markt als hij niet simpel remote te hacken valt.
www.wassenaar.org

voor hardware met encryptietoepassingen heeft overheid enorme knuppel om iedereen mee te slaan.
Dit is een verdrag tussen westerse landen tegen de verspreiding van massavernietigingswapens en geavanceerde wapentechnologie, waaronder inderdaad ook encryptie. Het is gericht tegen de export naar niet-deelnemende landen, niet tegen binnenlandse verkoop.

Betekent dit dat alle in NL verkrijgbare routers 'simpel remote te hacken zijn' door geheime diensten? Dat vraag ik me af. Een redelijke high-end modem-router als een Fritzbox is volgens mij redelijk veilig als je goed configureert. Anders zou er ook geen noodzaak zijn voor de politie om zoveel te tappen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True