Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept

Ostif, de organisatie die de audit van de VeraCrypt-encryptiesoftware organiseert, vermoedt dat e-mails over de audit worden onderschept. De berichten komen niet aan en zijn niet terug te vinden in de 'verzonden berichten'-folder.

VeraCrypt fpaOstif schrijft dat het met QuarksLab, de partij die de audit gaat uitvoeren, en de hoofdontwikkelaar van VeraCrypt een e-mailuitwisseling op basis van pgp heeft opgezet. In de over en weer verstuurde e-mails zouden de partijen details van de audit hebben besproken, waaronder kwetsbaarheden, processen en procedures voor het melden van bevindingen. Tot nu toe zouden vier berichten volledig zijn verdwenen die afkomstig waren van verschillende verzenders. Ostif meldt dat het gebruikmaakt van de Google Apps-versie van Gmail voor bedrijven.

De partijen gaan ervan uit dat dit het gevolg is van inmenging door derden. Daarom zouden zij nu overgaan naar een andere manier voor het uitwisselen van versleutelde berichten. Ostif gaat niet in op de manier waarop het bij de conclusie is uitgekomen dat de verdwenen berichten het gevolg zijn van onderschepping.

Op 1 augustus maakte Ostif bekend dat er een audit van de broncode van VeraCrypt zou plaatsvinden. De nodige financiële middelen zijn beschikbaar gesteld door zoekmachine DuckDuckGo en vpn-dienstverlener VikingVPN. Het is de bedoeling dat de resultaten van het onderzoek halverwege september gepresenteerd worden door QuarksLab. Het bedrijf heeft afgesproken om gevonden lekken eerst met de ontwikkelaars van VeraCrypt te delen, zodat deze met een oplossing kunnen komen.

VeraCrypt is software waarmee gebruikers hun harde schijf volledig of gedeeltelijk kunnen versleutelen. Ook biedt de software de mogelijkheid om versleutelde containers aan te maken, die alleen met een wachtwoord toegankelijk zijn en verborgen kunnen worden. VeraCrypt is een fork van TrueCrypt, dat niet meer wordt ontwikkeld. Tweakers besteedde uitgebreid aandacht aan VeraCrypt in de achtergrond over privacytools.

Door Sander van Voorst

Nieuwsredacteur

15-08-2016 • 11:58

81 Linkedin Google+

Reacties (81)

Wijzig sortering
Inmenging van derden lijkt mij onwaarschijnlijk. Dit soort acties, zonder een duidelijk voordeel, zal leiden (leidt) tot ontdekking van de verborgen capaciteit. Beetje zonde van alle effort.

Ik ben ook wel eens een (G)mail kwijtgeraakt. Gestuurd en antwoord op gekregen maar het origineel is spoorloos. En nee, ik heb 'm niet gewist.
Bij bv. IMAP is het toch gewoon je mail cliënt zelf die het bericht in de "Sent Items" map opslaat na het verzenden? Als je via SMTP een mail verzendt dan heeft je SMTP server geen idee van hoe je mailbox eruit ziet, laat staan dat die al via dezelfde dienst loopt.
Dus ik lees dit hier goed.
Een leverancier van encryptie software bespreekt met een partner over de kwetsbaarheden van hun product via mail op een niet in eigen beheerde mailserver zonder encryptie manier. Euhm nogal amateuristisch voor een bedrijf dat zich in de encryptie

Hier is mijn opinie op dit verhaal niet vergeten dat reclame in elke vorm ook reclame is.
Een iets nuchtere kijk op alles is volgens mij het volgende.

Als je als firma een encryptie software op de markt wil brengen mag je je er dus aan verwachten dat op een bepaalt punt iemand op de deur klopt met legale papieren die je in fijne letters uitleggen waarom zij toch toegang moeten hebben ongeacht de encryptie onder het mom van terreur bestrijding.
Dus nu zit je daar met je encryptie die je toch moet zwakker maken omdat je anders te veel heisa krijgt. Dus wat doe je. Je zorgt er voor dat je publiek toegeeft dat gegevens gelekt zijn.
Niet te veel maar juist genoeg. We zeggen publiek dat we kwetsbaarheden aan het bespreken waren en dat er hiervan enkele zijn uitgelekt.

Wat krijg je aan de ene zijde mensen die zeggen, wow een transparant bedrijf die fouten toegeeft. En aan de andere kant geef je te weten dat er verder qua encryptie niets is prijsgegeven.
Want kwetsbaarheden zijn er ten slotte in elke encryptie software maar kunnen vlug gepatched worden dus al bij al is de schade beperkt voor het publieke oog

Toch heb je voor je firma een loophole gemaakt.
Dit wil zeggen dat terwijl de userbase groter wordt er dus kans bestaat dat terroristen ook gebruik maken van je software. En indien je net zoals bij Apple, publiek wordt opgedragen, de encryptie/code te wissen je nu ook publiek neen kan roepen. En dat terwijl artikels als deze terug naar boven komen als de overheid plots geen hulp meer nodig heeft voor de decryptie.
Dus kom je er als encryptie bedrijf relatief ongeschonden er van af.

Dit is zowat wat ik mij kan voorstellen aan dit per ongeluk lekken van info

[Reactie gewijzigd door sleeperzzz op 16 augustus 2016 15:34]

Wellicht moeten ze daar bij Ostif eens in hun concepts folder kijken?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True