'Melding over onderschepte VeraCrypt-mails was een fout'

QuarksLab-ceo Fred Raynal heeft aan Threatpost laten weten dat het plaatsen van een bericht over mogelijk onderschepte e-mails over de VeraCrypt-audit een fout was. Het zou bij de verdwenen e-mails hoogstwaarschijnlijk om een lokaal probleem gaan.

VeraCrypt fpa Raynal legt uit dat er problemen waren met verdwenen e-mails tussen hem en de mensen achter VeraCrypt en Ostif, de organisatie die de audit organiseert. Daarna heeft Ostif-ceo Derek Zimmer een bericht op de site van de organisatie geplaatst. Daarover zegt Raynal dat hij dit niet had moeten doen en dat het probleem aan zijn kant waarschijnlijk zat tussen zijn mailapplicatie en GPGMail, waarmee pgp-e-mails verstuurd kunnen worden.

In het oorspronkelijke bericht claimde Ostif dat de vier verdwenen e-mails erop wezen dat een derde partij deze berichten had onderschept. In deze mails werden details uitgewisseld over de aanstaande audit van de VeraCrypt-encryptiesoftware. Deze wordt uitgevoerd door QuarksLab. Ostif heeft niet gereageerd op verzoeken om een reactie door Threatpost.

De resultaten van de audit zijn in september te verwachten. Het onderzoek strekt zich ook uit over de efi bootloader, volgens VeraCrypt-ontwikkelaar Mounir Idrassi de belangrijkste en kritiekste verbetering van de software ten opzichte van voorganger TrueCrypt. Deze optie stelt gebruikers weer in staat om hun hele harde schijf te versleutelen.

IT-banen

Reacties (37)

The Zep Man

Encryptie
Netwerk en systeembeheer
Security

17 augustus 2016 15:53

In het oorspronkelijke bericht claimde Ostif dat de vier verdwenen e-mails erop wezen dat een derde partij deze berichten had onderschept.

Voordat je dit soort claims gaat maken moet je toch wel erg zeker zijn van je zaak. Daarnaast was er een grote reden voor twijfel: Waarom zou het interessant zijn om deze emailberichten tegen te houden? Zo'n actie zou bijzonder veel tijd en energie kosten (en mogelijk risico's met zich meebrengen voor de aanvallende partij), terwijl er eigenlijk geen baten zijn.

Mijn vermoeden is dat hier meer vanuit emotie dan vanuit reden werd gereageerd. Er zijn vele oorzaken voor waarom een verstuurd emailbericht niet aankomt. Dat ga je stap voor stap voorzichtig diagnosticeren vanaf het begin tot het einde en niet meteen uitgaan van het ergste scenario, waain een derde partij met kwaadaardige bedoelingen de berichten tegengehouden zou hebben.

Iets meer inhoudelijk:

Het onderzoek strekt zich ook uit over de efi bootloader, volgens VeraCrypt-ontwikkelaar Mounir Idrassi de belangrijkste en kritiekste verbetering van de software ten opzichte van voorganger TrueCrypt.

Want? Is er bijvoorbeeld ondersteuning voor vertrouwd opstarten zoals BitLocker en TrustedGRUB2 dat ondersteunen?

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:05]

guillaume @The Zep Man • 17 augustus 2016 16:15

Vrij simpel: met TrueCrypt kon je alleen je systeempartitie versleutelen middels een MBR-loader en was het dus niet mogelijk met een GPT-structuur en EFI. Met de EFI boot loader is VeraCrypt wél weer een fatsoenlijk modern alternatief voor bijv. BitLocker ja.

Dit is wel een leuk staaltje publiciteit voor VeraCrypt. Hoe knullig het ook overkomt, het zegt niets over de software zelf en er wordt natuurlijk flink over geschreven nu.

The Zep Man

Encryptie
Netwerk en systeembeheer
Security

@guillaume • 17 augustus 2016 16:19

Vrij simpel: met TrueCrypt kon je alleen je systeempartitie versleutelen middels een MBR-loader en was het dus niet mogelijk met een GPT-structuur en EFI. Met de EFI boot loader is VeraCrypt wél weer een fatsoenlijk modern alternatief voor bijv. BitLocker ja.

EFI ondersteuning is belangrijk, zeker voor systemen zonder legacy BIOS ondersteuning. Als er echter geen ondersteuning is voor vertrouwd opstarten, dan zal VeraCrypt onveiliger blijven dan boot loaders die dit wel kunnen.

Dit is wel een leuk staaltje publiciteit voor VeraCrypt. Hoe knullig het ook overkomt, het zegt niets over de software zelf en er wordt natuurlijk flink over geschreven nu.

En dit is de reden waarom organisaties die zich half serieus nemen een centraal gezicht hebben naar de buitenwereld om nieuws te verkondigen. Zo heb je een filter waarmee je kan voorkomen je dat elke willekeurige oprisping groot in het nieuws komt.

guillaume @The Zep Man • 17 augustus 2016 16:23

Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken?

Met dat laatste ben ik het helemaal eens, al krijg je dan meestal dat de auteur(s) van die nietszeggende "press release"-achtige berichten er op hun beurt weer niets van snappen en iets heel vaags vertellen, waardoor alle nieuwssites vervolgens gigantisch gaan interpreteren en invullen.

The Zep Man

Encryptie
Netwerk en systeembeheer
Security

@guillaume • 17 augustus 2016 16:42

Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken?

Nee. Vertrouwd opstarten doe je met behulp van een Trusted Platform Module. Tijdens het opstarten laat elk deel van het bootproces de TPM het volgende deel van het bootproces meten voordat het wordt uitgevoerd. De resulterende (correcte) waardes in de TPM's Platform Configuration Registers kunnen vervolgens gebruikt worden door de TPM om in het geheugen een geprepareerde encrypted blob te de decrypten (geladen vanaf het persistente opslaggeheugen). Deze blob bevat een (eventueel encrypted met een wachtwoord) geheim om de encrypted data op het opslagmedium mee te benaderen. Als je iets wijzigt aan het boot proces (evil maid attack), dan zal de computer niet meer opstarten. Je zou dan bijvoorbeeld (bij vorkeur in een veilige omgeving) een recovery key kunnen gebruiken.

Met dat laatste ben ik het helemaal eens, al krijg je dan meestal dat de auteur(s) van die nietszeggende "press release"-achtige berichten er op hun beurt weer niets van snappen en iets heel vaags vertellen, waardoor alle nieuwssites vervolgens gigantisch gaan interpreteren en invullen.

Dus je moet een PR officer hebben die de taal van de mensen binnen het bedrijf spreekt. Het belangrijkste is dat deze rol onzin filtert die de organisatie kan schaden.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:05]

MrFax @The Zep Man • 17 augustus 2016 16:48

Wel een beetje off-topic: Met de meeste losse moederborden kan je Secure Boot gewoon zelf configureren, en kan je "gewoon" self-signed keys/certificates gebruiken. Zeg maar zoals drivers, maar dan specifiek voor de bootloader. Dit geeft dan wel de veiligheid van Secure Boot, zonder de restricties van OS installatie, zolang de self-signed private key maar niet lekt uit EFI.

Het probleem zit het nou bij OEM borden/devices waarbij Secure Boot niet te configureren valt, wat bij Microsoft OEM's meestal het geval is(Die gebruiken een TPM zoals hierboven).

TPM is *geen* standaard onderdeel van Secure Boot, maar een extra veiligheid die er voor zorgt dat de keys in secure boot/TPM enabled devices van Microsoft niet uit kunnen lekken door eigenaars ervan.

Je kan TPM zien als een equivalent van KNOX by Samsung, waar het grote verschil is dat de "Trust" uit KNOX wordt geschrapt zodra je een "custom" iets installeert ipv dat je het gewoon niet kan doen.

Hier is wat informatie over hoe Secure Boot nou werkelijk werkt:

https://wiki.ubuntu.com/SecurityTeam/SecureBoot

[Reactie gewijzigd door MrFax op 23 juli 2024 02:05]

Auredium @guillaume • 17 augustus 2016 16:38

Dat bleek uiteindelijk niet de sleutel te zijn. /m zijn referentie is Security Now podcast van deze week.

Armin

Netwerk en systeembeheer
Security
Encryptie

@guillaume • 17 augustus 2016 19:50

Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken

De sleutel is niet gelekt.

Er werd een metafoor gebruikt alsof er een 'sleutel' gelekt is.

Merk echter wel op dat deze 'sleutel' secure boot niet uitzet. Sterker nog de 'exploit' is het kunnen vervangen van een nieuwe Microsoft bootloader door een oudere (die dus nog steed secure boot protected is), en dan een non-Microsoft OS laden.

Verwijderd @The Zep Man • 17 augustus 2016 17:27

Hoe vreemd!

Doorgaans zegt men dat bedrijven veiligheid niet serieus nemen en te laat mensen waarschuwen. Nu zijn ze dan eens wat te vroeg, en dan is het weer niet goed.

Armin

Netwerk en systeembeheer
Security
Encryptie

@The Zep Man • 17 augustus 2016 19:40

Mijn vermoeden is dat hier meer vanuit emotie dan vanuit reden werd gereageerd.

Mensen die aan dit soort encryptie tools werken zijn dan vaak inherent een beetje paranoide. Goed voor het product, maar soms gebeuren er dan ongelukjes.

dasiro @Armin • 17 augustus 2016 22:34

ff met het schaamrood op de wangen toegeven dat je fout was is beter dan je bedrijf kapot geprocedeerd zien worden door een multinational omdat je geen bewijs kan voorleggen en zij hierdoor grote imagoschade oplopen die ze op jou verhalen.

MuddyMagical 17 augustus 2016 15:44

PICNIC dus. $_/-\o_$

edit: Problem In Chair, Not In Computer.

[Reactie gewijzigd door MuddyMagical op 23 juli 2024 02:05]

RMvanDijk

@MuddyMagical • 17 augustus 2016 16:05

Ik kende hem als PEBCAK, deze is ook leuk

Viince1 @RMvanDijk • 17 augustus 2016 16:34

(OSI) Layer 8 issue.

Kerberos84 @MuddyMagical • 17 augustus 2016 16:04

Wij noemen dit PebKac (Problem Excists Between Keyboard And Chair)

bramseltje @MuddyMagical • 17 augustus 2016 16:48

Of ook wel een ID 10T fout.

tERRiON @MuddyMagical • 17 augustus 2016 19:13

Ik twijfel tussen ESU/ESO, SUE, MIFUIC, OE, PECI en Error 28.

ESU/ESO: Equipment Superior to User/Operator
SUE: Stupid User Error
MIFUIC: Machine is fine, user is clueless
OE: Operator Error
PECI: Product Exceeds Customer's Intelligence
Error 28: Error occurred about 28 inch away from the screen.

Mijn persoonlijke favorieten zijn MIFUIC en PECI maar ik ben bang dat het gewoon een eenvoudige SUE is...

CAPSLOCK2000

Security
Netwerk en systeembeheer
Encryptie

17 augustus 2016 16:10

Hiermee gaat alle vertrouwen in de technische vermogens van deze club overboord. Als uit hun onderzoek blijkt dat Veracrypt helemaal veilig is dan gaat niemand het geloven.

Op grond van de logbestanden zou iedere beheerder snel moeten kunnen aantonen of er inderdaad mail verdwijnt of niet. Ik vond het al bedenkelijk dat deze club GMail gebruikt. Van beveiligingsbedrijven verwacht ik dat ze hun eigen mail verzorgen juist zodat ze in gevallen als deze precies kunnen nagaan wat er is gebeurt omdat ze alles zelf in handen hebben.

Caviatjuh @CAPSLOCK2000 • 17 augustus 2016 16:18

De onderzoekende partij heeft hier niets over gepubliceerd, dus ik snap niet helemaal hoe je in die partij het vertrouwen zou verliezen. De CEO van het bedrijf wat VeraCrypt onderhoud zat fout in deze. Dat is natuurlijk ook niet al te best, maar het is ook weer niet heel verrassend dat er daar iemand even vergeten is zijn alu hoedje af te zetten.

GemengdeDrop @Caviatjuh • 17 augustus 2016 16:48

... maar het is ook weer niet heel verrassend dat er daar iemand even vergeten is zijn alu hoedje af te zetten.

Ja, dat is het wèl!
Net zoals dat een arts niet moet lopen speculeren over wat een patient mankeert (die heeft daar niks aan) en net zoals een politicus zich niet mag lopen bemoeien met een rechtszaak en net zoals een rechter geen blijk mag geven van persoonlijke voorkeuren .... zo mag ook een beveiligingsbedrijf niet zomaar speculeren over de oorzaken van problemen.

Het punt is: het is al een major fuckup dat er uberhaupt iets mis gaat in die communicatie. Dat hoort al niet bij een beveiligingsbedrijf. En als je dan ook nog eens besluit om daar iets over naar buiten te brengen moet je wel ontzettend zeker zijn van je zaak. Het kan natuurlijk zijn dat je bent terug-gehacked, maar dat is hoe-dan-ook een ontzettend probleem voor jouw bedrijf in dit geval. Het is dus helemaal niet logisch dat iemand zoiets naar buiten brengt, tenzij het echt waar zou zijn of door ongegeneerde incompetentie.

En daarom moet je die lui dus niet vertrouwen. Ze gaan dus twee keer de fout in. Omdat ze zoiets simpels al niet voor elkaar krijgen moet je er maar vanuit gaan dat ze inhoudelijk net zo aan het klooien zijn. Een security-toko doet niet aan alu-hoedjes. Die doen aan keiharde gegevens en beredeneerde beslissingen. Vertrouwen in deze buisiness is belangrijker dan wat dan ook. Dus maar liever niet met deze lui in zee. Net zoals dat je liever niet naar een arts gaat van wie bekend is dat 'ie maar wat aanrommelt, of dat je het vertrouwen in de rechtspraak kwijtraakt als duidelijk is dat een rechter bevooroordeeld is.

Somebody had better do some damagecontrol

guillaume @CAPSLOCK2000 • 17 augustus 2016 16:17

Als je automonteur een motorfiets niet kan repareren ga jij er ook niet meer naartoe voor je auto?

Verwijderd 17 augustus 2016 17:21

Ik vermoedde al dat Veracrypt dit bericht de wereld in stuurde om aandacht te krijgen.

Truecrypt is nog steeds beschikbaar en er is weinig reden om iets anders te gebruiken.

Brantje @Verwijderd • 17 augustus 2016 17:55

Er is zowiezo 1 reden om Veracrypt te gebruiken en dat is Veracrypt EFI ondersteund en Truecrypt niet. Tevens is Veracrypt gewoon Truecrypt, maar dan door ontwikkeld. Dus mocht je Truecrypt gebruiken dan raad ik je aan om toch te upgraden, aangezien er veel bugs gefixed zijn in Veracrypt.

Verwijderd @Brantje • 17 augustus 2016 18:43

Dat heb je alleen nodig als je FDE (full disk encryption) gebruikt, toch?

Volgens mij zijn er nauwelijks fouten gefixed. Alleen het hashing van het password hebben ze verhoogd dacht ik.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:05]

blaatenator @Verwijderd • 17 augustus 2016 21:07

In plaats van loze opmerkingen te plaatsen kun je ook gewoon heel simpel de changelog bekijken:
https://veracrypt.codeple...age?title=Release%20Notes

Armin

Netwerk en systeembeheer
Security
Encryptie

@Verwijderd • 17 augustus 2016 19:47

Truecrypt is nog steeds beschikbaar en er is weinig reden om iets anders te gebruiken.

Truecrypt ondersteunt geen SSD's. Toch redelijk essentieel anno 2016 ...

Truecrypt in combinatie met SSD's geeft:
1) potentiele data lekken (onencrypte overgebleven sectoren) bij achteraf encrypten van een SSD
2) versnelde slijtage van de SSD.
3) gereduceerde performance

pauldaytona 17 augustus 2016 16:22

Je ziet hieraan dat mensen die met encryptie bezig zijn een mate van achtervolgingswaarzin hebben opgebouwd. Is ook wel logisch als je daar altijd mee bezig bent.

Splorky @pauldaytona • 17 augustus 2016 20:16

nu ga ik even mee met de waanzin er van door:
Misschien moesten ze wel zeggen van de dat het een vergissing was van de NSA.

jerkitout 17 augustus 2016 15:57

Iemand moet een 'jump to conclusions' mat kopen voor deze jongens. Het laat ze niet echt competent overkomen.

Firefly III 17 augustus 2016 16:22

Haha en zelfs op tweakers.net reageerden alle gebruikers fel. Ik zei nog, een beetje stom dat de aanvaller die mailtjes weggooit. Als hij lees- en schrijftoegang had zou ik mezelf echt niet verraden door mails weg te gooien.

Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.

Ik ben benieuwd wie van die gebruikers nog zijn excuses komt aanbieden over de manier waarop ze reageerden.

Eén bron is geen bron, dat kan elke halve journalist je vertellen. Wees dus ook eens sceptisch de andere kant op.

Juup @Firefly III • 17 augustus 2016 17:44

Ben nu wel benieuwd of de mailtjes ook echt uit de sent folder van de verzenders waren verdwenen of niet.
Wat dat kan moeilijk aan zijn pgp client liggen toch?

Verwijderd @Firefly III • 17 augustus 2016 17:54

Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.

Inderdaad inderdaad, maar ook de redactie van tweakers treft enige blaam. Iedereen met een gedegen IT achtergrond wist dat hier iets niet klopte. Ik gebruik niet graag de term clickbait, zeker niet voor mijn geliefde Tweakers, maar de overmaat aan berichtgeving over (vermeende) veiligheids issues leverde hier geen nuttig nieuwsbericht op.

dakathefox @Firefly III • 17 augustus 2016 18:41

U hebt helemaal gelijk. Het zou amateurisme ten top zijn, maar alle aluhoedjes of anti-cloud achtigen grepen het moment maar wat graag aan om hun gelijk te bewijzen.

Verwijderd @Firefly III • 17 augustus 2016 18:42

Ik zei al meteen dat het niet klopte en dat Veracrypt aandacht probeerde te trekken.

Verwijderd @Firefly III • 17 augustus 2016 18:51

Ik ben sceptisch beide kanten op en trek mijn conclusie pas over 5 jaar. Werkt Raynal tegen die tijd nog voor VeraCrypt? of voor een bedrijf uit de Alphabet familie?

jerkitout @Firefly III • 17 augustus 2016 19:09

>Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.

Hmm, ik was juist blij met de Tweaker comments. Veel mensen zijden al dat spionage stilletjes wordt gedaan, en een email deleten is gewoon dom. Waarschijnlijk was het nooit gezonden.

En ze hadden gelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (37)

Sorteer op:

Weergave: