Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

QuarksLab-ceo Fred Raynal heeft aan Threatpost laten weten dat het plaatsen van een bericht over mogelijk onderschepte e-mails over de VeraCrypt-audit een fout was. Het zou bij de verdwenen e-mails hoogstwaarschijnlijk om een lokaal probleem gaan.

VeraCrypt fpaRaynal legt uit dat er problemen waren met verdwenen e-mails tussen hem en de mensen achter VeraCrypt en Ostif, de organisatie die de audit organiseert. Daarna heeft Ostif-ceo Derek Zimmer een bericht op de site van de organisatie geplaatst. Daarover zegt Raynal dat hij dit niet had moeten doen en dat het probleem aan zijn kant waarschijnlijk zat tussen zijn mailapplicatie en GPGMail, waarmee pgp-e-mails verstuurd kunnen worden.

In het oorspronkelijke bericht claimde Ostif dat de vier verdwenen e-mails erop wezen dat een derde partij deze berichten had onderschept. In deze mails werden details uitgewisseld over de aanstaande audit van de VeraCrypt-encryptiesoftware. Deze wordt uitgevoerd door QuarksLab. Ostif heeft niet gereageerd op verzoeken om een reactie door Threatpost.

De resultaten van de audit zijn in september te verwachten. Het onderzoek strekt zich ook uit over de efi bootloader, volgens VeraCrypt-ontwikkelaar Mounir Idrassi de belangrijkste en kritiekste verbetering van de software ten opzichte van voorganger TrueCrypt. Deze optie stelt gebruikers weer in staat om hun hele harde schijf te versleutelen.

Moderatie-faq Wijzig weergave

Reacties (37)

In het oorspronkelijke bericht claimde Ostif dat de vier verdwenen e-mails erop wezen dat een derde partij deze berichten had onderschept.
Voordat je dit soort claims gaat maken moet je toch wel erg zeker zijn van je zaak. Daarnaast was er een grote reden voor twijfel: Waarom zou het interessant zijn om deze emailberichten tegen te houden? Zo'n actie zou bijzonder veel tijd en energie kosten (en mogelijk risico's met zich meebrengen voor de aanvallende partij), terwijl er eigenlijk geen baten zijn.

Mijn vermoeden is dat hier meer vanuit emotie dan vanuit reden werd gereageerd. Er zijn vele oorzaken voor waarom een verstuurd emailbericht niet aankomt. Dat ga je stap voor stap voorzichtig diagnosticeren vanaf het begin tot het einde en niet meteen uitgaan van het ergste scenario, waain een derde partij met kwaadaardige bedoelingen de berichten tegengehouden zou hebben.

Iets meer inhoudelijk:
Het onderzoek strekt zich ook uit over de efi bootloader, volgens VeraCrypt-ontwikkelaar Mounir Idrassi de belangrijkste en kritiekste verbetering van de software ten opzichte van voorganger TrueCrypt.
Want? Is er bijvoorbeeld ondersteuning voor vertrouwd opstarten zoals BitLocker en TrustedGRUB2 dat ondersteunen?

[Reactie gewijzigd door The Zep Man op 17 augustus 2016 16:01]

Vrij simpel: met TrueCrypt kon je alleen je systeempartitie versleutelen middels een MBR-loader en was het dus niet mogelijk met een GPT-structuur en EFI. Met de EFI boot loader is VeraCrypt wl weer een fatsoenlijk modern alternatief voor bijv. BitLocker ja.

Dit is wel een leuk staaltje publiciteit voor VeraCrypt. Hoe knullig het ook overkomt, het zegt niets over de software zelf en er wordt natuurlijk flink over geschreven nu.
Vrij simpel: met TrueCrypt kon je alleen je systeempartitie versleutelen middels een MBR-loader en was het dus niet mogelijk met een GPT-structuur en EFI. Met de EFI boot loader is VeraCrypt wl weer een fatsoenlijk modern alternatief voor bijv. BitLocker ja.
EFI ondersteuning is belangrijk, zeker voor systemen zonder legacy BIOS ondersteuning. Als er echter geen ondersteuning is voor vertrouwd opstarten, dan zal VeraCrypt onveiliger blijven dan boot loaders die dit wel kunnen.
Dit is wel een leuk staaltje publiciteit voor VeraCrypt. Hoe knullig het ook overkomt, het zegt niets over de software zelf en er wordt natuurlijk flink over geschreven nu.
En dit is de reden waarom organisaties die zich half serieus nemen een centraal gezicht hebben naar de buitenwereld om nieuws te verkondigen. Zo heb je een filter waarmee je kan voorkomen je dat elke willekeurige oprisping groot in het nieuws komt.
Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken? :P

Met dat laatste ben ik het helemaal eens, al krijg je dan meestal dat de auteur(s) van die nietszeggende "press release"-achtige berichten er op hun beurt weer niets van snappen en iets heel vaags vertellen, waardoor alle nieuwssites vervolgens gigantisch gaan interpreteren en invullen.
Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken? :P
Nee. Vertrouwd opstarten doe je met behulp van een Trusted Platform Module. Tijdens het opstarten laat elk deel van het bootproces de TPM het volgende deel van het bootproces meten voordat het wordt uitgevoerd. De resulterende (correcte) waardes in de TPM's Platform Configuration Registers kunnen vervolgens gebruikt worden door de TPM om in het geheugen een geprepareerde encrypted blob te de decrypten (geladen vanaf het persistente opslaggeheugen). Deze blob bevat een (eventueel encrypted met een wachtwoord) geheim om de encrypted data op het opslagmedium mee te benaderen. Als je iets wijzigt aan het boot proces (evil maid attack), dan zal de computer niet meer opstarten. Je zou dan bijvoorbeeld (bij vorkeur in een veilige omgeving) een recovery key kunnen gebruiken.
Met dat laatste ben ik het helemaal eens, al krijg je dan meestal dat de auteur(s) van die nietszeggende "press release"-achtige berichten er op hun beurt weer niets van snappen en iets heel vaags vertellen, waardoor alle nieuwssites vervolgens gigantisch gaan interpreteren en invullen.
Dus je moet een PR officer hebben die de taal van de mensen binnen het bedrijf spreekt. Het belangrijkste is dat deze rol onzin filtert die de organisatie kan schaden.

[Reactie gewijzigd door The Zep Man op 17 augustus 2016 16:44]

Wel een beetje off-topic: Met de meeste losse moederborden kan je Secure Boot gewoon zelf configureren, en kan je "gewoon" self-signed keys/certificates gebruiken. Zeg maar zoals drivers, maar dan specifiek voor de bootloader. Dit geeft dan wel de veiligheid van Secure Boot, zonder de restricties van OS installatie, zolang de self-signed private key maar niet lekt uit EFI.

Het probleem zit het nou bij OEM borden/devices waarbij Secure Boot niet te configureren valt, wat bij Microsoft OEM's meestal het geval is(Die gebruiken een TPM zoals hierboven).

TPM is *geen* standaard onderdeel van Secure Boot, maar een extra veiligheid die er voor zorgt dat de keys in secure boot/TPM enabled devices van Microsoft niet uit kunnen lekken door eigenaars ervan.

Je kan TPM zien als een equivalent van KNOX by Samsung, waar het grote verschil is dat de "Trust" uit KNOX wordt geschrapt zodra je een "custom" iets installeert ipv dat je het gewoon niet kan doen.

Hier is wat informatie over hoe Secure Boot nou werkelijk werkt:

https://wiki.ubuntu.com/SecurityTeam/SecureBoot

[Reactie gewijzigd door BJ_Berg op 17 augustus 2016 17:04]

Dat bleek uiteindelijk niet de sleutel te zijn. /m zijn referentie is Security Now podcast van deze week.
Je bedoelt dat Secure Boot waarvan Microsoft zelf deze maand de sleutel heeft doen uitlekken

De sleutel is niet gelekt.

Er werd een metafoor gebruikt alsof er een 'sleutel' gelekt is.

Merk echter wel op dat deze 'sleutel' secure boot niet uitzet. Sterker nog de 'exploit' is het kunnen vervangen van een nieuwe Microsoft bootloader door een oudere (die dus nog steed secure boot protected is), en dan een non-Microsoft OS laden.
Hoe vreemd!

Doorgaans zegt men dat bedrijven veiligheid niet serieus nemen en te laat mensen waarschuwen. Nu zijn ze dan eens wat te vroeg, en dan is het weer niet goed.
Mijn vermoeden is dat hier meer vanuit emotie dan vanuit reden werd gereageerd.

Mensen die aan dit soort encryptie tools werken zijn dan vaak inherent een beetje paranoide. Goed voor het product, maar soms gebeuren er dan ongelukjes.
ff met het schaamrood op de wangen toegeven dat je fout was is beter dan je bedrijf kapot geprocedeerd zien worden door een multinational omdat je geen bewijs kan voorleggen en zij hierdoor grote imagoschade oplopen die ze op jou verhalen.
PICNIC dus. _/-\o_

edit: Problem In Chair, Not In Computer.

[Reactie gewijzigd door MuddyMagical op 17 augustus 2016 16:06]

Ik kende hem als PEBCAK, deze is ook leuk
(OSI) Layer 8 issue.
Wij noemen dit PebKac (Problem Excists Between Keyboard And Chair)
Of ook wel een ID 10T fout.
Ik twijfel tussen ESU/ESO, SUE, MIFUIC, OE, PECI en Error 28.

ESU/ESO: Equipment Superior to User/Operator
SUE: Stupid User Error
MIFUIC: Machine is fine, user is clueless
OE: Operator Error
PECI: Product Exceeds Customer's Intelligence
Error 28: Error occurred about 28 inch away from the screen.

Mijn persoonlijke favorieten zijn MIFUIC en PECI maar ik ben bang dat het gewoon een eenvoudige SUE is... :+
Hiermee gaat alle vertrouwen in de technische vermogens van deze club overboord. Als uit hun onderzoek blijkt dat Veracrypt helemaal veilig is dan gaat niemand het geloven.

Op grond van de logbestanden zou iedere beheerder snel moeten kunnen aantonen of er inderdaad mail verdwijnt of niet. Ik vond het al bedenkelijk dat deze club GMail gebruikt. Van beveiligingsbedrijven verwacht ik dat ze hun eigen mail verzorgen juist zodat ze in gevallen als deze precies kunnen nagaan wat er is gebeurt omdat ze alles zelf in handen hebben.
De onderzoekende partij heeft hier niets over gepubliceerd, dus ik snap niet helemaal hoe je in die partij het vertrouwen zou verliezen. De CEO van het bedrijf wat VeraCrypt onderhoud zat fout in deze. Dat is natuurlijk ook niet al te best, maar het is ook weer niet heel verrassend dat er daar iemand even vergeten is zijn alu hoedje af te zetten.
... maar het is ook weer niet heel verrassend dat er daar iemand even vergeten is zijn alu hoedje af te zetten.
Ja, dat is het wl!
Net zoals dat een arts niet moet lopen speculeren over wat een patient mankeert (die heeft daar niks aan) en net zoals een politicus zich niet mag lopen bemoeien met een rechtszaak en net zoals een rechter geen blijk mag geven van persoonlijke voorkeuren .... zo mag ook een beveiligingsbedrijf niet zomaar speculeren over de oorzaken van problemen.

Het punt is: het is al een major fuckup dat er uberhaupt iets mis gaat in die communicatie. Dat hoort al niet bij een beveiligingsbedrijf. En als je dan ook nog eens besluit om daar iets over naar buiten te brengen moet je wel ontzettend zeker zijn van je zaak. Het kan natuurlijk zijn dat je bent terug-gehacked, maar dat is hoe-dan-ook een ontzettend probleem voor jouw bedrijf in dit geval. Het is dus helemaal niet logisch dat iemand zoiets naar buiten brengt, tenzij het echt waar zou zijn of door ongegeneerde incompetentie.

En daarom moet je die lui dus niet vertrouwen. Ze gaan dus twee keer de fout in. Omdat ze zoiets simpels al niet voor elkaar krijgen moet je er maar vanuit gaan dat ze inhoudelijk net zo aan het klooien zijn. Een security-toko doet niet aan alu-hoedjes. Die doen aan keiharde gegevens en beredeneerde beslissingen. Vertrouwen in deze buisiness is belangrijker dan wat dan ook. Dus maar liever niet met deze lui in zee. Net zoals dat je liever niet naar een arts gaat van wie bekend is dat 'ie maar wat aanrommelt, of dat je het vertrouwen in de rechtspraak kwijtraakt als duidelijk is dat een rechter bevooroordeeld is.

Somebody had better do some damagecontrol
Als je automonteur een motorfiets niet kan repareren ga jij er ook niet meer naartoe voor je auto?
Ik vermoedde al dat Veracrypt dit bericht de wereld in stuurde om aandacht te krijgen.

Truecrypt is nog steeds beschikbaar en er is weinig reden om iets anders te gebruiken.
Er is zowiezo 1 reden om Veracrypt te gebruiken en dat is Veracrypt EFI ondersteund en Truecrypt niet. Tevens is Veracrypt gewoon Truecrypt, maar dan door ontwikkeld. Dus mocht je Truecrypt gebruiken dan raad ik je aan om toch te upgraden, aangezien er veel bugs gefixed zijn in Veracrypt.
Dat heb je alleen nodig als je FDE (full disk encryption) gebruikt, toch?

Volgens mij zijn er nauwelijks fouten gefixed. Alleen het hashing van het password hebben ze verhoogd dacht ik.

[Reactie gewijzigd door ArtGod op 17 augustus 2016 18:44]

In plaats van loze opmerkingen te plaatsen kun je ook gewoon heel simpel de changelog bekijken:
https://veracrypt.codeple...age?title=Release%20Notes
Truecrypt is nog steeds beschikbaar en er is weinig reden om iets anders te gebruiken.

Truecrypt ondersteunt geen SSD's. Toch redelijk essentieel anno 2016 ...

Truecrypt in combinatie met SSD's geeft:
1) potentiele data lekken (onencrypte overgebleven sectoren) bij achteraf encrypten van een SSD
2) versnelde slijtage van de SSD.
3) gereduceerde performance
Je ziet hieraan dat mensen die met encryptie bezig zijn een mate van achtervolgingswaarzin hebben opgebouwd. Is ook wel logisch als je daar altijd mee bezig bent.
nu ga ik even mee met de waanzin er van door:
Misschien moesten ze wel zeggen van de dat het een vergissing was van de NSA.
Iemand moet een 'jump to conclusions' mat kopen voor deze jongens. Het laat ze niet echt competent overkomen.
Haha en zelfs op tweakers.net reageerden alle gebruikers fel. Ik zei nog, een beetje stom dat de aanvaller die mailtjes weggooit. Als hij lees- en schrijftoegang had zou ik mezelf echt niet verraden door mails weg te gooien.

Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.

Ik ben benieuwd wie van die gebruikers nog zijn excuses komt aanbieden over de manier waarop ze reageerden.

En bron is geen bron, dat kan elke halve journalist je vertellen. Wees dus ook eens sceptisch de andere kant op.
Ben nu wel benieuwd of de mailtjes ook echt uit de sent folder van de verzenders waren verdwenen of niet.
Wat dat kan moeilijk aan zijn pgp client liggen toch?
Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.
Inderdaad inderdaad, maar ook de redactie van tweakers treft enige blaam. Iedereen met een gedegen IT achtergrond wist dat hier iets niet klopte. Ik gebruik niet graag de term clickbait, zeker niet voor mijn geliefde Tweakers, maar de overmaat aan berichtgeving over (vermeende) veiligheids issues leverde hier geen nuttig nieuwsbericht op.
U hebt helemaal gelijk. Het zou amateurisme ten top zijn, maar alle aluhoedjes of anti-cloud achtigen grepen het moment maar wat graag aan om hun gelijk te bewijzen.
Ik zei al meteen dat het niet klopte en dat Veracrypt aandacht probeerde te trekken.
Ik ben sceptisch beide kanten op en trek mijn conclusie pas over 5 jaar. Werkt Raynal tegen die tijd nog voor VeraCrypt? of voor een bedrijf uit de Alphabet familie?
>Maar nee hoor. Speculeren over de rol van Google, de NSA, of zelfs marsmannetjes was veel interessanter voor Tweakers gebruikers dan gezond verstand gebruiken en twijfelen aan het originele verhaal.

Hmm, ik was juist blij met de Tweaker comments. Veel mensen zijden al dat spionage stilletjes wordt gedaan, en een email deleten is gewoon dom. Waarschijnlijk was het nooit gezonden.

En ze hadden gelijk.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True