Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsteam van Adobe publiceert per ongeluk persoonlijke PGP-sleutel

Een medewerker van het beveiligingsteam van Adobe heeft per ongeluk op de blogpagina van het bedrijf zowel de publieke als de persoonlijke PGP-sleutel van de e-mailaccount van het team gepubliceerd. De sleutel is inmiddels weer verwijderd.

De per ongeluk gepubliceerde sleutel werd ontdekt door programmeur Juho Nurminen, die er melding van maakte op zijn Twitter-pagina. Bij het bericht heeft hij enkele screenshots geplaatst, die aantonen dat het inderdaad om een persoonlijke sleutel gaat die behoort tot het e-mailadres van het Adobe-beveiligingsteam.

ArsTechnica speculeert dat een medewerker bij het exporteren van de sleutel per ongeluk op 'all' geklikt heeft, in plaats van 'public', wat ervoor zorgde dat zowel de publieke als de persoonlijke sleutel werden geëxporteerd. Vervolgens zou hij zonder deze fout doorgehad te hebben de beide sleutels in de blogpost geplakt hebben.

PGP, wat staat voor Pretty Good Privacy, is een encryptiemethode die zich kenmerkt door de bijzonder lange sleutels die gebruikt worden, wat door sommige mensen als onhandig wordt beschouwd. Adobe heeft inmiddels de blogpost verwijderd en een nieuwe blogpost aangemaakt waarin alleen de publieke sleutel te zien is.

Door

Nieuwsposter

51 Linkedin Google+

Submitter: the_shadow

Reacties (51)

Wijzig sortering
De sleutel is inmiddels ingettrokken: https://pgp.surfnet.nl/pk...T&fingerprint=on&op=index
En er zat een wachtwoord op, dus er zal niet snel iets mee gebeurd kunnen zijn.
Overigens is de tweede blogpost inmiddels ook verwijderd.

[Reactie gewijzigd door Soldaatje op 24 september 2017 12:04]

Tweede blogpost is niet verwijderd, ik had gewoon per ongeluk het linkje van de oude post daar geplakt (zo zie je maar hoe makkelijk dergelijke fouten gemaakt worden :P ). Nu klopt hij wel.

[Reactie gewijzigd door faraga op 24 september 2017 11:57]

Foutje kan gebeuren, zolang ze ze ook een nieuwe key genereren en zorgen dat de oude nergens meer werkt is er niets aan de hand.

Wel hopen dat er niet ondertussen al misbruik van is gemaakt voor het duidelijk was..
Zelfs al heb je de sleutels is het niet simpel het niet versleutelde mailverkeer ook te onderscheppen
Het gaat niet om het wel of niet onderscheppen van een mail. Met je private key maak je duidelijk dat de mail door jou team gemaakt is. Met deze private key kun je doen alsof je een mail van Adobe hebt gehad die gecontroleerd kan worden aan de hand van de signature.
Ben je daar zeker van ? Ik meen dat de PGP mails voor elke sessie een nieuwe sleutel aanmaken, dus je zou de log van de communicatie van de sessiesleutels moeten faken, als je een bewijs wilt hebben. En als je die hebt (NSA bijvoorbeeld ?), kan je ook alle communicatie uit het verleden ontcijferen.

Maar het hele issue in dit verhaal is nog niet aan bod gekomen. Het ging om een (nogal) nieuw sleutelpaar en het was de bedoeling het publieke gedeelte te publiceren.
Waarom moet bij PGP nog "ambachtelijk" publieke sleutels uitgewisseld worden via blogposts., of is dit vooral om zich op zijn borst te kunnen kloppen : "Zie eens hoe veilig wij communiceren ?".
Dit soort fouten kan met WhatsApp bvb niet voorkomen. En voor PGP bestaan daar blijkbaar ook servers voor.
Wanneer je een mail versleuteld is jouw private en de ander zijn public key nodig.
Wanneer je een mail signeert is enkel je eigen private key nodig.

Om een bericht na te maken van Adobe heb je dus voldoende aan de private key, als je die wilt versleutelen kun je de ander zijn public key gebruiken.

Er worden bij mails met deze vorm van PGP geen eenmalige sleutels onderhandeld. Bij een HTTPS sessie gebeurt dat juist wel.

Daarom is met het uitlekken van de private key niet langer met zekerheid te zeggen dat een bericht ondertekent of versleuteld met deze private key daadwerkelijk door Adobe is gemaakt. Tenzij een wel vertrouwd certificaat aangeeft dat dit voor het uitlekken gemaakt is.
Foutje kan gebeuren
Niet dit foutje:
- security team
- public front (blog)
- public + private key tekst is veel langer dan alleen de public key > valt direct op bij copy paste en zeker bij posten
- In de tekst staan duidelijk de boundaries, niet te missen:
-----END PGP PUBLIC KEY BLOCK-----

-----BEGIN PGP PRIVATE KEY BLOCK-----
Dit ‘foutje’ is wel heel erg slordig voor een security medewerker of een doelbewust actie.
Kom nou, dit foutje is wel slordig maar kan zo gebeuren hoor. Iemand die geen fouten maakt, doet (bijna) niets.

Ondanks dat 1 persoon makkelijk zo'n fout kan maken, hadden ze op dergelijk hoog impact werk wel een collegiage review of andere afvang methode mogen toepassen. Wat mij betreft een fout werkprocedure en niet een slechte werknemer.
Kom nou, dit foutje is wel slordig maar kan zo gebeuren hoor.
Het genoemde team draait volledig om het reageren op veiligheidssituaties. Elke werknemer daar is zich vol bewust van de risico’s en de gevolgen; dit is geen gewone helpdesk waar wel eens iets mis kan gaan. Als security medewerker kan je niet gewoon willekeurig iets aanklikken en dat vervolgens het internet op gooien zonder het doen van enige controle of inzicht in dat gene dat je publiceert. Het is n.b. pas offline gehaald na een externe melding!

Plus dat er inderdaad ook geen vorm van redactie lijkt te zijn die moet voorkomen dat informatie uitlekt, maakt het in mijn ogen een erg onbekwaam ‘security’ team.
Iemand die geen fouten maakt, doet (bijna) niets.
Fouten maken hoeft inderdaad niet altijd erg te zijn, maar zorg wel dat je ze binnen het team houdt. Zodra het op een of andere manier buiten of zelfs in het publieke domein terecht komt dan is dat in de security sector een keiharde faal, met name van de leidingevenden.
Weet niet of je mij nu aanvult of wilt corrigeren, maar je noemt niets wat ik tegenspreek. En inderdaad er moeten procedures zijn om hoog impact fouten binnen je team/project/organisatie/keten te houden.
Het "4-ogen" principe zou geen kwaad kunnen, in security gevallen mag dat wellicht zelfs "6-ogen" zijn. En dat is niet voor niets ...
Weet niet of je mij nu aanvult of wilt corrigeren, maar je noemt niets wat ik tegenspreek.
Je reactie kwam op mij over alsof je de situatie bagatelliseert. Als ik dat verkeerd heb ingeschat, excuses.
Las zojuist mijn reactie terug en snap waarom dat zo overkomt. Ik ging inderdaad alleen maar in op het feit dat een werknemer snel zo'n foutje kan maken. Fijn dat je zo prettig reageert.
binnen het team houdt
Het weerhouden van informatie mbt lekken of andere veiligheidsproblemen mbt publieke interesse is tegenwoordig strafbaar.
Ja inderdaad en terecht.

Ik bedoelde meer dat als een medewerker informatie wil delen en daarmee (per ongeluk) iets uitlekt dat er een eindredactie met inzicht in de materie is die voorkomt dat de ‘fout’ buiten het team een probleem kan worden. Een private key posten op een interne site is minder shocking dan op een publiek blog. Maar van een willekeurige medewerker die wellicht heel erg goed is in zijn/haar werk mag je niet verwachten dat diegene ook verstand heeft van publieke uitingen. Daar moet een (eind)redactie voor gaan staan.
Het is inderdaad een foute werkprocedure, maar het is wel net dat team dat deze procedures moet opzetten.
Als de sleutels zo onder elkaar staan tijdens het copy en pasten zie ik best voor me hoe zoiets perongeluk gemist kan zijn simpelweg door vermoeidheid oid. het is gewoon niet slim die dingen zo dicht bij elkaar te bewaren, dat is hetzelfde als een pistool naast een identieke bbgun leggen, roekeloos.
Sleutels zijn hier in text vorm te vinden:
https://archive.fo/BAq9n
Sleutels zijn aangemaakt op 18 september 2017, zijn dus maar een paar dagen in gebruik geweest.
Juist dit soort berichten en fouten zetten het veiligheidsprotocol voor allen weer op scherp. Wij leren meer van fouten dan van dingen die goed gaan. Dus deze trigger is nodig.....
Ik mag dan ook aannemen dat ze een set nieuwe sleutels hebben laten aanmaken anders heeft het nog geen zin.
Ik hoorde laats nog een interview met een dame op NPO radio 1 die uit silicon valley kwam. Zij zegt dat het vrijdag middag 4 of 5 uur biertje daar niet aan de orde is, er word altijd doorgewerkt. Of een bedrijf als Adobe dus die instelling heeft betwijfel ik....
En is ook gecontroleerd hoe laat ze begonnen zijn? Of hoeveel uren ze afgelopen week gewerkt hebben?
Hier ook niet.

Is een mythe dat zijn eigen leven is gaan leiden. Mijn collega's zie ik 5 dagen in de week, en ga niet wachten tot vrijdagmiddag om een keer te praten bij een 'biertje'. Gebeurt tussendoor.
In sommige sectoren rekent men 32 uur al als fulltime. Al ben ik als gedetacheerde ook wel eens op vrijdag om 17 uur naar buiten gezet omdat de laatste werknemer van de klant vertrok en ik geen sleutel heb en dus ook weg moest.

En aan bier op vrijdagmiddag ga ik echt niet beginnen, mijn rijbewijs is me te lief.

[Reactie gewijzigd door Morgan4321 op 24 september 2017 15:13]

Ze kunnen het rekenen als full time, maar dat is het gewoon niet. Wil ook best 32 uur werken voor mijn 40urige salaris ;). Maar goed, 5 uur biertje zit er voor mij ook niet in :P ik werk tot in de nacht dus helaas, niet iedereen heeft een tropenrooster, misschien daar bij de npo wel haha.

Maar dit is wel weer een domper zeg voor adobe, de zoveelste domper voor ze. We zullen doen alsof we de hack van een aantal jaar geleden vergeten zijn. Helaas prijkt deze site nog altijd wanneer ik mijn email adres invul op haveibeenpawned.com
En ik zal niet beginnen over het aantal lekken in de flashplayer (die gelukkig op sterven ligt). Jammer
Mensen in sectoren waar 32 of 36 de norm voor full time is klagen vaak over hun lagere salarissen vergeleken met "het bedrijfsleven". Waar 40 uur dan weer de norm is :-)
40 uur mag de norm zijn, 45 uur is standaard en 50 - 60 uur als het echt druk is. Nou ben ik gedetacheerd dus mijn uren krijg ik toch wel gecompenseerd (op papier).
Niet iedereen begint om 10 uur er zijn ook mensen die om 7:00 beginnen.... Er zijn mensen die liever niet in de file / ov drukte staan en vroeg beginnen en vroeg weggaan.
Want bij Adobe zullen er ook echt mensen aan de knoppen zitten die niet weten wat ze doen, jaja.
Er stond dat ze iets aangeclickt hebben, dit soort fouten maak je in een GUI veel makkelijker dan met een comamandline.
Niet per se in mijn opinie. Wat wl helpt is al je je werk niet op automatisch piloot doet n je werk begrijpt. Met kennis van PGP sleutels n de aandacht erbij had dit voorkomen kunnen worden.
Ze hebben anders wel een goede track-record in zake complete incompetentie op security vlak. Zoals deze: https://nakedsecurity.sop...ed-cryptographic-blunder/
Mjah, ik heb ze ook niet echt hoog zitten, met de ene vulnerability in o.a. flash na de andere. Verder:

https://krebsonsecurity.c...t-least-38-million-users/
Zo ontvang ik nog spam door deze blunder van ze: http://www.reuters.com/ar...irm-idUSBRE9A61D220131107

Edit: je had het zelf ook al gelinkt zie ik

[Reactie gewijzigd door ExIT op 24 september 2017 13:42]

Mag ik jouw functie dan vervullen? Je reageert immers als iemand die er werkt en verantwoordelijkheid is voor de 'security'. Ik zeg verder ook nergens dat ik het beter kan hoor. Maar goed, ik werk er dan ook niet. Van zo'n gerennomeerd bedrijf vind ik persoonlijk, als ICT'er, dat je in ieder geval wel beter mag verwachten.

Veel bedrijven blokkeren tegenwoordig Flash omdat het zoveel security leaks en zero days bevat. Er zijn periodes bij geweest dat er zo om de dag een nieuwe versie uit kwam. Bij meerdere hacks liggen enkele miljoenen (juist, MILJOENEN) mailadressen op straat. Niet alleen vanwege slechte beveiliging, maar ook vanwege het ontbreken van schijnbaar enige beveiliging bij opslag van de gegevens.
Sorry. Maar als je in het security team zit en dit doet? Niet alleen de verkeerde knop, nee ook nog zelf beide Keys published. Dat is echt heeeeeeeeeeel erg amateuristisch.
Achteraf oordelen is natuurlijk heel makkelijk. We weten bijna niks van de persoon die het gedaan heeft. We weten alleen dat hij in het security team zit, dan mag je inderdaad een bepaalde bekwaamheid verwachten. Zaken als persoonlijke omstandigheden, werkdruk etc. kunnen ook een rol spelen.

Ja je hebt gelijk dat het niet mag gebeuren. Het blijft mensenwerk dus fouten worden gemaakt. Dit is een fout dat mogelijk een grote consequentie had kunnen hebben. Ik gooi dit eerder op onoplettendheid dat op amateuristisch werk.
Is inderdaad heel makkelijk. En mensen maken fouten. Maar je bij een partij als Adobe werkt. Daarboven op in het security team, mogen deze fouten echt niet meer gebeuren.

-knip -

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 24 september 2017 12:47]

dit soort fouten gebeuren vast ook op het hoogste beveiligingsniveau van de overheid, dat het niet mag gebeuren ben ik met je eens, maar het gebeurd nou eenmaal want er zitten mensen aan de knoppen; Waar gehakt wordt vallen spaanders
Jij maakt op jouw vakgebied nooit eens een fout die iemand met jouw vakkennis nooit zou mogen maken? Als je dit beaamt kunnen we alleen maar concluderen dat je nooit wat doet.
Geloof me... overal werken mensen die niet weten wat ze doen. Ook op plekken waar je het niet verwacht.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*