Hacktivistengroepering cDc maakt gratis framework om apps beter te beveiligen

Hacktivistengroepering Cult of the Dead Cow brengt het framework Veilid uit. Dat is een opensourcetool waarmee ontwikkelaars beveiligde en privacyvriendelijke apps kunnen bouwen. De groepering zegt hiermee te streven naar een 'toegankelijk internet met minder advertenties en meer privacy'.

Ontwikkelaars kunnen het opensourceframework Veilid gebruiken om apps te bouwen waarmee gebruikers berichten kunnen sturen of bestanden kunnen delen. Ook kan het framework ingezet worden voor complete sociale netwerken. Cult of the Dead Cow noemde Veilid op hackersconferentie Def Con in Las Vegas een mix tussen de anonieme webbrowser Tor en het peer-to-peernetwerk IPFS. Zowel Windows, Linux, macOS, Android, iOS en webapps worden door het framework ondersteund.

Apps kunnen via het protocol van Veilid volledig versleutelde content naar elkaar sturen. Het betreft een soort gedecentraliseerd peer-to-peernetwerk, waardoor het netwerk sneller moet worden naarmate er meer gebruikers zijn. Veilid maakt gebruik van VLD0-cryptografie. Verder wordt XChaCha20-Poly1305 gebruikt voor de encryptie, Ed25519 voor authenticatie en ondertekening van openbare privésleutels, x25519 voor sleuteluitwisseling, Blake3 voor cryptografische hashing en Argon2 voor het genereren van de wachtwoordhash.

Het is voor ontwikkelaars toegestaan om geld te vragen voor apps en om advertenties te tonen, maar het tonen van gepersonaliseerde reclame - dat in de regel meer inkomsten oplevert dan niet-gepersonaliseerde advertenties - is niet mogelijk. Tegen The Washington Post zei cDc eerder dat de groepering 'mensen de mogelijkheid wil geven zich terug te trekken uit de data-economie'.

Cult of the Dead Cow werd in 1984 opgericht, wat het een van de eerste hackersgroeperingen maakt. Bekende leden van cDc zijn Beto O'Rourke, Peiter Zatko en Christien Rioux. De groep wordt gezien als een van de pioniers van hacktivisme, een samentrekking van 'hacken' en 'activisme'. Daarnaast is de groep bekend van de release van Back Orifice in 1998, een opensourcetool waarmee Windows-apparaten gehackt konden worden.

Reacties (38)

Zer0 12 augustus 2023 10:23

De titel lijkt te wijzen op een framework op alle soorten apps veiliger te maken, maar het lijkt maar om een specifieke soort apps te gaan...

blorf @Zer0 • 12 augustus 2023 10:30

Zowel Windows, Linux, macOS, Android, iOS en webapps worden door het framework ondersteund.

Wat ik me afvraag is of dit in de stores komt en in welke mate het OS zeggenschap houdt. P2p, moet ik nog zien. Daar worden waarschijnlijk geen direct verbonden TCP/IP hosts mee bedoeld.

Zer0 @blorf • 12 augustus 2023 10:47

Ik doel niet op de platformen, het framework lijkt gericht op chat/sharing apps. Het kan een beperkt soort apps veiliger maken, niet alle apps.

Dorstlesser @Zer0 • 12 augustus 2023 11:10

Zonder me er verder in verdiept te hebben maar hoe ik het las was dat het om uitwisseling tussen applicaties gaat, niet alleen uitwisseling tussen gebruikers. Ze noemen zelf Thor, wat een browser is. Bijna alle moderne software waar gebruikers mee te maken hebben draait in een browser, en gebruiken allerlei protocollen voor gegevensuitwisseling. Mijn eerste indruk was dat ze daar op doelen, niet chat apps per se.

Zer0 @Dorstlesser • 12 augustus 2023 12:03

Ze noemen zelf Thor, wat een browser is

Tor (niet Thor) is geen browser maar een netwerk. Maar lang niet alle apps draaien in een browser, en gebruiken allerlei protocollen.
Neem een simpele media speler, hoe gaat dit framework die veiliger maken?

Dorstlesser @Zer0 • 12 augustus 2023 13:35

Waarschijnlijk gaat het een volledig offline media player niet veiliger maken. Maar een desktop streaming player of web app van bv Spotify verstuurt en ontvangt wel allerlei data, o.a. om gebruikers te identificeren.

Voor een applicatie maakt het in feite weinig uit of het jou documenten, chatberichten, media of bankgegevens stuurt. Dus ik ga er van uit dat Veilid (‘sluier identiteit/identificatie’ wrs) voor veel meer bedoelt is dan enkel berichten en bestanden uitwisselen tussen personen.

Zer0 @Dorstlesser • 12 augustus 2023 15:04

Maar een desktop streaming player of web app van bv Spotify verstuurt en ontvangt wel allerlei data, o.a. om gebruikers te identificeren.

Klopt, maar die data komt van of gaat naar een specifieke locatie (de servers van Spotify bijvoorbeeld), dus daar is het P2P gedeelte nutteloos. Gebruikers authentiseren is niet iets wat je via P2P wil gaan doen, dat maakt het IMO onveiliger.

Aldy @Zer0 • 12 augustus 2023 14:01

Tor wordt in het stukje anders wel webbrowser genoemd en volgens mij is dit juist. De basis van Tor is Firefox. Helemaal ongelijk heb je niet want Tor is het samenspel van beide.

Sorcix @Aldy • 12 augustus 2023 14:52

Tor Browser is gebaseerd op Firefox.

Tor kan je zonder browser gebruiken, het hoeft zelfs helemaal niet om HTTP(S) verkeer te gaan. Je kan perfect e-mail of SSH over 't Tor netwerk sturen.

Aldy @Sorcix • 12 augustus 2023 15:01

Dan klopt het wat @Zer0 schrijft dat Tor (kaal) het netwerk is. Dat mailverkeer via Tor kan lijkt mij echt slim in landen met censuur.

Zer0 @Aldy • 12 augustus 2023 15:06

Helemaal ongelijk heb je niet want Tor is het samenspel van beide.

Het is net andersom, de Tor Browser is een samenspel van Tor en een gemodificeerde Firefox browser.

t link @Aldy • 13 augustus 2023 06:52

tor is het protocol, de tor browser is een browser voor het tor netwerk.

blorf @Zer0 • 12 augustus 2023 11:00

Daarom noemde ik een cruciaal punt. Als persoon A en B 'p2p' met elkaar communiceren, krijgen we dan ook nog een garantie dat het OS zelf buiten de apps om niet gewoon logt wat er in beeld staat of data na de decryptie ergens heen kopieert?
Ik kan me niet voorstellen dat dit gaat gebeuren. Dat is gewoon de hele privacy/beveiliging die valt of staat. Als het OS er een vinger in krijgt is het foute boel. Dan hebben we dus geen privacy.

[Reactie gewijzigd door blorf op 22 juli 2024 16:43]

YGDRASSIL

@blorf • 13 augustus 2023 08:14

Ze gebruiken upd, tcp en websockets voor p2p dus dan werk je volgens mij wel met direct verbonden hosts...

BernardV 12 augustus 2023 10:53

Interessant! Net even snel de gitlab gescanned en het idee is dus dat elke app een node is, maar light weight. Ze hebben ook heavy weight nodes nodig die veel bandbreedte en cpu kracht hebben om het netwerk stabiel te krijgen en houden.
Dit kun je draaien met standaard packages op Debian of fedora (voor zover ik heb gezien).
Ik ga dit weekend even een VPS thuis starten en kijken wat dit doet, als het niet teveel impact heeft op mijn servertje en verbinding laat ik dit draaien, mooie ontwikkeling!

Lord Anubis @BernardV • 12 augustus 2023 11:40

Misschien hier terug koppelen, of review schrijven. Zou top zijn.

BernardV @Lord Anubis • 12 augustus 2023 12:07

Zal ik doen!

BernardV @Lord Anubis • 14 augustus 2023 10:54

Ik heb het nu ongeveer 24 uur draaien en het netwerk lijkt nog niet "druk".
De impact van de server is ook te verwaarlozen op dit moment.
Op een i5 6500T gebruikt het gemiddeld 1.5% cpu van 1 core (proxmox data).
Geheugengebruik is icm Debian 12 op het moment van schrijven 480MiB (proxmox data)
Dataverkeer is ook laag, hier even wat vnstat data van de afgelopen 25 minuten

ens18 / traffic statistics

rx | tx
--------------------------------------+------------------
bytes 10.91 MiB | 7.45 MiB
--------------------------------------+------------------
max 374.81 kbit/s | 1.30 Mbit/s
average 62.03 kbit/s | 42.39 kbit/s
min 23.09 kbit/s | 728 bit/s
--------------------------------------+------------------
packets 31855 | 10408
--------------------------------------+------------------
max 194 p/s | 224 p/s
average 21 p/s | 7 p/s
min 11 p/s | 0 p/s
--------------------------------------+------------------
time 24.58 minutes

Al met al lijkt het erop dat het netwerk nog niet veel gebruikt wordt, wat ook logisch is.
Ze hebben de code van de chat-client die ze gepresenteerd hebben nog niet vrijgegeven, maar dat zal in dezer dagen ook gebeuren. Ik ben benieuwd wat het gaat doen de komende tijd.

Lord Anubis @BernardV • 15 augustus 2023 23:30

Dank je wel.

Tof van je.

Zou zelfs voorlopig op een RPi kunnen draaien kwa kracht.

Mormeldier 12 augustus 2023 10:35

Ik weet best wel iets van cryptografie, maar VLD0 zei me niets...

Het lijkt er op dat dit de zelfgekozen naam ("veilid 0") is voor de combinatie van de in het artikel genoemde algoritmes. Wanneer dit door technische vooruitgang niet langer voldoet komt er waarschijnlijk een VLD1, dat kan bestaan uit totaal andere algoritmes.

Hiermee kunnen er ook geen onhandige/onveilige combinaties worden gebruikt en houden ze het eigen communicatieprotocol wat simpeler.

Aanvulling: even zoeken in de code lijkt dit te bevestigen. Het is dus geen nieuw algoritme of zo, slechts een detail in hun eigen protocol

[Reactie gewijzigd door Mormeldier op 22 juli 2024 16:43]

MrMonkE @Mormeldier • 12 augustus 2023 10:54

ot: Dacht 1 tel dat auteur een foutje had gemaakt en het 'veilig' moest zijn.

Paste ook wel in de context.

GertMenkel

Networking en security

12 augustus 2023 12:46

Eén ding dat me niet helemaal duidelijk is, is hoe dit protocol betrouwbaar zou moeten werken op telefoons. Je kunt op telefoons niet zomaar een socket openhouden; ten eerste wordt die door het OS zelf gekillt/in slaap gezet, en ten tweede vreet dat batterij als die socket daadwerkelijk af en toe data ontvangt. Al is het maar een ping elke minuut, de radio aanzetten en de nodige firmware uit sleep halen is niet fijn voor mobiele platformen.

Voor desktop is dit een stuk praktischer dan Tor, dus dat is mooi meegenomen.

Roel1966

12 augustus 2023 19:22

Vind het wel apart dat een hackersgroep een framework opzet om apps beter te beveiligen, maar ook van de anderen kant zij ook wel de kennis hiervoor in huis hebben. Denk dat hackers wel weten waar de lekken zitten en van daaruit dan ook manieren weten dit te dichten. Alleen denk ik dan toch stiekem van zouden ze niet toch ergens iets erin gezet hebben zodat er toch een deurtje blijft.

CivLord

@Roel1966 • 13 augustus 2023 09:51

Niet alle hackers hacken om de gehackte apparatuur te kunnen misbruiken. Er zijn er ook die zwakheden proberen bloot te leggen om die te kunnen (laten) patchen.

Roel1966

@CivLord • 13 augustus 2023 18:11

Het was ook meer een beetje schertsent bedoeld maar ik weet dat er ook genoeg hackers zijn met 'goede bedoelingen'. Inderdaad zoals je schrijft dat ze kwetsbaarheden aan het licht brengen en dus software testen op veiligheid. Maar ik denk dat ook het gros van de Tweakers wel eens gehackte software heeft gebruikt $_/-\o_$ .

kuurtjes 12 augustus 2023 22:10

Ik denk dat mensen het beter begrijpen als we "protocol" en "netwerk" gebruiken ivp "framework" en "beveiligen". Het lijkt op het Tor netwerk.

Microwilly 12 augustus 2023 23:46

Ik denk dat mensen het beter begrijpen als we "protocol" en "netwerk" gebruiken ivp "framework" en "beveiligen". Het lijkt op het Tor netwerk.

Vind het meer op Tox lijken. Link

isene 13 augustus 2023 22:36

Zelf deze talk bijgewoond op Def Con. Reacties van vele:
Het idee is zeer goed, maar ook ambitieus. Er zijn veel beloftes gedaan waar nog flink nog wat vragen over waren. De demo was gaaf om te zien, maar er is nog flink wat werk.

De talk zal binnenkort online verschijnen

Rembert 12 augustus 2023 10:29

Back Orifice kon idd gebruikt worden om Windows systemen te hacken maar het was vooral erg handig als een verdomd krachtige remote administration tool.
Ik wist niet dat Cult of the Dead Cow nog bestond. De Dutch Power Cows zijn van veel latere datum.

FreezeXJ @Rembert • 12 augustus 2023 14:10

Alleen doen de Dutch PowerCows niet aan hacken, die doen aan hard rekenen voor het goeie doel (zie ook het forum hier op GoT. Zover ik weet is er ook geen link tussen die 2.

Rembert @FreezeXJ • 12 augustus 2023 17:22

Nee, geen enkele link al zijn beiden voor het goede doel, alas verschillende doelen en proberen ze op een totaal andere manier hun doelen te bereiken.

Cdc is een hacktivisme groep a la Chaos Computerclub en Hacktic. Cdc zou ook de ‘uitvinder’ zijn geweest van de e-zine.

Frame164 12 augustus 2023 11:30

Je hebt natuurlijk helemaal geen framework nodig om veilige en privacyvriendelijke apps te bouwen. Bouw gewoon geen zaken in die iets met privacy doen.

GertMenkel

Networking en security

@Frame164 • 12 augustus 2023 12:34

Dat is erg lastig als je een chatapp maakt, zo'n beetje alles dat je daarop doet is een privacyrisico op bepaalde hoogte. Eigenlijk gaat het zo ver dat alles dat netwerkverkeer veroorzaakt voor passieve luisteraars (lees: overheden en ISPs) een privacyrisico is.

Je rekenmachine zal geen privacyrisico hebben (tenzij die valuta omrekent met live data, natuurlijk) maar de meeste apps hebben toch echt een component die wel degelijk risico's met zich meebrengt.

Op dit item kan niet meer gereageerd worden.

Hacktivistengroepering cDc maakt gratis framework om apps beter te beveiligen

Lees meer

Reacties (38)

Sorteer op:

Weergave: