Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

BitTorrent heeft openbare alpha-versies van zijn 'veilige chatapp' Bleep vrijgegeven. Een groep testers kreeg echter al een versie voor Windows, maar nu is de app voor iedereen te gebruiken en ook beschikbaar voor Mac OS X en Android-toestellen.

Met de app kunnen gebruikers vertrouwelijk berichten uitwisselen en voip-gesprekken voeren, belooft BitTorrent. Daarbij wordt gebruikgemaakt van end-to-end-encryptie: berichten worden versleuteld op het apparaat van de verzender en pas weer ontsleuteld op het apparaat van de ontvanger. Daarnaast is de dienst decentraal en worden metadata dus niet door een centrale server verwerkt. In plaats daarvan is elke chatclient tevens een server.

Gebruikers kunnen zich aanmelden met hun e-mailadres of telefoonnummer, om zo makkelijk te kunnen worden gevonden door andere gebruikers, maar ze kunnen zich ook anoniem aanmelden. Daarbij moet een unieke sleutel worden gebruikt om een anonieme gebruiker toe te voegen.

De alpha-versies beschikken wel nog over de nodige bugs en tekortkomingen. Zo kunnen berichten alleen worden verzonden naar gebruikers die de app op de achtergrond hebben draaien en verbinding met internet hebben. Daarnaast kunnen gebruikers weliswaar vanaf meerdere apparaten chatten, maar verzonden berichten worden niet gesynchroniseerd. Ook is het wel mogelijk om een profiel dat op een Mac- of Windows-pc is aangemaakt te gebruiken in de Android-app, maar andersom kan dat nog niet.

Ook wijst een test van Tweakers uit dat de voip-functionaliteit niet feilloos werkt: slechts het geluid van één gesprekspartner werd daadwerkelijk doorgegeven. Ook is er op Android een probleem waarbij de app veel van de accu eist en veel data verstookt; de ontwikkelaars raden gebruikers daarom aan om de app voorlopig op wifi-only in te stellen.

Er is overigens geen manier om de claims van BitTorrent over de toegepaste encryptie te verifiëren: de broncode van Bleep is, net als die van BitTorrent Sync, niet open source.

bleep

Moderatie-faq Wijzig weergave

Reacties (62)

niet opensource = niet gebruiken
Mag ik vragen welke open source chatclient u gebruikt?

Niettemin, ondanks de release, zal de alpha versie nog niet veel mensen aantrekken wegens de tekortkomingen

[Reactie gewijzigd door Soggney op 18 september 2014 10:28]

Het opensource project wat ik gebruik als alternatief voor Bittorrent Bleep is Tox. Een p2p chat netwerk in vergelijkbare opzet.
Pidgin is volledig opensource. Ik gebruik hem niet meer omdat ik niet meer chat (op msn of google), maar het is een prima client.

Linphone is een opensource VOIP client waar je ook mee kunt chatten. Volgens mij heeft Pidgin geen voip ingebouwd, of iig, dat had het een jaar of wat geleden niet.
bekijk eens: https://securityinabox.org/pidgin_main
best veel mogelijk, p2p, secure, encrypted, etc. Pidgin is default niet meest veilige, verre van, maar met nodige addons en plugins is het een van de betere.
zie ook; https://pidgin.im/news/security/

[Reactie gewijzigd door himlims_ op 18 september 2014 12:38]

Helaas moet je een security expert zijn om het veilig te maken.
Niet gebruiksvriendelijk, en zeker geen potentie om een "Veilige WhatsApp" te worden.
Text Secure bijvoorbeeld en hier is de link naar de source code.

Een van de main selling points van deze app is dat de berichten van end-to-end zijn encrypted. Als zo'n app vervolgens closed source is moet je er maar op vertrouwen dat dit op een goede manier gebeurt. Er worden veel fouten gemaakt bij het gebruik van encryptie, door mensen die zelf een implementatie maken, geen goede random keys gebruiken etc.

Als een programma het moet hebben van zijn goede encryptie, laat dan zien hoe het werk, dat geeft vertrouwen.
Deze:

https://subrosa.io/
Hun praatje: Subrosa is an encrypted communication platform.
Reclaim your privacy and talk freely.
It's free and open source, with no ads
Je kan altijd de uitgaande berichten controleren met wireshark ;)
en dan weet je dat er een vorm van versleuteling toe is gepast. Maar hoe zijn de keys gemaakt? Hoe random zijn deze? Welke versleuteling is precies gebruikt? Wordt een key hergebruikt zoals bij Whatsapp?
Voor elk uitgaand pakketje:
  • Pak de SHA-1 (een 20 byte waarde) van de timestamp (die je ergens in een header meestuurt)
  • XOR elk blok van 20 bytes met die hash
Kijken met Wireshark:
Ziet er op het eerste gezicht best prima uit eigenlijk.

Echte cryptografische sterkte:
Zo ongeveer nul. Zelfs een passieve aanval (alleen verkeer afluisteren) breekt er binnen de kortste keren doorheen. Als je zelf ook verkeer kunt genereren (een realistisch scenario bij een openbaar beschikbaar stuk software) is het letterlijk binnen een paar minuten gekraakt.
Is het ergens niet zo dat het makkelijker te kraken zou zijn als het opensource was? Denk dat het een voordeel en een nadeel heeft, en niet alleen een nadeel.
Zoek eens naar 'security by obscurity' en hoe goed dat werkt...

Kijk ook eens naar bijvoorbeeld de hoeveelheid exploits voor Windows in vergelijking met de hoeveelheid exploits voor OpenBSD.

Als je veiligheid afhangt van het geheimhouden van je code, dan heb ik liever open source.

Maar goed, er is genoeg goede open source code te vinden, en genoeg slechte.
Dat zelfde geldt voor closed source code.

Oftewel: Het maakt helemaal niet uit welke licentie er aan de code hangt.
Ik denk dat marktaandeel een heel belangrijke rol speelt in hoeveel exploits er de ronde doen voor een OS: als OpenBSD populair zou zijn, zou er ook veel meer moeite gedaan worden om er exploits voor te vinden.
Volgens merryb's redenatie moet het een stuk makkelijker zijn om exploits te vinden voor OpenBSD dan voor Windows.
Het argument dat exploits alleen worden gezocht als iets populair is getuigt niet van begrip van de mindset van een exploit hunter. Het gaat om de exploit vinden, niet om het gebruiken.
Voor de exploit hunters van de Russische mafia zal marktaandeel wel een rol spelen.
security by obscurity werkt nooit, zie maar de malware op pc
nooit? Is dat niet een beetje overdreven? Alles wat jij gebruikt is opensource?
Dat zegt kingpol niet.
Open source is zelf te controleren op grove programmeerfouten. Bij closed source moet je er maar vanuit gaan dat de programmeur het netjes heeft gedaan.

Als de programmeur er een zooitje van heeft gemaakt, maar hoopt dat het niet opvalt omdat niemand zijn/haar code ziet, dan is er sprake van security by obscurity.
Dat werkt nooit.

Als de code goed is geschreven is er geen probleem dat de code beschikbaar is.
Het maakt het programma niet makkelijker te kraken dan wanneer de code niet beschikbaar is
Maar wel makkelijker te "tappen".. dat leek me ook de vraag van Merryb. Ik zit zelf met dezelfde vraagstelling. Als de code bekend is kun je hier toch makkelijker op "in haken".
als code onbekend kan men daarentegen weer niet zien of er bepaalde backdoors zijn ingeboud ;). Vandaar dat de meeste mensen dit geen goed idee vinden, je wil juist in dit geval kunnen controleren of de maker van het programma doet wat hij claimt.
Het kan wel degelijk helpen, maar het heeft meer nadelen dan voordelen. Security through obscurity houd bijvoorbeeld bijna alle script kiddies weg, maar de kans dat een doelgerichtte aanvaller het weet te kraken is dan weer relatief groter.
Klopt, alles heeft zijn voor en nadelen. Dat Bleep niet opensource is vindt ik persoonlijk niet echt een probleem.
Nee, maar iets open source maken is ook geen garantie; zie de Heartbleed bug. Veel mensen vertrouwen (vertrouwden?) op OpenSSL omdat het open source was, maar tegelijkertijd glipte die kritische bug door de tientallen / honderden / ??? mensen die de broncode konden bekijken.
Ik ben pro-opensource maar opensource kent zeker zijn zwakheden.

Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Er kunnen ook eenvoudig aanpassingen gemaakt worden en deze versie als officiŽle versie de wereld in slingeren.

De wereld is niet zo zwart/wit als jij stelt.
Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Liever dat dan security through obscurity.
Dat is inderdaad een keuze. Ik zeg alleen dat het ook zijn zwakheden heeft. Iets wat moeilijk te ontkennen valt. Ik ben er zelf nog niet uit wat het beste is.
Er kunnen ook eenvoudig aanpassingen gemaakt worden en deze versie als officiŽle versie de wereld in slingeren.
Kwestie van hashes controleren voordat je het installeert als je echt zeker wilt zijn.
Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Meestal is er dan ook een patch uit binnen een dag: er zijn meer whitehatters dan blackhatters in de OSS community.

[Reactie gewijzigd door Cilph op 18 september 2014 11:09]

Was het maar zo eenvoudig. Helaas werkt het bij 99% van de mensen niet zo. Het gros installeert gewoon. Vergeet niet dat verreweg de grootste markt en doelgroep, windows gebruikers zijn.
Maar laat dit ook allemaal mogelijk zijn met closed source.
- er worden lekken gevonden in closed source door zowel goed als kwaadwillenden
- je kan gewoon eenvoudige aanpassingen maken en de wereld inslingeren als officieel (ik paste op de c64 al als grap een fast loader aan zodat deze mijn nick toonde en verspreide die)
Dat is niet de kern van mijn opmerking. Ik zeg alleen dat Open Source zijn zwakheden kent. Jij geeft als verweer dat de buurman het ook doet.
Lekken 'op straat leggen' is positief, dat is geen zwakheid van open source, dat is net de kracht. Het is het equivalent van met je wagen naar de garage te gaan waarvan heel de bodem verroest is zonder dat jij het wist. Dat 'lek' bestaat, of je het nu blootstelt of niet. Maar aannemen dat er geen probleem is zolang niemand het merkt en er mee blijven rondrijden is dom en gevaarlijk.

Dat open source makkelijker kan aangepast worden, klopt mijn inziens ook niet. Het is niet omdat een bedrijf closed source uitbrengt dat de coders binnen dat bedrijf op 1 lijn staan en geen nefaste bedoelingen hebben. Als zij dat wel hebben, dan is er bij closed source net mťťr kans op misbruik omdat er, in tegenstelling tot open source, waarschijnlijk een allow-deny manier denken bestaat, ipv een deny-allow. Iedereen vertrouwt elkaar, terwijl er bij open-source een wantrouwen zou moeten bestaan.

Er zijn natuurlijk uitzonderingen op de regel, maar dat is correcter dan te suggereren dat de problemen inherent zijn aan open source.
Dat is mooi als ze door goedwillenden ontdekt worden....jij gaat gemakshalve aan het feit voorbij dat er ook kwaadwillende zijn die gericht op zoek zijn naar dit soort lekken.
Vraag me af of je de kern van mijn post wel begrijpt, ik zeg niet dat Open Source verkeerd of slecht is, in tegendeel. Ik zeg alleen dat er potentieel (de verkeerde) mensen aan de haal kunnen met die openheid..
Kwaadwillende die hiernaar op zoek zijn een gegeven bij open source, in die mate dat het een eigenschap wordt van open source, geen nadeel. Ik begrijp je post, ik was enkel niet akkoord met je label 'zwakheid'.
dus jij ziet het als een eigenschap dat kwaadwillenden lekken zoeken in de sources maar niet als een zwak punt van opensource?
Ben je helemaal kwijt man :)
Natuurlijk is het niet leuk dat er een lek gevonden wordt in je software, maar dat is zo, ongeacht het doel van diegene die het lek heeft gevonden en ongeacht de licentie van je software.
Dus jij gebruikt enkel en aleen Linux of andere Unix based Operating Systems (buiten OSX dan)?
Jij gebruikt geen enkele applicatie van adobe? (acrobat reader, photoshop, flash, ...)

Jij gebruikt Open source varianten van office, zoals openoffice?
Jij speelt bijna geen enkele spel op uw computer (zeker en vooral geen triple A tietels).

En ik kan zo blijven door gaan.

Wat een interessante advies van u ಠ_ಠ
Ga door, tot nu toe zijn de antwoorden: ja.
Het advies is om inderdaad programmas te gebruiken die te vertrouwen zijn in een kritieke omgeving. Spellen en browser flash zaken moeten op een andere computer worden gedraaid.

Wat ik doe op mijn werk pc is alleen een paar programma´s draaien (en toevallig is dat linux met openoffice etc). Browsen doe ik via TORbrowser (geen flash of java). Wil ik wel die opties hebben, dan gebruik ik een virtuele desktop op een andere computer welk flash en java ondersteunt. Zo kan dit nooit mijn eigen PC besmetten. De virtuele desktop is alleen het scherm laten zien van de andere computer. Daar kan ik dus gerust sites bezoeken die alleen met flash of java te benaderen zijn.

Ik ben voorstander van betaalsystemen los te koppelen van onze gewone devices, dit is in mijn optiek de enige manier om er veiliger mee te kunnen omgaan. Waarom moet alles aan elkaar? De keten is zo sterk als de zwakste schakel :z
Ik weet niet wat kingpol doet, maar in mijn geval:

Ja, Ja, Ja en Ja.
Waarom? Dan kan je heel veel programma's niet gebruiken
Hij doelt erop, omdat ze namelijk veilig communiceren beloven, dat het software eigenlijk dan ook opensource zou moeten zijn. Daarom zijn korte maar krachtige redenering, niet gebruiken. Maar zelf is het open source, geeft je dit geen 100% garantie, kijk maar naar True Crypt. Wel heel jammer dit allemaal.


edit: jammer in de context dat de overheid werkelijk overval zicht aan schuurt.

[Reactie gewijzigd door sokolum01 op 18 september 2014 10:49]

Hij doelt op: Security by obscurity.
En dat is meestal geen goede zaak.

[Reactie gewijzigd door Safaci op 18 september 2014 12:06]

Programma's die zich profileren als cryptografisch beveiligd en niet opensource zijn doen iets verkeerd. Het is uiterst belangrijk dat alles wat met encryptie voor het publiek te maken heeft opensource is. Anders kun je roepen wat je wilt en iedereen moet het maar geloven, terwijl als het open source is kunnen vele mensen je claims onderzoeken.
niet opensource = niet gebruiken
Deze website is niet opensource, toch log je erop in, plaats je berichten, en ontvang je reclame van andere partijen.
Er zit wel een redelijk groot verschil tussen een prive IM dienst en een nieuwssite.
Verklaar u nader? Ik heb in deze applicaties meer vertrouwen dan bijvoorbeeld de 'prive'-app van Facebook die we een paar dagen geleden zagen
Opensource houdt niet in dat iets "veilig" of "betrouwbaar" etc is. Die garantie kan geen enkel bedrijf bieden op dit moment.
Dat is wel heel erg kort door de bocht, maar ik snap wat je bedoelt. Dit soort apps zullen er ookw el voor zorgen dat er opensource-alternatieven komen, dus uiteindelijk is het toch een vooruitgang.
Niet gebruiken is wellicht iets te kort door de bocht. Het lijkt erop dat het programma vele malen veiliger is dan bijvoorbeeld een Whatsapp.

Echter zijn de claims ten aanzien van end-to-end encryptie niet te verifiŽren, noch is te controleren of de code correct is geschreven of backdoors bevat.

Mijn voorkeur zou ook uitgaan naar een Open Source variant. Enige suggesties?
SecureChat icm GnuProject & Orbot
En Ostel.co als je ook wilt bellen
Heel erg leuk en aardig maar ik zie niemand dit gebruiken. Leuk voor mensen die bang zijn voor de NSA of echt dingen te verbergen hebben, maar voor gewoon dagelijks gebruik om te chatten met vrienden etc gaat dit echt geen hype worden.
Dat merk je met Telegram ook al. Maar weinig van m'n vrienden gebruiken het. Op WhatsApp heb ik 41 contacten, op Telegram zijn het er 22, maar de meesten zijn sinds februari al niet meer online geweest. Die hebben Telegram alleen even geÔnstalleerd om te proberen denk ik.

Maar een beetje concurrentie is nooit verkeerd. Vanuit het privacy oogpunt zeker niet, maar ook omdat WhatsApp geen desktopversie aanbied.

[Reactie gewijzigd door ThinkPad op 18 september 2014 11:05]

Iedereen heeft wel wat te verbergen, daar hoef je echt geen boef of terrorist voor te zijn.

Om maar wat voorbeelden te geven.
Als je bezig bent met het kopen van een huis, vind je het dan leuk dat potentiele verkopers weten tot hoever de bank wil gaan met het verstreken van een hypotheek?
Als je bezig bent in een sollicitatieprocedure, vind je het dan leuk als de personeelschef op de hoogte is van wat vage gezondheidsklachten?
Als je bij de mediamarkt komt kijken naar een nieuwe tablet, vind je het dan nodig dat de verkoper weet dat je vlak daarvoor bij de bcc bent geweest voor hetzelfde?
Allemaal zaken die niet wereldschokkend zijn, maar die je toch liever voor je houdt.

De essentie is dat de automatische verwerking van gegevens zich zo snel ontwikkeld, dat de voorbeelden die ik noem nu nog slechts denkbeeldig zijn, maar als we er voor kiezen om standaard geen encryptie te gebruiken in onze communicatie dan komt vroeger of later de dag dat we daarvoor de prijs zullen betalen: privacy bestaat dan niet meer.
Als dit uiteindelijk net zo simpel en snel werkt als Whatsapp, zie ik geen reden om het niet te gaan gebruiken.

Ik bedoel, ik heb niets te verbergen ofzo, maar vind ook weer niet erg fijn dat jan en alleman meekijkt of mee kan kijken.
Tja leuke ontwikelling want meer mensen zitten te wachten op encryptie. Alleen een no go als het niet een industrie standaard wordt en de closed source enkel bij bittorent blijft. Destijds al overstap naar qbittorent gemaakt en erg tevreden over de overstap. Neemt niet weg dat ik de innovaties van Bittorent op prijs stel. Ze zijn wat dat betreft goed bezig.
Ook is er op Android een probleem waarbij de app veel van de accu eist en veel data verstookt;
Doet niet onder voor het populaire Skype dus. Die heeft daar ook al jaren last van.
Tja als je absolute veiligheid wilt zul je toch wat features moeten missen. Zaken als offline berichten en syncronisatie van berichten gaan moeilijk worden zonder centrale server.

Vind het ook jammer dat het niet open source is. Dit lijkt me nou echt iets waar de open source community veel aan kan bijdragen.

@Terminus Niemand denkt dat dit een hype gaat worden.
SecureChat maakt ook al gebruik van GnuPG (The Guardian Project) bijvoorbeeld, en ik zie dat er een mobiele versie van TAILS op komst is. Jammer dat het Dark Mail project van Lavabit+SilentCircle zo lang op zich laat wachten (de donaties ervoor zijn al gehaald).

Overigens vind ik dit geen oplossing tegen de NSA, dat heeft Lavabit wel bewezen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True