Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

BitTorrent stelt dat zijn Sync-applicatie nog steeds de veiligste synchronisatie-software op de markt is nadat een groep hackers stelde een aantal potentiŽle veiligheidsgaten in de implementatie van Sync te hebben ontdekt. Volgens BitTorrent snijden de claims geen hout.

Een aantal hackers publiceerde een lijst met naar eigen zeggen kwetsbaarheden in de Sync-applicatie van BitTorrent. De Sync-software wordt vooralsnog niet door de ontwikkelaars als opensource aangeboden. Zo zou Sync, in september nog nader bekeken door Tweakers, via folder hashes informatie lekken over de netwerkadressen van zijn clients waardoor aanvallers gerichter te werk zouden kunnen gaan. Ook claimen de hackers dat zij mogelijke bugs in Sync-apps hebben gevonden en er wordt twijfel geuit over het mechanisme dat Sync hanteert om bestanden en mappen te delen: deze is door BitTorrent na enkele releases aangepast en dit wekte argwaan op.

Volgens BitTorrent kloppen de aantijgingen niet. Zo stelt het bedrijf dat de genoemde folder hashes uitsluitend bedoeld zijn om andere Sync-clients te herkennen die dezelfde map delen. Er zou geen 'geheime' data in de hashes zijn opgenomen. Ook het uitwisselen van sleutels via links zou veilig zijn, terwijl een door BitTorrent gehoste tracker-server uitsluitend ingezet zou worden om verbindingen tussen peers op te zetten. Een mogelijk succesvolle aanval op deze tracker-server zou daarom geen invloed hebben op de beveiliging van Sync.

BitTorrent stelt dat de genoemde punten van de hackers niet op een professionele manier zijn uitgevoerd, al zegt het bedrijf meldingen over mogelijke veiligheidsproblemen te verwelkomen. Verder zou de Sync-software regelmatig zijn onderworpen aan audits door derde partijen. BitTorrent heeft daarbij een document bijgesloten van de beveiligingsfirma iSECpartners waarin wordt gesteld dat de code van BitTorrent Sync 1.4 geïmplementeerd is op een wijze die voldoet aan algemeen geldende richtlijnen op het gebied van cryptografie. Desondanks blijft onduidelijk of BitTorrent de broncode van Sync zal publiceren, iets waar sommige gebruikers van de software op aandringen en waarop eerder door de ontwikkelaar werd gehint.

Moderatie-faq Wijzig weergave

Reacties (22)

Tja, we weten de source niet, dus er valt niet over de zeggen of de beweringen nou kloppen of niet.
Bekijk het ongeveer hetzelfde als Windows, dit is ook niet (volledig) open-source, en valt er voor sommige onderdelen simpelweg niet te zeggen of de implementatie veilig is of niet. Het enige wat dit op zou lossen: open-source maken die hap! :)

Ook schijnen er ondanks dat je de 'globale' tracker uitschakeld, nog altijd verkeer te gaan naar Bittorrent.

Op dit moment gebruik ik Syncthing als BtSync alternatief. Hoewel ik eerlijk gezegd de source hier niet (helemaal) heb doorgespit, lijkt het op eerste gezicht wel 'goed' uit te zien.
Voor wie wel een open source versie wil proberen: Ind.ie Pulse > https://ind.ie/pulse/. Heeft vergelijkbare functies als Sync en is beschikbaar voor Mac, Windows, Linux, BSD en Solaris.
Opensource zegt helemaal niets of het nu beter is of niet. Misschien is het zo lek als een mandje maar heeft niemand daar nog iets over gemeld.
Helemaal mee eens, OpenSSL (http://tweakers.net/nieuw...k-in-openssl-ontdekt.html) is daar een recent voorbeeld van. Het is alleen jammer dat Bittorrent 'vertrouw ons' als sterkste argument geeft. Terwijl ze toch bekend staan om een open source protocol...

Ind.ie Pulse werkt ook anders dan Sync zie ik nu. Gaat met direct connect ipv p2p & de bittorrent tracker.
Sjkv zegt ook niet dat open-source beter is of niet. Hij draagt het slechts aan voor mensen die interesse (zouden) hebben in het gebruik van een vergelijkbare, open-source, variant van Sync. :)
Desondanks blijft onduidelijk of BitTorrent de broncode van Sync zal publiceren, iets waar sommige gebruikers van de software op aandringen en waarop eerder door de ontwikkelaar werd gehint.
Natuurlijk is het een voordeel als de broncode openbaar word gemaakt, maar dat is een algemeen voordeel, en niet een voor Sync eigenaar BitTorrent Inc. daar die waarschijnlijk op een later punt geld met de app wil verdienen.

Ja voor Open Source software betekend niet meteen dat je ook afstand doet van je rechten, en daarnaast heeft closed source ook voordelen naast nadelen voor de beveiliging er van, en je geeft andere inzichten hoe ze een vergelijkbare dienst kunnen opzetten.

Edit:
Ben zelf ook een zeer tevreden Sync gebruiker, en heeft voor mij dropbox vervangen, dit is hoe ik Sync gebruik.

Persoonlijk kan ik iedereen Sync aanraden, werkt imho prettig en snel, vooral als je zelf controle wil houden over je eigen data, en het snuffelen van overheden behoorlijk wilt bemoeilijken.

En totdat ze daadwerkelijke een aantoonbare lek hebben gevonden, heb ik nog steeds vertrouwen in hoe BT zijn zaakjes voor elkaar heeft.

[Reactie gewijzigd door player-x op 19 november 2014 14:32]

De Bittorrent Inc tracker-server* en closed source Sync-client maken het potentieel voor een backdoor natuurlijk wel mogelijk. Zeker bij een bedrijf in de VS.

*aangepast: tracker niet verplicht

[Reactie gewijzigd door Jelv op 19 november 2014 14:47]

De tracker server is niet verplicht. Ik gebruik hem niet. Het maakt het wel sneller
BTSync zal nooit de key doorsturen naar de tracker, maar een hash daarvan.

Een hash is een vorm van encryptie waarbij niemand decryptie kan toepassen doordat er data wordt weggelaten.
Ik denk dat Bittorrent Inc. eerder de stekker uit Sync haalt dan een achterdeurtje te maken in Sync, want als dat ooit zou uitkomen zal dat oor BT misschien niet een doodssteek zijn, maar iig wel een behoorlijk aderlating, daar ze meer gebruikers hebben die meer waarschijnlijk acties zullen onder als boycot en DDOSsen, en waarschijnlijk hun verloren gebruikers niet terug zullen krijgen.

Daarnaast is het zeker niet uitgesloten dat ze inzicht geven in de broncode, dat kan zowel openbaar als bv besloten, bv door de EFF.
Dan hoop ik dat het bij jou blijft werken. Ik kreeg zo veel kuren tussen mijn clients (diverse android en 1 windows) dat ik heb moeten overstappen. ik kreeg lege files, clients zagen elkaar niet meer en als ze elkaar zagen gingen ze niet syncen terwijl ze wel zagen dat ze out-of-sync waren.

Dat gaat em voor mij dus niet meer worden en ik kan het derhalve juist alleen maar afraden.
Ben wel benieuwd waarnaar je dan bent overgestapt. Ik merkte ook die problemen, maar ik vermoed dat het deels te maken heeft met alle upgrades die ik willekeurig op 3 nodes heb gedaan (bijvoorbeeld 1 node draaide nog op 1.2.x en de andere al 1.4.x, maar niet perse de zelfde x :+ ).
Mogelijk dat een volledige reset en alles naar de laatste 1.4.x updaten alle problemen bij mij verhelpt, maar ondertussen heb ik overal syncthing geinstalleerd, maar die is zeker niet foutloos (overstappen was voor mij geen probleem gezien de geringe hoeveelheid data : +/- 95 GB).
Dat kan heel goed je probleem zijn, want ik heb altijd al mijn Sync cliŽnten tegelijk ge opgewaardeerd, want er zijn volgens mij verschillen tussen de verschillende versies van manier van werken.

Moet wel zeggen dat het eigenlijk wel slordig was van BT dat ze andere versies niet gewoon blokkeert als er een dergelijk probleem kan zijn.
ik gebruik nu op android foldersync om met Drive te synchroniseren en op de PC gebruik ik de Drive sync van google zelf. Voordeel daarmee is voor mij dat ik op mijn werk ook bij mijn data kan, want daar is veel geblokkeerd maar de we toegang voor drive niet.

maar ja, voor velen is dit ook niet echt de oplossing, want je beperkt je aan de online opslag. Mijn muziek collectie kan ik hier niet langs synchrniseren bijvoorbeeld.
Tsja, ik heb een android client, twee Linux clients (Synology) een PC en twee laptops. En het synct zonder problemen al sinds de eerste (besloten) beta versies. Geen enkel probleem. Het enorme voordeel boven dingen als Dropbox is dat je willekeurige mappen kan syncen en dan hoeft het ook niet hetzelfde te zijn voor ieder systeem. Je kan 3 mappen syncen tussen bv een laptop en een van de syno's en een van die mappen ook naar de PC. Waar dan weer 5 andere mappen op staan de je synct met de andere laptop waarvan er 1 read only is.
Ik heb Dropbox geprobeerd, maar de beperkingen lieten me er direct weer mee stoppen. De enige die een beetje in de buurt komt is Cubby
Nadeel vind ik dat alle gesyncte bestanden de user/group krijgen waar sync onder draait. Dat is misschien voor een gebruiker niet erg maar om folders tussen servers te syncen gewoonweg onhandig. Ik ben dan ook overgestapt op inotify + csync2 + wat custom scripts en dat werkt subliem.
Rechtstreeks vanaf de Hackito Session result site:

"Comment: This is not a professional assessment but a community effort to analyze a solution used by the public. This is a quick response to some critics on this Hackito Session results, this is not a commercial report :-)"

De sync-hashes worden gebruikt voor read/write access voor een gedeelde map. Zoals BitTorrent ook aangeeft in haar verweer.

Wat ik wel opmerkelijk vond, is dat de web administration interface van de Linux client zo enorm slecht beveiligd is, met verkeer in HTTP zonder encryptie.

OfficiŽle antwoord van BitTorrent waarbij ze zeer open staan voor commentaar aangaande Sync: http://forum.bittorrent.c...-is-our-highest-priority/
Dan ga je er vanuit dat ze liegen. Als het geen onzin is wat die hackers roepen dan zou ik zeggen dat de bal nu bij hun ligt. Demonstreer maar dat je het echt kunt kraken, breng tools uit, dan gaat bittorrent keihard nat lijkt me. Als we nu niks meer van de hackers horen dan ga ik er vanuit dat bittorrent dus blijkbaar gelijk heeft.
Moet zeggen dat deze sync software me zeer goed bevalt.
T vervangt langzaam ook andere backup methodes in mn workflow....
dus hoop dat t veilig blijft
Ze claimen dus fouten te hebben gevonden maar leveren geen bewijs voor een bruikbare exploit aan. Dus heb je er niks aan.
De software van BTSync hoeft niet per-se open-source te worden, als het protocol maar wel open wordt. Dan kunnen anderen het protocol doorzoeken op onvolkomenheden. En anderen kunnen een eigen implementatie maken. Zolang dat allemaal binnen het protocol en zonder extra-reverse-engineering werkt, is het naar mijn idee veilig genoeg.

Vergelijk het een beetje met de ontwikkeling van vnc (in de jaren 1990...) Aanvankelijk een eigen ontwikkeling maar al vrij snel alles open gegeven. Nu zijn er diverse implementaties, elk met eigen toevoegingen, maar binnen de basis nog steeds compatibel. Het origineel is er zelfs enige tijd niet geweest, nu zou dat 'realvnc' zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True