Focus op veiligheid

About

Focus op veiligheid

De OpenPGP-keyservers worden gespamd, waardoor GnuPG-installaties onbruikbaar worden. De Amerikaanse overheid wil wederom een backdoor in encryptiesystemen. En Dropbox ondersteunt met eCryptfs versleutelde ext4-bestandssystemen. Deze en andere beveiligingsnieuwtjes lees je in Focus op veiligheid.

Auteur: Koen Vervloesem

OpenPGP-keyservers worden gespamd

De laatste maanden is een eenvoudige, maar vervelende aanval aan de gang op OpenPGP-keyservers. Door keyservers kan je publieke certificaten van andere mensen ontdekken als je op een veilige manier met hen wilt communiceren. Iedereen die geverifieerd heeft dat een certificaat tot een persoon behoort, kan zijn handtekening daaraan toevoegen. Daarmee geeft hij de boodschap dat hij er garant voor staat dat dit certificaat van die persoon is.

De OpenPGP-specificatie legt echter geen bovengrens op aan het aantal handtekeningen dat aan een certificaat toegevoegd kan worden. Echter, GnuPG, de populairste OpenPGP-implementatie, wordt heel traag -en daardoor zo goed als onbruikbaar- als je een certificaat met heel veel handtekeningen importeert.

Robert J. Hansen en Daniel Kahn Gillmor, twee personen uit de OpenPGP-community, ontdekten dat iemand hiervan misbruik heeft gemaakt. Publieke certificaten zijn gespamd met tienduizenden handtekeningen. Iedereen die dus één van deze certificaten zou importeren in GnuPG om met hen te communiceren, zou merken dat dit niet lukt of dat daarna fundamentele bewerkingen met GnuPG onbruikbaar traag worden. Dit soort spam is al langer bekend, maar het is de eerste keer dat het op zo’n grote schaal gebeurt en zo effectief blijkt te zijn. Dat kan anderen wel eens op (verkeerde) ideeën brengen. Zo gebruiken Linux-distributies GnuPG ook om updates van pakketten te verifiëren. Als iemand het publieke certificaat van een distributie zou kunnen spammen op de keyservers, dan zou je je distributie niet meer op een veilige manier kunnen upgraden.

Op het niveau van de keyservers zelf is dit moeilijk op te lossen. Het keyserver-netwerk is als een write-only netwerk opgevat, zodat het bestand zou zijn tegen manipulatie door totalitaire overheden. We kunnen de gespamde accounts dus niet naar hun originele toestand herstellen. Het OpenPGP-project heeft wel een experimentele keyserver opgezet, te weten keys.openpgp.org. Dit maakt geen deel uit van het netwerk en is beschermd tegen dit soort spamaanvallen.

Gillmor heeft patches voor GnuPG, maar het zal nog wel even duren voordat deze in alle distributies opgenomen zijn. Een andere oplossing is om geen gebruik te maken van keyservers, maar certificaten op een andere manier te ontdekken. Dat kan bijvoorbeeld via dns-records (zoals RFC 7929 beschrijft) of via het Autocrypt-project (https://autocrypt.org/), een reeks richtlijnen voor end-to-end encryptie via e-mailclients, zoals Enigmail en K-9 Mail.

Links:

https://dkg.fifthhorseman.net/blog/community-impact-openpgp-cert-flooding.html

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

 

Inbraak in GitHub-account Canonical

Canonical ontdekte op 6 juli 2019 dat iemand in de officiële GitHub-account CanonicalLtd van de makers van Ubuntu ingebroken had. De inbreker creëerde elf nieuwe (lege) repository’s op het account met de naam CAN_GOT_HAXXD_1, enz. Eén van de gebruikersaccounts van een werknemer van Canonical bleek gecompromitteerd te zijn. Het bouwen zelf van Ubuntu gebeurt echter op Launchpad. Dit is Canonicals eigen infrastructuur voor softwareontwikkeling en die staat niet in verbinding met GitHub. Gebruikers van Ubuntu waren dus op geen enkel moment in gevaar. Het lijkt erop dat de inbreker met zijn actie meer de aandacht wilde trekken dan effectief code in de distributie wilde binnen smokkelen.

 

Weer roep om backdoors in encryptie

In de V.S. is weer een campagne gaande om encryptie te verzwakken. De Amerikaanse minister van Justitie, William Barr, klaagde over de “gigantische kostprijs” van encryptie voor de samenleving. Encryptie zou het de politie veel moeilijker maken om misdrijven op te sporen en te voorkomen. Ook de vervolging van criminelen werd een grotere uitdaging. Hij noemde het internet door encryptie een “wetteloze zone” en vergeleek het met de obscure achterbuurten waar politiemensen niet meer durven komen, omdat plaatselijke bendes daar met de scepter zwaaien.

Encryptie zou, volgens Barr, voor extra slachtoffers zorgen die zonder encryptie gered hadden kunnen zijn. Hij riep technologiebedrijven op om in hun communicatiesystemen backdoors voor de politie in te bouwen, zonder daarbij de beveiliging te verzwakken. Volgens hem zouden alle knappe koppen uit de industrie toch een oplossing moeten kunnen vinden om de overheid toegang tot versleutelde communicatie te geven, zonder dat criminelen hier misbruik van kunnen maken.

Het is niet de eerste keer dat deze oproep naar voren komt, maar Barr lijkt -net zoals zijn voorgangers- niet te begrijpen dat wat hij vraagt, onmogelijk is. Elke backdoor, hoe goed afgeschermd ook, introduceert het risico van misbruik door onbevoegden.

Link:

https://www.justice.gov/opa/speech/attorney-general-william-p-barr-delivers-keynote-address-international-conference-cyber

Dropbox ondersteunt weer versleutelde bestandssystemen

Vorig jaar besloot Dropbox om op Linux-systemen alleen nog maar een onversleuteld ext4-bestandssysteem te ondersteunen. XFS, Btrfs en met eCryptfs versleutelde ext4-bestandssystemen vielen sindsdien uit de boot. Full-diskencryptie, zoals met LUKS, was nog altijd mogelijk, omdat dat transparant is voor de Dropbox-software. Het bedrijf heeft ondertussen zijn beslissing, waarop toen veel protest kwam, teruggedraaid: eCryptfs, XFS (op 64-bit systemen) en Btrfs zijn weer ondersteund, net zoals ZFS (op 64-bit systemen).

En verder

Onderzoekers van het beveiligingsbedrijf Qualys ontdekten een kwetsbaarheid in de mailserversoftware Exim, waardoor een lokale aanvaller -en in sommige configuraties ook een aanvaller op afstand- opdrachten met rootrechten kon uitvoeren op de mailserver. Al snel bleek exploitcode te circuleren die een cryptominer installeerde. Beveiligingsonderzoeker Armin Razmjou vond een kwetsbaarheid in de editors Vim en Neovim: als je een speciaal geprepareerd tekstbestand in deze editors opende, kon dit door gebruik van je modeline een willekeurig programma met de rechten van de gebruiker draaien.

Er zijn ook weer wat nieuwe distributies voor beveiligingsprofessionals uitgebracht. BackBox Linux 6, de op Ubuntu gebaseerde distributie voor pentesters, heeft een nieuwe Linux-kernel 4.18 en nieuwe beveiligingstools. Tails 3.15 voor wie anoniem wil surfen heeft een upgrade gekregen naar Tor Browser 8.5.4 en Thunderbird 60.7.2. En Network Security Tookit (NST) heeft met versie 30-11210 een op Fedora 30 gebaseerde bootable live-cd met tools voor netwerkbeveiliging. De webinterface van NST laat nu toe om eenvoudig de gps-locatie uit exif-tags van foto’s of video’s te halen. En Kali Linux heeft een image voor de Raspberry Pi 4 uitgebracht, waardoor je de populaire distributie voor pentesters op het nieuwste model van de Pi kunt draaien.

De mediaplayer VLC heeft een groot aantal lekken opgelost die door het bugbountyprogramma van de Europese Commissie gefinancierd werden. Overigens werd daarna ook een nieuw lek in VLC aangekondigd. MITRE publiceerde het met een CVSS-score van 9,8 (kritiek). Daarna bleek dat de fout niet in VLC zat, maar in een third-party bibliotheek. Dit was al 16 maanden geleden gefikst en sinds VLC 3.0.3 niet meer aanwezig. Degene die de kwetsbaarheid rapporteerde, bleek een oude versie van Ubuntu te gebruiken en wat verward te zijn. MITRE had geen controle uitgevoerd en ook geen contact opgenomen met VLC.

Share
October 2024
November 2024
No event found!

Related Topics