Nul
SecureDrop heeft vast een ernstige kwetsbaarheid die kan zorgen voor de communicatie tussen journalisten en klokkenluiders worden bespioneerd.
SecureDrop is een systeem dat is ontwikkeld door de Vrijheid van de Pers-Stichting voor informanten en bronnen om anoniem en veilig te dienen tips, documenten en media om nieuws verkooppunten zonder angst van de blootstelling.
Media-en communicatiebureaus over de hele wereld maken gebruik van de open-source indiening systeem via Tor, die gebruik maakt van encryptie en behoudt zo weinig metadata mogelijk te verbergen identiteiten.
Het systeem is volledig ethos is gebaseerd op veiligheid en privacy, en dus als ingenieurs ontdekt dat er een ernstige fout die kan eroderen deze principes, ze maakten de gebruikers op de hoogte onmiddellijk.
Op 16 oktober tijdens een interne test, een bug gevonden in de configuratie logica gebruikt wordt tijdens de initiële installatie en veroorzaakt fouten in drie pakketten — tor, ntp, en de tor sleutelring — waardoor de installatie zonder de juiste verificatie van cryptografische handtekeningen.
De pakketten worden opgehaald via HTTP, en dus een aanvaller met toegang tot het netwerk zou het uitvoeren van een Man-in-The-Middle (MiTM) aanval om verbinding te maken met een server en het uitvoeren van externe code.
De kwetsbaarheid werd voor het eerst geïntroduceerd in SecureDrop 0.3, uitgebracht in 2015. Eerdere versies worden niet beïnvloed.
De ingenieurs achter het project bleek de kwetsbaarheid in een blog post op dinsdag.
Het venster van de exploit is zeer strak als een bedreiging acteur — waarschijnlijk in een natie-staat-niveau — zou moeten toeslaan op het moment van installatie. Een cyberattacker zou moeten van de middelen beschikken om het gedrag van een geavanceerde MiTM aanval te vervangen installatie bestanden met schadelijke pakketten op de juiste tijd, evenals het gedrag van zware bewaking op het doel om uit te vinden als SecureDrop is te wijten aan worden geïnstalleerd, en wanneer.
SecureDrop zegt dat afbreuk te doen aan het systeem met behulp van deze fout zou zijn “ongelooflijk moeilijk om af te trekken.”
De kans op een succesvolle aanval in het wild is laag, maar de SecureDrop team heeft getoetst, hun installaties en binaire logs om achter een bewijs van geknoei of actieve aanvallen.
Op het moment van schrijven is er nog geen gevonden.
“We geloven dat alle nieuwsorganisaties zijn tegen zeer geringe risico’ s van deze bug, maar we willen 100 procent transparant over hoe we gereageerd op deze ontdekking, onze denkprocessen achter onze conclusies wat nieuws organisaties kunnen doen als ze zich zorgen maken, en wat we doen om te voorkomen dat een vergelijkbaar incident in de toekomst,” de SecureDrop team zegt.
De Media en andere gebruikers werden bewust gemaakt van de kwetsbaarheid voor de details ging het publiek en werden uitgegeven eigen patches van vorige week, met de nieuwste versie van SecureDrop aanbevolen voor de installatie.
De correctie is nu publiekelijk beschikbaar in SecureDrop versie 0.4.4.
Zelfs een verre dreiging van een compromis is genoeg om serieus genomen te worden, met sommige media het sluiten van oude SecureDrop servers, het opnieuw installeren van het systeem vanuit het niets, en het genereren van nieuwe sleutels.
Vorige en aanverwante dekking
Hackers kapen Coinhive cryptocurrency mijnwerker door een oude wachtwoord Kaspersky Lab probeert te claw back vertrouwen met het transparantie-initiatief van Schadelijke Minecraft apps in de Google Play-tot slaaf te maken uw apparaat naar een botnet
0