Zero
SecureDrop ha risolto un grave vulnerabilità che potrebbe consentire la comunicazione tra giornalisti e informatori per essere spiati.
SecureDrop è un sistema sviluppato dalla Libertà di Stampa Fondazione per i denuncianti e le fonti in modo anonimo e sicuro, inviare suggerimenti, documenti e supporti per la diffusione di notizie, senza timore di esposizione.
Media e le agenzie di tutto il mondo utilizzano l’open-source presentazione del sistema attraverso Tor, che utilizza crittografia e mantiene poco metadati come possibile nascondere l’identità.
Il sistema completo filosofia è basata sulla sicurezza e la privacy, e così quando i tecnici hanno scoperto un grave bug che potrebbe erodere questi principi, hanno fatto gli utenti a conoscenza immediatamente.
Il 16 ottobre durante il testing interno, è stato trovato un bug nella logica di configurazione utilizzato durante l’installazione iniziale e la causa degli errori in tre pacchetti: tor, ntp, e il tor portachiavi — che ha permesso l’installazione senza l’adeguata verifica di firme crittografiche.
I pacchetti vengono recuperati tramite HTTP, e così a un utente malintenzionato di accesso alla rete potrebbe eseguire un Man-in-The-Middle (MiTM) attacco per la connessione a un server ed eseguire l’esecuzione di codice remoto.
La vulnerabilità è stata introdotta nel SecureDrop 0.3, rilasciato nel 2015. Le versioni precedenti non sono interessati.
Gli ingegneri dietro il progetto ha rivelato la vulnerabilità in un post sul blog di martedì.
La finestra di exploit è molto stretto come una minaccia attore-probabilmente a livello di stato-nazione — avrebbe bisogno di colpire al momento dell’installazione. Un cyberattacker avrebbe bisogno di risorse dietro di loro per condurre un sofisticato attacco MiTM per sostituire i file di installazione dannoso pacchetti al momento giusto, così come condurre un’alta sorveglianza sul bersaglio per scoprire se SecureDrop è a causa di essere installato, e quando.
SecureDrop dice che compromettere il sistema con questo difetto potrebbe essere “incredibilmente difficile da tirare fuori.”
La probabilità di un attacco di successo in natura è basso, ma il SecureDrop squadra ha rivisto le proprie installazioni e binari tronchi per scovare eventuali tracce di manomissione o attacchi attivi.
Al momento di scrivere, nessuno è stato trovato.
“Crediamo che tutte le organizzazioni di notizie sono a rischio molto basso questo bug, ma si vuole essere al 100% trasparente come abbiamo reagito a questa scoperta, i nostri processi di pensiero dietro le nostre conclusioni, che le organizzazioni di notizie può fare se sono preoccupati, e quello che stiamo facendo per prevenire incidenti simili in futuro,” il SecureDrop”, dice il team.
Per i Media e per gli altri utenti sono stati informati di vulnerabilità prima che i dettagli è andato pubblico e sono stati emessi privato patch scorsa settimana, con l’ultima versione di SecureDrop raccomandato per l’installazione.
La correzione è ora disponibile pubblicamente in SecureDrop versione 0.4.4.
Anche una lontana minaccia di compromesso è sufficiente per essere preso sul serio, con alcuni mezzi d’informazione di chiusura del vecchio SecureDrop server, reinstallare il sistema da zero, e di generare nuove chiavi di crittografia.
Precedente e relativa copertura
Gli hacker dirottare Coinhive cryptocurrency minatore attraverso una vecchia password Kaspersky Lab cerca di recuperare la fiducia con iniziativa per la trasparenza Dannoso Minecraft app in Google Play schiavizzare il dispositivo a una botnet
0