Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de Freak-bug die beveiligde verbindingen naar een zwakkere encryptie weet te dwingen. Dankzij de Amerikaanse overheid én slordige leveranciers.
De Freak-bug is het zoveelste security-incident van de afgelopen tijd dat grote reikwijdte heeft en ook nog eens een flinke historie. Na geruchtmakende kwetsbaarheden zoals Heartbleed, Shellshock en laatst nog de vijftien jaar oude Jasbug voor Windows volgt Freak. Ook dit securityprobleem stamt uit oude tijden: toen de overheid van de Verenigde Staten encryptie nog aan banden legde voor export.
Softwaremakers werden in de jaren negentig door de regering Clinton gedwongen om twee ‘soorten’ encryptie aan te houden in hun producten. De ene, krachtige, was voor gebruik binnen de VS. De andere, zwakkere, was toegestaan voor export naar landen buiten de VS. Terwijl die situatie allang niet meer aan de orde is, blijkt de zwakkere encryptie nog aanwezig in veel hedendaagse software. Dankzij Freak zijn beveiligde verbindingen ‘terug’ te dwingen naar die oude, tegenwoordig makkelijk kraakbare encryptie. Let op: de zwakkere encryptie zit niet alleen in oude software die nog in gebruik is, maar ook in nieuwe software. Zoals bijvoorbeeld iOS, Android en Windows 8.1 die allemaal nog niet bestonden toen het exportverbod voor sterke encryptie van kracht was. Slordig! Wat vind jij?
“Wat vind jij?”
Ik vind het een schande. De verantwoordelijken horen in de cel thuis.
Voor mij is het geen echt nieuws. Grote delen van code worden overgenomen in nieuwe besturingssystemen en blijven op die manier vaak heel lang in gebruik, inclusief fouten en lekken. Wat ik echter wel schandalig vind is dat bedrijven de gebruiker op kosten jaagt door eigenlijk te verplichten om steeds voor veel geld nieuwe versies aan te schaffen, juist vanwege ‘veiligheid’ , die in de praktijk een wassen neus blijkt.
Ik ga er van uit dat alle digitale encryptie die door de USA is ontwikkeld ook geprogrammeerde achterdeurtjes heeft. Niet één, maar een veelvoud. Snowden heeft onlangs een toespeling hierover gemaakt.
Ook om Truecrypt hangt een zweem van complottheorie. Deniable storageoplossingen zijn dus ook niet veilig.
Zelfs de banken zijn gekraakt ondanks certificaten en ssl, waarover ook geheimzinnig wordt gedaan. Zelfs een VPN tunnel is schijnveiligheid.
Mijn conclusie is dat alle digitale data met een online verbinding ongeveer vrij toegankelijk is voor de meest intellectuele hackers of zeker voor veiligheidsdiensten zoals de NSA.
Als je je data veilig wilt opslaan doe dat dan off-line. Moet je encryptie toepassen gebruik dan de One-Time Pad methode.