Een rapport waarin staat dat de file-sharing peer-to-peer-shared service BitTorrent heeft verschillende gebreken in de beveiliging encryptie gepubliceerd werd afgelopen zondag (16november) door een groep van security onderzoekers in de Hackito web-site forum. Het rapport stelt dat de torrent waarschijnlijk het bedrijf toegang tot gedeelde bestanden informatie van de gebruikers zou kunnen verlenen.
In een post eigen twee dagen na, BitTorrent tegengesproken deze beschuldigingen.
De Beschuldigingen
De meest ernstige kwestie, de onderzoekers zeggen wel, is het lek van cryptografische hashes tussen mappen van gebruikers geplaatst op GetSync.com externe server BitTorrent's. Na reverse-engineered de programmacode, hun analyses geopenbaard "Mogelijke lekkage van alle hashes te getsync.com en toegang voor BitTorrent Inc om alle gedeelde data". Het gehele rapport is te vinden in de Hackito Ergo Sum website.
Een onderzoeker uit Hackito zei dat het lek kwam, als gevolg, in een verandering in de procedure mappen delen, na de eerste synchronisatie versie. "Verandering van het delen paradigma dat dit beveiligingslek introduceerde gebeurde na de eerste releases. Dit kan het gevolg zijn van het NSL zijn (National Security Letters, van de Amerikaanse overheid aan bedrijven om hen onder druk te zetten in het geven van de sleutels of het introduceren van kwetsbaarheden om eerder beveiligde systemen leveren in) die kunnen door BitTorrent Inc en / of ontwikkelaars ontvangen,"Wordt vermeld in het verslag.
De Tegenspraak
In hun contra-post van dinsdag, BitTorrent dat de centrale remote server is er slechts om gebruikers met elkaar te verbinden. Het maakt niet deel te nemen aan de versleutelde synchronisatieproces zeiden ze al.
'Folder hashes zijn niet de map sleutel (geheim). Ze worden gebruikt om andere peers ontdekken dezelfde map. Hashes kan niet worden gebruikt om de toegang tot de map verkrijgen; het is gewoon een manier om de IP-adressen van de apparaten te ontdekken met dezelfde map. Hashes ook niet kan worden geraden; is een 160 bits getal, hetgeen betekent dat het cryptografisch onmogelijk de hash van een specifieke map raden. ', stelt de post.
De informatie-uitwisseling mechanisme tussen de mappen van de BitTorrent-gebruikers is een beroep op versleutelde verbinding schakels in GetSync.com, maar ze zijn de hashes en de cryptografische sleutel tot de mappen op basis van de Hackito onderzoekers al.
De verbindingen bevatten alleen de publieke sleutels voor machines met elkaar verbinden en niet de geheime sleutels van de mappen, BitTorrent staat integendeel.
'Links maken gebruik van standaard public key cryptografie om direct in te schakelen en te beveiligen sleutel uitwisseling tussen collega's. De koppeling zelf kan niet worden gebruikt voor het ontsleutelen van de communicatie bevat alleen de publieke sleutels van de bij de uitwisseling machines. Na een directe verbinding tot stand, (de gebruiker kan nagaan of door het vergelijken van het certificaat vingerafdruk voor zowel collega's) Sync zal de map sleutel voorbij een versleuteld kanaal voor de andere 'peer. Bovendien, de publieke sleutel en de map hash verschijnen na de # teken in de URL, wat betekent dat alle moderne browsers niet zelfs dit zal sturen naar de server. Extra functies zijn geïmplementeerd om verder te verzekeren van de sleutel uitwisseling met behulp van koppelingen, Inclusief (1) de links automatisch in vervallen 3 dagen (ingesteld als standaard) en (2) uitdrukkelijke goedkeuring is vereist door de uitnodigende collegiale voordat een sleutel uitwisseling plaatsvindt (ook als default).', wordt gezegd in hun post.
BtiTorrent's Bewijzen
ISEC Partners - Naast deze uitspraken een brief van een informatiebeveiligingsbeleid bedrijf publiceerde BitTorrent, ingehuurd door hen te controleren hun veiligheid implementatie eerder dit jaar. Volgens de brief van de audit heeft betrekking op de implementatie en het gebruik van cryptografische hashes, encryptie en randomisatie van het programma, map erkenning en peer uitwisseling, key exchange mechanisme en mogelijke cryptografische hack-aanvallen.
‘BitTorrent Sync toegepaste algemeen aanvaarde cryptografische praktijken in het ontwerpen en implementeren van Sync 1.4 vanaf juli 2014’ de brief zegt.
Alles bij elkaar, kunnen we concluderen dat de informatie afkomstig van beide zijden - Hackito en BitTorrent is dat nogal controversieel. De beste bescherming is om op te passen van gevoelige informatie te delen via de torrent op het moment.