UMA relatório afirmando que o serviço compartilhado ponto a ponto de compartilhamento de arquivos BitTorrent tem várias falhas em sua criptografia de segurança foi publicado no domingo passado (16th novembro) por um grupo de pesquisadores de segurança no fórum do site Hackito. O relatório afirma que o torrent provavelmente pode conceder à empresa acesso às informações dos arquivos compartilhados dos usuários.
Em um postar por conta própria dois dias depois, BitTorrent contradisse essas acusações.
As acusações
O problema mais sério, os pesquisadores dizem embora, é o vazamento de hashes criptográficos entre as pastas dos usuários colocadas no servidor remoto GetSync.com do BitTorrent. Tendo feito a engenharia reversa do código do programa, suas análises revelaram “Provável vazamento de todos os hashes para getsync.com e acesso do BitTorrent Inc para todos os dados compartilhados”. O relatório completo pode ser encontrado no Site do Hackito Ergo Sum.
Um pesquisador do Hackito disse que a falha de segurança veio, como um resultado, em uma mudança no procedimento de compartilhamento de pasta, após o primeiro lançamento de sincronização. “A mudança de paradigma de compartilhamento que introduziu essa vulnerabilidade aconteceu após os primeiros lançamentos. Isso pode ser o resultado de NSL (Cartas de Segurança Nacional, do governo dos EUA às empresas para pressioná-los a distribuir as chaves ou introduzir vulnerabilidades para comprometer sistemas anteriormente seguros) que poderia ter sido recebido pela BitTorrent Inc e / ou desenvolvedores,“É afirmado no relatório.
A contradição
Em sua contra-postagem de terça-feira, BitTorrent disse que o servidor remoto central está lá apenas para ajudar os usuários a se conectarem uns aos outros. Não participa do processo de sincronização criptografado, eles disseram.
‘Hashes de pasta não são a chave da pasta (segredo). Eles são usados para descobrir outros pares com a mesma pasta. Os hashes não podem ser usados para obter acesso à pasta; é apenas uma forma de descobrir os endereços IP de dispositivos com a mesma pasta. Hashes também não podem ser adivinhados; é um 160 número de bits, o que significa que é criptograficamente impossível adivinhar o hash de uma pasta específica. ', afirma a postagem.
O mecanismo de troca de informações entre as pastas dos usuários do BitTorrent depende de links de conexão criptografados em GetSync.com, mas eles incluem os hashes e a chave criptográfica para as pastas, de acordo com os pesquisadores do Hackito.
Os links contêm apenas as chaves públicas necessárias para as máquinas se conectarem umas às outras e não as chaves secretas das pastas, Estado BitTorrent pelo contrário.
‘Links fazem uso de criptografia de chave pública padrão para permitir a troca de chaves direta e segura entre pares. O link em si não pode ser usado para descriptografar a comunicação, pois contém apenas as chaves públicas das máquinas envolvidas na troca. Depois que uma conexão direta for estabelecida, (o usuário pode verificar isso comparando a impressão digital do certificado para ambos os pares) A sincronização irá passar a chave da pasta por um canal criptografado para o outro par. além do que, além do mais, a chave pública e o hash da pasta aparecem após o # entre no URL, o que significa que todos os navegadores modernos nem mesmo enviarão isso para o servidor. Recursos adicionais foram implementados para proteger ainda mais a troca de chaves usando links, Incluindo (1) os links expiram automaticamente dentro de 3 dias (definir como padrão) e (2) a aprovação explícita é exigida pelo par que o convida antes que qualquer troca de chaves ocorra (também definido como padrão).’, é dito na postagem deles.
Provas do BtiTorrent
Além dessas declarações, a BitTorrent publicou uma carta de uma empresa de segurança da informação - ISEC Partners, contratado por eles para auditar sua implementação de segurança no início deste ano. De acordo com a carta, a auditoria cobre a implementação e o uso de hashes criptográficos, criptografia e randomização do programa, reconhecimento de pasta e troca de pares, mecanismo de troca de chaves e possíveis ataques criptográficos hack.
‘BitTorrent Sync aplicou práticas criptográficas geralmente aceitas no projeto e implementação de Sync 1.4 em julho de 2014,’ a carta diz.
Contudo, podemos concluir que a informação proveniente de ambos os lados - Hackito e BitTorrent está sendo bastante controversa. A melhor proteção possível é ter cuidado ao compartilhar informações confidenciais através do torrent no momento.