Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

MySecureZone

2013.11.07. 08:00 | buherator | 11 komment

Update: The english counterpart of this post by synapse can be found here.

Az utóbbi napokban több ismerős is belefutott a MySecureZone nevű, katonai szintű e-mail titkosítást ígérő IndieGoGo kampányba, ami nem érdemelne külön posztot, ha nem honfitársaink (akik 10 másodperc alatt törik az SSL-t) állnának a kezdeményezés mögött, és nem pislognék tátott szájjal 10 perce a kampány oldal előtt - hiába, ez a példa is alátámasztja, hogy sírva vigad a magyar...

Egy katonai szintű megoldás bemutatásánál eleve többre vágynék néhány marketinges bekezdésnél meg pár csilivili látványtervnél, de dolgozzunk abból, ami van:

  • "we’ve worked hard to create the BEST PRIVACY POLICY in the world" - Egy nagyon körültekintően megfogalmazott betűhalom nyilvánvaló garanciákat nyújt.
  • "Switzerland is famous for its privacy and personal data protection, so this is why we choose to host our servers there" - Svájcnak nincs titkosszolgálata, a külföldi hírszerzők nem kíváncsiak rájuk, a hackerek pedig amúgy is unalmasnak tartják az országot úgy ahogy van.
  • "We’ve implemented open source solutions in creating MySecureZone because we want to achieve greater transparency and therefore greater security" - Juhé, nyílt forrás! Persze az átláthatóság jegyében semmit nem árulnak el a reménybeli befektetőknek a szolgáltatás lelkét biztosító módszerekről... vagy mégis?
  • "Our encryption algorithm is second-to-none and will protect your..." - vá-vá-vá-vááárjunk csak!
    • "Our encryption algorithm"

Ezek után döbbenetes, hogy már több mint 6000 dollár összegyűlt a kampányra (ezt a kiírók akkor is megkapják, ha nem jön össze a célul kitűzött 50 lepedő!), minden esetre a sokk kiheverése után érdemes tovább olvasni:

  • "Your connection to our server will be totally secured" - A kapcsolat titkosított, remek, ezt a GMail is tudja. A szerveren tárolt adatokról egy szó sem esik.
  • "We designed a unique encryption framework called MSEP" - Persze az egésznek már van egy 4 betűs neve (33%-kal jobb az AES-nél, a DES-nél vagy az RC4-nél) \o/
  • "Our email system is web-based, so there’s no need for program installation" - Miért is ne? A web alapú kriptográfiai megvalósításokból még soha nem volt baj.
  • "With our NO LOG policy, you use our system ANONYMOUSLY" - A "privacy expert" készítők a jelek szerint nincsenek tisztában az anonimitás fogalmával (sem)

És még nincs vége, van egy másik videó is - nettó 15mp (biztos drágán adja a tárat a TeCső...), de azért ki lehet kockázni pár érdekes részletet:

  • Startupos zongorakísérettel júzerünk beír egy szuperbiztonságos, 6 karakteres jelszót, amivel az e-mailjét el fogja titkosítani.
  • Megérkezik a "titkosított" üzenet, melynek tárgya nyíltan olvasható.
  • Az anonimitás jegyében láthatjuk, hogy az üzenetet danny küldte.
  • Végül a könnyű kezelhetőség érdekében a fogadó félnek döntenie kell, hogy megbízik-e a szerver SHA-256-ot használó TLS tanúsítványában, melyet az X CA hitelesített. Segítségnek a levéltörzsben szerepelnek a vonatkozó tanúsítvány fingerprintek hexa-kódolt értékei.
  • Bónuszként két különböző "el szeretném olvasni" link is szerepel a levélben, ne kérdezzétek miért.
  • A slusszpoén pedig, hogy ez a figyelmeztető üzenet titkosítás illetve digitális aláírás nélkül érkezik.

Kedves MySecureZone! Kérlek ne hozzatok szégyent a magyar IT-biztonsági szakmára!

Címkék: égés kriptográfia mysecurezone

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

MGS 2013.11.07. 10:33:16

Szakmailag nyilván kérdéses, viszont tény, hogy egy manapság hihetetlenül felkapott témát lovagol meg, a marketing egy laikust simán megfog. Ahhoz képest, hogy pár napja indult, kimondottal jól áll (bár az elején nyilván kicsit megnyomták saját maguk, hogy beinduljon) Szerintem simán összeszedi a zsét, sőt... Kíváncsi vagyok, ki mernek-e jönni a gyakorlatban is ugyanezzel a koncepcióval. Ha addig nem esik le nekik, biztos lesznek jelentkezők bőven, akik majd igazolják/megcáfolják az állításaikat :)
Itt tényleg az a legnagyobb aggály, hogy nagy felhajtást kap és a megvalósításbéli problémák miatt besül. Az sem a megvezetett usereknek, sem a megítélésünknek nem tesz jót.

BTW, a "Boadree" fedőnevű szintén magyar itsec startuppal nem tudja valaki mi lett? Nem akarom a halálhírüket kelteni, de nekem nagyon úgy tűnik, hogy csendben és nyomtalanul eltűntek a süllyesztőben

|Z| 2013.11.07. 10:37:02

Ami nálam kiverte a biztosítékot:
"The competition, which began on Monday, challenges people to decrypt one of these emails and get hold of the message contents. Participants can apply to the firm for access to the encrypted email and the first person to break it open can claim a five per cent share of the firm;"

Forrás:
www.theregister.co.uk/2013/11/05/hungarian_startup_email_crack_contest/

Mert más támadási vektor nincs, a támadónak csak arra van lehetősége, hogy hozzáfér a titkosított e-mail-hez, és azt próbálja brute-force-olni.

Szomorú :(

P1ngW1n 2013.11.07. 12:24:41

Hát most így végigolvasva, akkor már inkább ezt támogatnám:
www.kickstarter.com/projects/ladar/lavabits-dark-mail-initiative

Amúgy pont az a baj, hogy sok META adat a mailekben titkosítatlanul rohangál és így teljes biztonságról beszélni nekem kicsit meredeknek hangzik..

b. á. 2013.11.07. 13:50:19

Anélkül, hogy a webhelyen olvashatónál többet tudnék a szolgáltatásról és a fejlesztőkről, azért védelmükre legyen mondva, hogy könnyen lehet, hogy a hangzatos ökörségeket marketingesek fogalmazták meg. Viszont még ekkor is adták a nevüket valamihez, amihez alighanem nem kellett volna. Másrészt nekem komolyan az jutott eszembe, hogy kicsit olyan ez, mint a gyógyszer- és étrendkiegészítő piac: úgyis mindig lesz valaki, aki előáll azzal, hogy az ő szolgáltatása biztonságosabb és egyben kényelmes, foolproof is, "mellékhatásoktól mentes", szemben egy másik hasonló szolgáltatással, aminek a használata nem túl felhasználóbarát. Biztonságos szolgáltatások esetén szerintem kész megoldásokról érdemes beszélni, ami viszont már összetettebb annál, hogy egy jól érthető marketingzanzába össze lehessen foglalni, de nem feltétlenül olyan eszelősen drága, mint ami a MySecureZone oldalán feltüntetett árak. Szerintem ez a mondat büntet a legjobban: "Installation-free email encryption works stronger and easier than PGP."

Venona project (törölt) 2013.11.07. 19:18:53

@|Z|: "As publicity stunts go it's an interesting idea but, as one El Reg hack noted, if you've broken the encryption would you want a stake in the firm that's trying to sell it?"

Aron bacsi 2013.11.08. 13:41:06

@Venona project: :-) Pont ezen gondolkodtam én is, hogy akkor már minek kellene az a részesedés? Egy kanyi BTC-t se tudnék venni rajta...

ktxxx 2013.11.09. 02:19:18

Hmmm... amúgy tök jó, hogy felposztolja plaintext a jelszót az emailhez, az amúgy is törött HTTPS oldalon (schallenge.mysecurezone.com/), majd gondolom szerver oldalon titkosítja ki.

Ergó ők tudják a titkos levelem tartalmát, innentől meg csak cserkészbecsületszó, hogy azt kinek adják ki...

ktxxx 2013.11.09. 03:29:58

Btw, futnak még: myfort.com, nordrop.com, BeCommunication Ltd., Secure Communication Services Ltd. néven is.

Meg ha az alant látható versenyt is futtatják 250000 dollárért, akkor felmerül a kérdés, hogy minek nekik még $50,000?

Kiálthatok farkast és mondhatom azt, hogy 100% átverés az egész!?

Pl. eléggé fura, hogy a hacking résznek a cssében (DIRLISTing: challenge.mysecurezone.com/reader/css/) nincs semmi arra utaló infó, hogy a login screenen kívül van valami más is az oldalon (egyébként nagyon profi módon egy reset.cssbe hányták bele az oldal többi részét).

Ugyanez igaz a képekre (/reader/images/), vagy a jsre (ami nincs: /reader/js/). A képek neveiben van magyar, szóval azért minimálisan magyaroknak is köze van hozzá az biztos.

Pár link és infó:

www.linkedin.com/company/3229587

web.archive.org/web/20130617035329/http://myfort.com/

nordrop.com/

"We've made a secured audio/video communication system!

You have to download the encrypted audio file, decrypt and decode it, then send it back to us.

If you cope with the decryption, fully explore the details and give the tools to us, we will pay for you:
250.000 Dollar"

buherator · http://buhera.blog.hu 2013.11.09. 16:06:12

@ktxxx: Kösz az infókat, egészen elképesztő!

ktxxx 2013.12.14. 22:51:55

Na vége a dolognak.

Összeszedtek 2,5 milliót, a weboldalt egyből lelőtték (most már minek :D).

Kiírták, hogy senki se hackelte meg őket meg hogy vége a challengenek (idézek: "The challange HAS IS closed"...) és mekkora győzelem, erre a posztra még vettek is likeokat (mivel kb. semmi más nincs likeolva, csak ez, sharek is túl gyanúsak szvsz).