Defectos en Crypto Cat

10

Varias personas han escuchado que Crypto Cat tiene algunos fallos de seguridad. ¿Alguien ha realizado un análisis del sistema y ha escrito un documento técnico? Tengo curiosidad por saber cuáles son las fallas específicamente y qué soluciones podrían implementarse para solucionarlas.

    
pregunta Charles Hoskinson 09.06.2013 - 06:53
fuente

3 respuestas

8
  

¿Alguien ha realizado un análisis del sistema y ha escrito un   papel blanco?

Sí, aquí está el Informe del Pentest público de Cure53 para Cryptocat 2 (PDF) , y esta es su conclusión:

  

Conclusión

     

Cryptocat 2 ha alcanzado un gran nivel de madurez en un período muy corto   de tiempo. Es digno de elogio que el equipo de desarrollo haya demostrado ser excelente.   experiencia en la creación de código seguro, a pesar de la complejidad de   la tarea a mano. Si bien el proceso de comunicación es crítico en el   Marco de auditorías dinámicamente actualizado (tanto durante la asignación   y después de su finalización), fue excepcionalmente bien manejado en   este caso, resultando en las cuestiones discutidas adquiriendo casi   Arreglos inmediatos. Ilustrémoslo diciendo que en varias   ocasiones retroalimentación con notificación de corrección exitosa ha logrado   ¡Póngase en contacto con nosotros al mismo tiempo para seguir con la preparación del correo electrónico!

     

Sin embargo, los problemas que hemos visto subrayan la importancia de   una arquitectura de seguridad bien planificada y bien implementada dentro de   Extensiones de navegador. Hay que recordar que una vulnerabilidad que   provoca una ejecución de script bastante inofensiva en la aplicación web   En el contexto, podría convertirse en una escalada de privilegios perjudicial   o ejecución remota de código cuando se descubre y explota en una   extensión del navegador. Cure53 quisiera agradecer a Radio Free Asia, la   todo el equipo de desarrollo de Cryptocat y Nadim Kobeissi en particular, para   Este desafiante y completo proyecto de gestión profesional.

EDITAR: también me gustaría remitirlo a esta explicación simple pero efectiva de @ Adnan sobre las diferencias entre qué Cryptocat solía ser, y cuál es el cambio más esencial en su modelo de confianza / seguridad desde que se mudó a Cryptocat 2:

  

Al mover el código a un complemento del navegador, ahora debe confiar en el   fuente sólo la primera vez que descargue el código. Comunicacion todavia   Ocurre entre usted y el servidor, el cifrado y el descifrado todavía   Ocurre en su navegador, el código sigue siendo JavaScript y HTML5. los   La única diferencia aquí es que la próxima vez que se conecte a CryptoCat   servidores, no necesita confiar en el código que le envían. El codigo en   su navegador todo el tiempo, puede auditarlo y verificarlo cada vez que   querer.

Lea la respuesta completa para una mejor perspectiva de lo que se está discutiendo en ese hilo, solo he incluido un breve extracto de él, que no quiere imponerse a los propios esfuerzos de Adnan.

    
respondido por el TildalWave 09.06.2013 - 07:46
fuente
9

Tuve una conversación con el desarrollador principal de cryptocat y pensé que debería publicar su correo electrónico aquí:

De Nadim Kobeissi

  

Con respecto a la seguridad, Cryptocat ha sido auditado en numerosas ocasiones por   Empresas de seguridad profesional. Nuestra última auditoría de Veracode dio   nosotros una puntuación de 100/00:    enlace

     

Todavía hay trabajo por hacer como el campo de la criptografía del navegador   es nuevo, pero estoy seguro de que Cryptocat tiene una seguridad impresionante.

     

Te invito a que también veas nuestro código base:    enlace

     

... y documentación: enlace

     

NK

    
respondido por el Charles Hoskinson 09.06.2013 - 20:53
fuente
6

A pesar de las auditorías de seguridad, resulta que hasta hace poco Cryptocat tenía una falla importante que afectó a los chats grupales:

enlace

  

Según el experto en seguridad Steve Thomas, los mensajes [de chat grupal] enviados a través de Cryptocat entre el 17 de octubre de 2011 y el 15 de junio de 2013 están en peligro. El agujero de seguridad afecta a todas las versiones del software de chat desde 2.0, ya que el agujero solo se descubrió y cerró en la versión 2.0.42. En su sitio web, Steve Thomas tiene una gran oportunidad con los desarrolladores de software.

    
respondido por el David 07.07.2013 - 23:33
fuente

Lea otras preguntas en las etiquetas