Varias personas han escuchado que Crypto Cat tiene algunos fallos de seguridad. ¿Alguien ha realizado un análisis del sistema y ha escrito un documento técnico? Tengo curiosidad por saber cuáles son las fallas específicamente y qué soluciones podrían implementarse para solucionarlas.
¿Alguien ha realizado un análisis del sistema y ha escrito un papel blanco?
Sí, aquí está el Informe del Pentest público de Cure53 para Cryptocat 2 (PDF) , y esta es su conclusión:
Conclusión
Cryptocat 2 ha alcanzado un gran nivel de madurez en un período muy corto de tiempo. Es digno de elogio que el equipo de desarrollo haya demostrado ser excelente. experiencia en la creación de código seguro, a pesar de la complejidad de la tarea a mano. Si bien el proceso de comunicación es crítico en el Marco de auditorías dinámicamente actualizado (tanto durante la asignación y después de su finalización), fue excepcionalmente bien manejado en este caso, resultando en las cuestiones discutidas adquiriendo casi Arreglos inmediatos. Ilustrémoslo diciendo que en varias ocasiones retroalimentación con notificación de corrección exitosa ha logrado ¡Póngase en contacto con nosotros al mismo tiempo para seguir con la preparación del correo electrónico!
Sin embargo, los problemas que hemos visto subrayan la importancia de una arquitectura de seguridad bien planificada y bien implementada dentro de Extensiones de navegador. Hay que recordar que una vulnerabilidad que provoca una ejecución de script bastante inofensiva en la aplicación web En el contexto, podría convertirse en una escalada de privilegios perjudicial o ejecución remota de código cuando se descubre y explota en una extensión del navegador. Cure53 quisiera agradecer a Radio Free Asia, la todo el equipo de desarrollo de Cryptocat y Nadim Kobeissi en particular, para Este desafiante y completo proyecto de gestión profesional.
EDITAR: también me gustaría remitirlo a esta explicación simple pero efectiva de @ Adnan sobre las diferencias entre qué Cryptocat solía ser, y cuál es el cambio más esencial en su modelo de confianza / seguridad desde que se mudó a Cryptocat 2:
Al mover el código a un complemento del navegador, ahora debe confiar en el fuente sólo la primera vez que descargue el código. Comunicacion todavia Ocurre entre usted y el servidor, el cifrado y el descifrado todavía Ocurre en su navegador, el código sigue siendo JavaScript y HTML5. los La única diferencia aquí es que la próxima vez que se conecte a CryptoCat servidores, no necesita confiar en el código que le envían. El codigo en su navegador todo el tiempo, puede auditarlo y verificarlo cada vez que querer.
Lea la respuesta completa para una mejor perspectiva de lo que se está discutiendo en ese hilo, solo he incluido un breve extracto de él, que no quiere imponerse a los propios esfuerzos de Adnan.
Tuve una conversación con el desarrollador principal de cryptocat y pensé que debería publicar su correo electrónico aquí:
De Nadim Kobeissi
Con respecto a la seguridad, Cryptocat ha sido auditado en numerosas ocasiones por Empresas de seguridad profesional. Nuestra última auditoría de Veracode dio nosotros una puntuación de 100/00: enlace
Todavía hay trabajo por hacer como el campo de la criptografía del navegador es nuevo, pero estoy seguro de que Cryptocat tiene una seguridad impresionante.
Te invito a que también veas nuestro código base: enlace
... y documentación: enlace
NK
A pesar de las auditorías de seguridad, resulta que hasta hace poco Cryptocat tenía una falla importante que afectó a los chats grupales:
Según el experto en seguridad Steve Thomas, los mensajes [de chat grupal] enviados a través de Cryptocat entre el 17 de octubre de 2011 y el 15 de junio de 2013 están en peligro. El agujero de seguridad afecta a todas las versiones del software de chat desde 2.0, ya que el agujero solo se descubrió y cerró en la versión 2.0.42. En su sitio web, Steve Thomas tiene una gran oportunidad con los desarrolladores de software.
Lea otras preguntas en las etiquetas web-application