Senkronizasyon güvenlik sorunlarını reddetti BitTorrent, güvenlik sorunlarını Senkronize etti

BitTorrent'in, popüler eşi olduğunu iddia ettiği gerekçesiyle reddetti -to-peer dosya senkronizasyon programı BitTorrent Sync, kullanıcıların şirket dosyalarına potansiyel olarak erişmesini sağlayan güvensiz bir kriptografik uygulamaya sahiptir.

BitTorrent Sync'in yakın zamanda tersine mühendislik uygulayan bir grup güvenlik araştırmacısı, çeşitli potansiyel güvenlik sorunlarını özetleyen bir rapor yayınladı. Onlar buldular. Bu sorunlardan en önemlisi, kullanıcılar arasında paylaşılan klasörlere karşılık gelen şifreli karmaların sızıntısı ile ilgili olarak, BitTorrent tarafından işletilen uzak bir sunucu olan GetSync.com'a sızmak zorunda kalıyordu.

Analiz, “tüm karmaların olası sızıntısı, inatçıya açıkladı. Tüm paydaşlara BitTorrent Inc için erişim ve erişim, ”dedi. Araştırmacılar raporlarında Hackito Ergo Sum güvenlik konferansının web sitesinde yayınladılar.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Hackito araştırmacıları, farklı ve daha güvenli bir mekanizma kullanan orijinal Sync sürümlerinden sonra piyasaya sürülen klasör paylaşım prosedüründeki bir değişikliğin sonucudur. “Bu, BitTorrent Inc. ve / veya geliştiriciler tarafından alınabilecek NSL (ABD Hükümeti'nden işletmelere anahtarların verilmesi veya daha önceden güvenli olan sistemlerin güvenliği için güvenlik açıklarının getirilmesi konusunda baskı yapması için Ulusal Güvenlik Mektupları) olabilir.”

BitTorrent, topluluk sunucusunun akranlarının birbirlerini keşfetmelerini sağlamak için gerçekte orada olduğunu ve gerçek eşzamanlı bir şekilde eşzamanlı olarak eşzamanlı senkronizasyon sürecinde rol oynamadıklarını açıklamak için topluluk forumuna bir yanıt gönderdi.

BitTorrent Sync genel müdürü Konstantin Lissounov, “Klasör karmaları klasör anahtarı değil (gizli)” dedi. “Aynı klasörle diğer meslektaşları keşfetmek için kullanılıyorlar. Paylaşımlar klasöre erişmek için kullanılamaz; Bu, aynı klasöre sahip cihazların IP adreslerini keşfetmenin bir yoludur. ”

BitTorrent Sync kullanıcıları arasındaki klasör paylaşım mekanizması, Hackito'ya göre klasör karma ve kriptografik anahtarları içeren GetSync.com bağlantılarına dayanır. rapor.

Bununla birlikte, bu bağlantılar sadece makinelerin gizli anahtarları değiştirebilmesinden önce ihtiyaç duyulan genel anahtarları içerdiğini belirtti, Lissounov dedi.

“Bağlantının kendisi sadece kamuyu içerdiği için iletişimin şifresini çözmek için kullanılamaz. değişimde yer alan makinelerin anahtarları ”dedi. “Doğrudan bir bağlantı kurulduktan sonra (kullanıcı, her iki taraf için de sertifika parmak izini karşılaştırarak bunu doğrulayabilir) Sync, klasör eşiğini diğer eş için şifrelenmiş bir kanal üzerinden geçirecektir. Buna ek olarak, ortak anahtar ve klasör karması, URL'deki # işaretinden sonra görünür. Bu, tüm modern tarayıcıların bunu sunucuya göndermeyeceği anlamına gelir. ”

Akran bulmayı destekleyen kamu altyapısından ödün vermeyebilir. Tamamen istemci tarafı uygulamasına bağlı olan Sync programının güvenliği, Lissounov dedi.

Bu iddiaları desteklemek için, bu yıl daha erken bir sözleşme imzalayan bir güvenlik firması olan iSEC Partners'tan bir mektup yayınladı. BitTorrent Sync'in kriptografik uygulamasını denetler. Mektuba göre, iSEC'in gözden geçirmesi programın uygulanmasını ve hash, şifreleme ve rastgelelik oluşturma gibi kriptografik primitlerin kullanımını kapsadı; anahtar değişim mekanizması; davet ve onay süreci; Uzak eşler tarafından klasör bulma ve Sync altyapısına olası kriptografik saldırılar.

iSEC mektubu okur.

ISEC Partners da "BitTorrent Sync, Temmuz 2014'ten itibaren Sync 1.4'ün tasarım ve uygulamasında genel olarak kabul edilen şifreleme uygulamalarını uyguladı." Open Crypto Audit Project tarafından, bu yılın başlarında TrueCrypt kaynak kodunun bir denetimini yapmak üzere sözleşme imzaladı.