Twitter: gyengére sikerült a CrypTweet titkosítás

Amióta a Twittert is kiszemelte magának a kiberbűnözés, a szolgáltatáson való bizalmas adatok megosztása nagyon komoly kockázatokat vet fel. A közösségi oldal biztonságra érzékenyebb felhasználói már tudják, hogy nem érdemes mindent kicsiripelni, hiszen az internetes csalók is figyelemmel kísérik a történéseket. Ugyanakkor sokan vannak, akik szerint közbe-közbe jó volna, ha ismerőseikkel mégis meg tudnának osztani információkat olyan módon, hogy azokhoz más ne férhessen hozzá, vagy ha mégis sikerül illetékteleneknek megkaparintaniuk adatokat, akkor legalább ne tudják azoknak hasznát venni. Ezért akik valamilyen rejtélyes oknál fogva minden áron a Twittert akarják használni bizalmas információk továbbítására, felkaphatták a fejüket a CrypTweet nevű szolgáltatás elérhetővé válására.

A CrypTweet alapvetően egy RSA-alapú, nyilvános kulcsú titkosítási infrastruktúrára épül, és ennek megfelelően privát valamint publikus kulcsok segítségével lehet titkosított módon adatokat megosztani a Twitteren keresztül. Legalábbis a fejlesztők elgondolása ez volt, amikor a rendszerüket kialakították. A Python alapú megoldásuk implementálásakor azt is el szerették volna érni, hogy a nyilvános kulcsú titkosítás használata a lehetőségekhez mérten egyszerűvé váljon a Twitter felhasználóinak számára. Azonban azt nem lehet mondani, hogy a Windows, a Mac OS X valamint a Linux kompatibilis CrypTweet első változatának alkalmazása pofon egyszerű lenne, hiszen a különféle összetevők telepítésével, a kulcsok generálásával, kezelésével, migrálásával is van teendő. Ennek ellenére az elgondolás sokak érdeklődését felkeltette.

Biztonsági hiányosságok

Több biztonsági kutató, szakértő is elkezdte alaposabban is szemügyre venni a CrypTweet megoldásait. Sajnos az első tapasztalataik azt mutatják, hogy a szolgáltatásnak még van mit fejlődnie biztonsági szempontból. Ezt egyébként a CrypTweet fejlesztői sem titkolják, és fel is hívták a figyelmet a gyenge láncszemekre. Ezek közé tartozik például, hogy a nyilvános kulcsok tárolására szolgáló szerver felé nincs lehetőség HTTPS-kapcsolatok kiépítésére, a titkos kulcsokhoz tartozó jelszavakat kevésbé biztonságos módon védik, és a Triple DES integrálása is több esetben aggályos módon megvalósított.

Mark Pesce, a CrypTweet szülőatyja elmondta, hogy tisztában van azzal, hogy többen is vizsgálták a kódokat, és azokban hibákat találtak. "Jelenleg várom a sebezhetőségek elemzését, és remélhetőleg tudjuk azokat orvosolni. Addig azonban a CrypTweetre úgy kell tekinteni, mint egy kísérletre, ami egyelőre nem biztonságos" - ismerte el Pesce.

Arról szó sincs, hogy a fejlesztők feladták volna a terveiket, sőt már egy Android kompatibilis változatot is terveznek, de mindenekelőtt a biztonsági problémákon kell úrrá lenniük.