id: Гость   вход   регистрация
текущее время 11:55 29/03/2024
Владелец: ressa (создано 29/05/2014 11:18), редакция от 29/05/2014 11:23 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, политика, законодательство, защита дисков, алгоритмы, truecrypt, исходные тексты, спецслужбы
http://www.pgpru.com/Новости/2014/НаСайтеTrueCryptОпубликованоЗаявлениеОНебезопасностиИЗакрытииПроекта
создать
просмотр
редакции
ссылки

29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.


Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.


Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.


Что касается нового выпуска TrueCrypt 7.2, то fileотличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.


При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=39881


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— SATtva (29/05/2014 11:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Некоторое обсуждение вопроса.
— ressa (29/05/2014 11:34)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Представители sourceforge сообщили, что подозрительной активности нет. А так – конечно бредятина полная, люди, которые написали подобный софт, предлагают использовать BitLocker – ну это жесть.. По поводу анонимности авторов – у продукта зарегистрирована своя торговая марка, т.ч. какая тут анонимность, любой смертный может узнать инфу. Просто подход, видимо, изначально неверный. Как по мне – если уж и прижали их, вынудив внедрить закладку или сделать отсылку к BitLocker – ну пусть просто лицензию изменять на одну из свободных и дадут возможность развивать достойный форк. С другой стороны – это хорошо, сейчас будет проведен более тчательный аудит или появиться аналог.
— SATtva (29/05/2014 11:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Опросик в тему:

29/05 (id180): Использовали/используете ли вы TrueCrypt?
Да 151  76.6%
Нет 25  12.7%
Вообще не использую средства дискового шифрования 21  10.7%
Респондентов: 197
Опрос шел (дней): 31
Добавил: SATtva
— SATtva (29/05/2014 11:39, исправлен 29/05/2014 11:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Где зарегистрирована, в USPTO?


EDIT: По-видимому, да.

Word Mark TRUECRYPT
Goods and Services IC 009. US 021 023 026 036 038. G & S: Computer software for encryption. FIRST USE: 20031122. FIRST USE IN COMMERCE: 20040202
Standard Characters Claimed
Mark Drawing Code (4) STANDARD CHARACTER MARK
Serial Number 78860644
Filing Date April 13, 2006
Current Basis 1A
Original Filing Basis 1A
Published for Opposition November 28, 2006
Registration Number 3208626
Registration Date February 13, 2007
Owner

(REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC 2972 Columbia St. Suite 7914 Torrance CALIFORNIA 90503


(LAST LISTED OWNER) TRUECRYPT DEVELOPERS ASSOCIATION, LC LIMITED LIABILITY COMPANY NEVADA 375 N. STEPHANIE ST. SUITE 1411 HENDERSON NEVADA 890148909

Assignment Recorded ASSIGNMENT RECORDED
Type of Mark TRADEMARK
Register PRINCIPAL
Affidavit Text SECT 15. SECT 8 (6-YR).
Live/Dead Indicator LIVE
— ressa (29/05/2014 11:48)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
SATtva, неудобно сейчас гуглить подробности, но вот с первых строк прям: "торговая марка "TrueCrypt" зарегистрирована в Чехии на имя некоего Давида Тезарика". Ну и собственно про то, что это чехи – я тоже давно слышал.

Кстати, из веб архива сайт truecrypt.org исключен;) Ну и то, что билд последний их ключом подписан – так же опровергает версию о взломе, либо сводит ее до минимума.
— Гость (29/05/2014 12:18)   <#>
Кстати, из веб архива сайт truecrypt.org исключен;) Ну и то, что билд последний их ключом подписан – так же опровергает версию о взломе, либо сводит ее до минимума.

Если атакующий получил доступ к компьютеру, то ключи банально могли спереть.

Подключим логику:
1. Не стоит судить о событиях пока мало инфы.
2. Уровень программы достаточно высок, что в некоторой степени исключает невозможность как-то вернуть управление проектом или подправить "ужасно страшный баг из-за которого все закрыли" (баг прошедший независимый аудит). Если конечно автор не скончался или не изолирован (под следствием, болен?).
3. По каким-то причинам автор не хочет или ему не удалось вернуть управление проектом.
4. Сколько человек в команде? Возможно кто-то обиделся и решил отомстить.
5. Спец. службы Чехии дураки, если прошли мимо всемирно известного проекта. США могли просто надавить на правительство Чехии.
6. Разработчикам не имело смысла удалять другие версии программы, что говорит в пользу взлома, давления спец. службы или соры в команде. Они понимают, что это ничего не изменит учитывая свободную лицензию и открытый код.

Вообще удаление кода самое странное тут. Все можно украсть: ключи, пароли, компьютер. Код и программы удалять незачем. Лично мое мнение – банальный дефейс, возможно при участии участника команды разработчиков. Еще и удаление сайта из веб-архива сюда.
— SATtva (29/05/2014 12:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Если атакующий получил доступ к компьютеру разработчика, который хранит ключ подписи важного софта не оффлайн, то проблем у такого разработчика и всей команды гораздо больше, чем кажется.
— Гость (29/05/2014 12:32)   <#>
SATtva
Не факт. В жизни невероятное количество ситуаций, случиться могло все.
— SATtva (29/05/2014 12:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Посчитайте количество релизов. Хранить такой ключ на подключённой к сети машине не может быть оправдано ничем.
— unknown (29/05/2014 12:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В каких-то патчах была попытка вставить бэкдор и решили замести следы? Чтобы проект уж был закрыт, раз что-то просочилось наружу, но чтобы подробности были неясны.
— sentaus (29/05/2014 13:02)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Зато сейчас код начнут усиленно вычитывать.
— ressa (29/05/2014 13:07)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Это да, я тоже подумал о том, что сейчас более детально в код вчитаются. Но нужен годный форк, а не просто вчитка в код. Есть конечно tc-play, но я о нем ничего не знаю.
— Гость (29/05/2014 13:23)   <#>
Некогда вникать в детективную составляющую истории, но вот что показалось любопытным.
TC топовый криптопродукт. Им пользуются очень многие. Идёт аудит, собраны деньги. Первый этап не выявил уязвимости. Ок. И тут бац — вторая смена разработчик не рекомендует использование TC якобы из-за угроз безопасности и подчищает всё и вся.
Что это значит? Это значит, как вариант или один из вариантов, что спрос на тщательный аудит возрастёт, и поток донатов аудиторам тоже.
Имитацию тщательного удаления понять не могу, т. к. все версии продукта и кода есть у многих.
Не до конца понятен и юмор авторов по поводу окончания поддержки ХР и рекомендацию битлокера...
А так, обидно и осадок остался, если так поступил автор/соавтор. Всю деятельность проекта за 10 лет свернули в трубочку и засунули...
По поводу чеха — да дроп обычный, скорее всего.
А вот прием донатов и финансовые цепочки, думаю, как и в случае прошлогодних разоблачений, так и здесь, могли вывести заинтересованных лиц на получателей денег.
Смысл всей этой атаки или клоунады мне понятен не до конца. Неадекватно как-то всё это действо и инфы мало пока что.
— Гость (29/05/2014 14:16)   <#>
Получили практически стандарт залоченный на неизвестного вендора со странной лицензией. Это даже интересней чем лок на какой-нибудь микрософт, никто не заставлял и никто не продавал.
— SATtva (29/05/2014 14:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В чём тут vendor lock-in? Данные переносятся на раз. Это же не протокол передачи данных, когда пользователь завязан на существующую инфраструктуру, и не прикладная программа с закрытым форматом файлов, когда существующий архив непонятно куда девать.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3