id: Гость   вход   регистрация
текущее время 16:53 28/03/2024
Владелец: ressa (создано 29/05/2014 11:18), редакция от 29/05/2014 11:23 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, политика, законодательство, защита дисков, алгоритмы, truecrypt, исходные тексты, спецслужбы
http://www.pgpru.com/Новости/2014/НаСайтеTrueCryptОпубликованоЗаявлениеОНебезопасностиИЗакрытииПроекта
создать
просмотр
редакции
ссылки

29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.


Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.


Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.


Что касается нового выпуска TrueCrypt 7.2, то fileотличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.


При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=39881


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— unknown (29/05/2014 14:34, исправлен 29/05/2014 16:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

И кому он был нужен? С непонятной лицензией и мутной моделью разработки.


То, что в патчах убрали шифрование и оставили расшифрование — понятно, в свете того, что заявлено. Но ещё зачем-то везде в коментах заменили "U.S." на "United States".

— Гость (29/05/2014 17:24)   <#>
Можно я тоже ставку сделаю? Ставлю на свидетельство канарейки.
— Гость (29/05/2014 17:38)   <#>
Канарейка размеренно как-то всё поменяла, потратила время на рекомендации на сайте по использованию другого софта, для маков и винды. Не торопились, перепроверяли результат по видимому.
— unknown (29/05/2014 17:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может у них были заготовки на такой случай, по примеру этого.
— Ещё_один_гость (29/05/2014 18:44)   <#>
По-моему, намёков достаточно:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
— Гость (29/05/2014 19:06)   <#>
Намёк тут только один, у трукрипта не было сообщества. Одна точка сбоя и она сбойнула. И не важно был ли ЦРУ/Моссад/КГБ замешан или просто разработчик устал. Трукрипта больше нет, и это правильно, это закономерно.
— Гость (29/05/2014 22:02)   <#>
Может и так, с такой лицензией рано или поздно бахнет, пусть тогда пораньше.
— ressa (29/05/2014 22:18, исправлен 29/05/2014 22:52)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Появились подробности о "взломе" сайта, с призывом не использовать версию 7.2, до выяснения всех обстоятельств.
Но тем не менее, вопросов меньше не стало. Разрабы молчат, представители SourceForge тоже подтверждают отсутствие следов взлома, да и вообще все признаки того, что этот 7.2 был собран ной же командой: что диффы, что отладочная инфа, да и собственно Мэтью Грин, проводивший аудит кода тоже подтверждает это. Ну и подозрительно так все и сразу утекло, и gpg ключи и сайт из вэбархива выпилился.. посмотрим, что дальше будет.
Тоже склоняюсь к Свидетельству Канарейки.
Ещё_один_гость, супер, порадовал, спасибо)
P.S. кстати, а это ТС умел скрытую ОСь делать вроде да? Ну т.е. вставляют паяльник, а ты вводишь второй пароль и у тебя открывается чистая ОСь. Какие недостатки этого метода и как это реализовать без ТС?

— Гость (30/05/2014 00:16)   <#>

На сайте наконец-то появился ressa, который не читал вчерашнюю новость на хабре, где ссылка на arstechnica ещё тогда была приведена.


Можно представить, что было так: на разработчиков TC надавили, а они решили не прогибаться, а вот так косвенно с намёком слиться по типу lavabit.


Да.


Например, такие.


/comment73398 + концовка /comment73412.
— Гость (30/05/2014 00:34)   <#>

Скажите, это только я один не знаю, как из archive.org удалить свой сайт? Сколько скандалов было, пруфы к которым находились через вебархив, и ни разу не слышал, чтоб кому-то удалось оттуда что-то стереть. Тем более, непонятно, как стирать сайты из кэша поисковиков. Вроде можно банить поисковые машины, чтобы они не могли проиндексировать, но если контент проиндексировать, я не знаю, как оттуда стереть. Кое-чем cлишком попахивает.


Интересно.


+1.
— Гость (30/05/2014 01:20)   <#>
У поисковиков нет задачи запоминать контент. Гугл, к примеру, как только содержимое исчезает, перестает отдавать кеш, хотя в поиске ещё показывает. Причём происходит всё очень быстро, но можно приготовиться заранее и отдавать новый контент поисковым ботам за пару дней-недель до публичных изменений.
Значит, что разработчик(и) разбираются в поисковой оптимизации. И вебархив возможно имеет штатный интерфейс для удаления всяких нелегальных или пиратских страниц и сайтов, а разработчик(и) об этом тоже знали и приготовились.
Если уж спекулировать про АНБ, то проще предположить, что этот проект был изначально ими же создан, а теперь его сливают по каким-то непонятным причинам. Может дело в независимом аудите непосредственно кода.
— Гость (30/05/2014 01:26)   <#>

Раньше такого не было. Помнится, где-то пол года можно было получить содержимое сайта из кэша после того, как соответствующие страницы уже были удалены.


Интересно, люди со стороны тоже могут удалять? ☺
— Гость (30/05/2014 01:30)   <#>

The Internet Archive
How can I have my site's pages excluded from the Wayback Machine?

You can exclude your site from display in the Wayback Machine by placing a simple robots.txt file on your Web server.

Here are directions on how to automatically exclude your site. If you cannot place the robots.txt file, opt not to, or have further questions, email us at info@archive.org.

If you are emailing to ask that your website not be archived, please note that you'll need to include the url (web address) in the text of your message.
— Гость (30/05/2014 01:34)   <#>

Это зависит от кода ответа на запрос страницы ботами.
— Гость (30/05/2014 01:49)   <#>
Можно сколько угодно делать предположений, но правду не узнать уже никогда. Посмотрим на развитие событий, появится ли форк или нет.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3