29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта
На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.
Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.
Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.
Что касается нового выпуска TrueCrypt 7.2, то отличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.
При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39881
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1079 документов: 58 редакций: 59
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Где зарегистрирована, в USPTO?
EDIT: По-видимому, да.
(REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC 2972 Columbia St. Suite 7914 Torrance CALIFORNIA 90503
(LAST LISTED OWNER) TRUECRYPT DEVELOPERS ASSOCIATION, LC LIMITED LIABILITY COMPANY NEVADA 375 N. STEPHANIE ST. SUITE 1411 HENDERSON NEVADA 890148909
комментариев: 1079 документов: 58 редакций: 59
Кстати, из веб архива сайт truecrypt.org исключен;) Ну и то, что билд последний их ключом подписан – так же опровергает версию о взломе, либо сводит ее до минимума.
Если атакующий получил доступ к компьютеру, то ключи банально могли спереть.
Подключим логику:
1. Не стоит судить о событиях пока мало инфы.
2. Уровень программы достаточно высок, что в некоторой степени исключает невозможность как-то вернуть управление проектом или подправить "ужасно страшный баг из-за которого все закрыли" (баг прошедший независимый аудит). Если конечно автор не скончался или не изолирован (под следствием, болен?).
3. По каким-то причинам автор не хочет или ему не удалось вернуть управление проектом.
4. Сколько человек в команде? Возможно кто-то обиделся и решил отомстить.
5. Спец. службы Чехии дураки, если прошли мимо всемирно известного проекта. США могли просто надавить на правительство Чехии.
6. Разработчикам не имело смысла удалять другие версии программы, что говорит в пользу взлома, давления спец. службы или соры в команде. Они понимают, что это ничего не изменит учитывая свободную лицензию и открытый код.
Вообще удаление кода самое странное тут. Все можно украсть: ключи, пароли, компьютер. Код и программы удалять незачем. Лично мое мнение – банальный дефейс, возможно при участии участника команды разработчиков. Еще и удаление сайта из веб-архива сюда.
комментариев: 11558 документов: 1036 редакций: 4118
Если атакующий получил доступ к компьютеру разработчика, который хранит ключ подписи важного софта не оффлайн, то проблем у такого разработчика и всей команды гораздо больше, чем кажется.
Не факт. В жизни невероятное количество ситуаций, случиться могло все.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
В каких-то патчах была попытка вставить бэкдор и решили замести следы? Чтобы проект уж был закрыт, раз что-то просочилось наружу, но чтобы подробности были неясны.
комментариев: 1060 документов: 16 редакций: 32
комментариев: 1079 документов: 58 редакций: 59
TC топовый криптопродукт. Им пользуются очень многие. Идёт аудит, собраны деньги. Первый этап не выявил уязвимости. Ок. И тут бац —
вторая сменаразработчик не рекомендует использование TC якобы из-за угроз безопасности и подчищает всё и вся.Что это значит? Это значит, как вариант или один из вариантов, что спрос на тщательный аудит возрастёт, и поток донатов аудиторам тоже.
Имитацию тщательного удаления понять не могу, т. к. все версии продукта и кода есть у многих.
Не до конца понятен и юмор авторов по поводу окончания поддержки ХР и рекомендацию битлокера...
А так, обидно и осадок остался, если так поступил автор/соавтор. Всю деятельность проекта за 10 лет свернули в трубочку и засунули...
По поводу чеха — да дроп обычный, скорее всего.
А вот прием донатов и финансовые цепочки, думаю, как и в случае прошлогодних разоблачений, так и здесь, могли вывести заинтересованных лиц на получателей денег.
Смысл всей этой атаки или клоунады мне понятен не до конца. Неадекватно как-то всё это действо и инфы мало пока что.
комментариев: 11558 документов: 1036 редакций: 4118