29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта
На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.
Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.
Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.
Что касается нового выпуска TrueCrypt 7.2, то отличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.
При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39881
комментариев: 9796 документов: 488 редакций: 5664
И кому он был нужен? С непонятной лицензией и мутной моделью разработки.
То, что в патчах убрали шифрование и оставили расшифрование — понятно, в свете того, что заявлено. Но ещё зачем-то везде в коментах заменили "U.S." на "United States".
комментариев: 9796 документов: 488 редакций: 5664
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
комментариев: 1079 документов: 58 редакций: 59
Появились подробности о "взломе" сайта, с призывом не использовать версию 7.2, до выяснения всех обстоятельств.
Но тем не менее, вопросов меньше не стало. Разрабы молчат, представители SourceForge тоже подтверждают отсутствие следов взлома, да и вообще все признаки того, что этот 7.2 был собран ной же командой: что диффы, что отладочная инфа, да и собственно Мэтью Грин, проводивший аудит кода тоже подтверждает это. Ну и подозрительно так все и сразу утекло, и gpg ключи и сайт из вэбархива выпилился.. посмотрим, что дальше будет.
Тоже склоняюсь к Свидетельству Канарейки.
Ещё_один_гость, супер, порадовал, спасибо)
P.S. кстати, а это ТС умел скрытую ОСь делать вроде да? Ну т.е. вставляют паяльник, а ты вводишь второй пароль и у тебя открывается чистая ОСь. Какие недостатки этого метода и как это реализовать без ТС?
На сайте наконец-то появился ressa, который не читал вчерашнюю новость на хабре, где ссылка на arstechnica ещё тогда была приведена.
Можно представить, что было так: на разработчиков TC надавили, а они решили не прогибаться, а вот так косвенно с намёком слиться по типу lavabit.
Да.
Например, такие.
/comment73398 + концовка /comment73412.
Скажите, это только я один не знаю, как из archive.org удалить свой сайт? Сколько скандалов было, пруфы к которым находились через вебархив, и ни разу не слышал, чтоб кому-то удалось оттуда что-то стереть. Тем более, непонятно, как стирать сайты из кэша поисковиков. Вроде можно банить поисковые машины, чтобы они не могли проиндексировать, но если контент проиндексировать, я не знаю, как оттуда стереть. Кое-чем cлишком попахивает.
Интересно.
+1.
Значит, что разработчик(и) разбираются в поисковой оптимизации. И вебархив возможно имеет штатный интерфейс для удаления всяких нелегальных или пиратских страниц и сайтов, а разработчик(и) об этом тоже знали и приготовились.
Если уж спекулировать про АНБ, то проще предположить, что этот проект был изначально ими же создан, а теперь его сливают по каким-то непонятным причинам. Может дело в независимом аудите непосредственно кода.
Раньше такого не было. Помнится, где-то пол года можно было получить содержимое сайта из кэша после того, как соответствующие страницы уже были удалены.
Интересно, люди со стороны тоже могут удалять? ☺
The Internet Archive
Это зависит от кода ответа на запрос страницы ботами.