1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Конец TrueCrypt: программа небезопасна, разработка прекращена, сайт закрыт.

Зловещее предостережение или мистификация? TrueCrypt предупреждает: эта программа небезопасна, разработка остановлена

Это мистификация или финиш для TrueCrypt?

На данный момент это пока что спекуляция на появлении на странице TrueCrypt на SourceForge зловещего предупреждения. В тексте сообщается, что это криптографическое программное обеспечение с открытым кодом небезопасно и что его разработка прекращена.

Показать связанные сообщения

В VeraCrypt пропатчены критические уязвимости

StrongPity жаждет знать подзамочные секреты

В VeraCrypt закрыты две критические бреши

Страница также содержит пошаговые инструкции о том, как мигрировать с TrueCrypt на BitLocker, ПО от Microsoft для шифрования файлов и дисков.

Пока не ясно, был ли сайт взломан или же разработчики узнали о критической уязвимости либо бэкдоре, который ставит под угрозу целостность программы, загруженной более 28 млн раз.

В прошлом году проводился аудит TrueCrypt, чтобы определить, имело ли место вмешательство в программу, в свете разоблачений Эдварда Сноудена относительно программ по слежке Агентства национальной безопасности. Результаты первой фазы аудита были выпущены в апреле 2014 года компанией iSECPartners от имени OpenCryptoAuditProject (OCAP, проект аудита криптографических инструментов с открытым кодом), и бэкдоров найдено не было. Первая фаза была сфокусирована на загрузчике TrueCrypt и драйвере ядра Windows. По словам Кеннета Вайта, старшего инженера по информационной безопасности в Social & Scientific Systems, одного из архитекторов OCAP, были проведены исследования архитектуры и кода.

Вторая фаза, пока не начавшаяся, будет фокусироваться на корректности реализации генераторов случайных чисел и критических алгоритмов в криптографических пакетах.

Многие эксперты невысоко оценивают вероятность того, что это просто взлом. Руна А. Сандвик, исследователь в области информационной безопасности и приватности и советник по аудиту TrueCrypt, рассказал Threatpost, что текущая версия (7.2), размещенная на странице SourceForge, была подписана позавчера тем же ключом, который использовался TrueCrypt Foundation на протяжении двух лет. Также это подтвердил исследователь из «Лаборатории Касперского» Костин Райю.

«В случае взлома вы обычно ждете визуальных изменений веб-сайта. В этом случае также сменилось программное обеспечение, — сказал Сандвик. — Программа была модифицирована так, чтобы отображать предупреждение при запуске, а также отображать предупреждение в качестве части стандартного интерфейса».

Сандвик сообщил, что он провел быстрый анализ инсталлятора и увидел, что от него не исходит никакого сетевого траффика.

«Если бы инсталлятор содержал кейлоггер, мы бы увидели, как в определенный момент он связывается с другим хостом и передает информацию. Раз не было сетевого трафика, значит, в нем нет компонента, который пытался позвонить домой, — пояснил Сандвик. — Заметьте, что я провел только очень скорый анализ, более глубокое погружение может выявить какие-то подозрительные компоненты».

Также в Twitter пошла волна спекуляций о том, что прекращение разработки связано с объявлением об аудите TrueCrypt. В своем Twitter Вайт назвал это необоснованным и сказал, что это объявление имеет отношение к предстоящей инициативе OCAP.

«Как правило, каждый раз, когда известный сайт заменяется лаконичной статической страницей (гораздо меньше перенаправлений), стоит сохранять осторожность, — сообщил Вайт Threatpost, добавив, что OCAP уже связывается с разработчиками TrueCrypt для получения дополнительных сведений. — Но в данный момент, боюсь, мне нечего добавить».

Конец TrueCrypt: программа небезопасна, разработка прекращена, сайт закрыт

Официальный сайт популярной бесплатной опенсорсной программы для шифрования TrueCrypt truecrypt.org перестал существовать в прежнем виде. При заходе на truecrypt.org теперь происходит редирект на официальную страницу проекта TrueCrypt на SourceForge: truecrypt.sourceforge.net, которая также изменилась до неузнаваемости. Теперь на официальной странице TrueCrypt показывается сообщение о прекращении разработки программы, а также о том, что программа TrueCrypt небезопасна, может содержать уязвимости, и что всем пользователям TrueCrypt рекомендуется прекратить ее использование.

В сообщении говорится, что «разработка TrueCrypt была прекращена в мае 2014 года после того, как Microsoft прекратила поддержку Windows XP» (здесь можно отметить, что поддержка XP закончилась не в мае, а еще 8 апреля, поэтому непонятно, зачем нужно было ждать почти два месяца, чтобы объявить о закрытии). Как далее поясняется в сообщении, в операционных системах Windows 8, 7 и Vista имеется встроенная технология BitLocker, позволяющая создавать зашифрованные диски. Всем пользователям TrueCrypt рекомендуется перешифровать свои данные с помощью BitLocker. На странице приводится инструкция, как это сделать. Как поясняется в сообщении, «эта страница существует только для того, чтобы помочь перенести данные, зашифрованные с помощью TrueCrypt».

Читать еще:  Kutools — пакет полезных аддонов для Microsoft Office

Со страницы также предлагается скачать программу TrueCrypt 7.2 (до сих пор последней версией TrueCrypt была версия 7.1a, вышедшая 7 февраля 2012 года, но теперь она убрана с официального сайта). Предлагаемая к скачиванию версия 7.2 позволяет только расшифровать данные, но функция шифрования в ней отсутствует, и при этом демонстрируется сообщение о небезопасности программы. Надо отметить, что TrueCrypt 7.2 подписана тем же ключом, что и предыдущая версия 7.1a.

Можно, конечно, предположить, что официальный сайт TrueCrypt и страница проекта на SourceForge были взломаны, а ключ разработчиков похищен, но, на наш взгляд, в этом случае злоумышленникам было бы гораздо выгоднее выложить новую версию TrueCrypt с бэкдором без объявления о закрытии проекта.

В середине мая Софтодром опубликовал результаты своего расследования, посвященного вопросу о том, кто создал TrueCrypt (в течение 10 лет это было неизвестно). Если эти два события взаимосвязаны, то можно предположить, что разработчики пришли к выводу, что в сложившейся ситуации наиболее правильным решением будет закрытие проекта.

Жизнь после TrueCrypt

Проект TrueCrypt был заброшен, и использование этого инструмента небезопасно, — объявил автор этого известного и популярного приложения для шифрования. Настало время задать вопрос: пора ли начать искать альтернативу, и если да, то какие у нас варианты?

Содержание
TCnext VeraCrypt DiskCryptor FreeOTFE AxCrypt В стандартной комплектации в системе шифрования дисков Sophos SafeGuard Symantec

Разработка приложения TrueCrypt закончилась в мае 2014 года, и тот факт, что автор отказался от проекта, до сих пор окутан тайной. Очевидно, это не первый случай, когда программное обеспечение с открытым исходным кодом перестало разрабатываться. Иногда это является результатом огромного объема деятельности основного программиста или группы людей, которые не хотят посвящать свое свободное время работе на сообщество. В других случаях это является результатом приобретения компании, которая разработала программное обеспечение или изменения лицензии. Однако в случае TrueCrypt сообщение об окончании этого проекта появилось неожиданно. На официальном сайте автор сообщил, что программа небезопасна, так как может содержать неотработанные уязвимости безопасности.

Мгновенные рассуждения о TrueCrypt появились в сети. В то время самым убедительным показался тезис о том, что сайт или домен был захвачен хакерами, и через несколько дней все будет прояснено. Мы знаем много недель спустя, что этого не произошло. В связи с этим еще один слух приобретает все большее значение: АНБ или другое правительственное учреждение должны были заставить автора приложения поставить калитку в программное обеспечение, чтобы службы могли легко получить доступ к зашифрованным данным пользователя.

Говорить о TrueCrypt в прошлом слишком просто, потому что ни в одной версии этого приложения не было обнаружено никаких уязвимостей. Это означает, что программа по-прежнему позволяет безопасно хранить данные на дисках и съемных носителях. Однако обратите внимание на версию приложения, которую вы намерены загрузить.

Возможность загрузки последней «легальной» версии программы, обозначенной номером 7.1a, исчезла с веб-сайта проекта (truecrypt.org). Вместо этого был опубликован новый выпуск 7.2 этого приложения, который будет использоваться для переноса зашифрованных данных с томов TrueCrypt на носители, защищенные другими инструментами и механизмами шифрования. Несмотря на сомнительную репутацию, эта версия программного обеспечения появилась на некоторых файлообменниках, в том числе на польском.

Даже теория заговора связана с окончанием проекта TrueCrypt. Если вы объедините первые буквы сообщения, опубликованного на веб-сайте TrueCrypt: «Использование TrueCrypt небезопасно, поскольку оно может содержать нефиксированные проблемы безопасности», то вставьте эту строку (uti nsa im cu si) в Google Translate для перевода с латыни на польский, вы получите «Если вы хотите использовать АНБ».

В Интернете есть много альтернатив TrueCrypt, хотя ни одна из них не имеет такой хорошей репутации. Завершение разработки программы — это также прекрасная возможность подумать о том, какой инструмент шифрования данных вам нужен.

TrueCrypt — слишком хорошее и слишком популярное программное обеспечение, чтобы позволить его пользователям просто исчезнуть. Под лозунгом «TrueCrypt не может умереть» был запущен проект TCnext , в котором авторы пытаются собрать всю информацию о том, что на самом деле произошло с этим приложением. Вы также можете скачать последнюю «легальную» версию TrueCrypt 7.1a с truecrypt.ch. Инициаторы проекта решили запустить дополнительные серверы в Швейцарии в случае (потенциальных) проблем с загрузкой из США.

Читать еще:  Have I Been Pwned — проверка на взлом почты и паролей

Статистика, собранная с сайта truecrypt.ch, доказывает, что спрос на преемника TrueCrypt очень высок. Только в первые 10 дней июня последняя безопасная версия этого приложения, отмеченная номером 7.1a, была загружена более 30 000 раз. Интересно, что это относится не только к людям, использующим Windows (около 14 000 загрузок), но также к OS X (6000) и Linux (10 000).

Старый добрый TrueCrypt не должен быть забыт. Последняя «легальная» версия этой программы, обозначенная номером 7.1a, по-прежнему доступна для скачивания, в том числе из truecrypt.ch.

В начале июля было принято решение о новом названии разрабатываемой заявки. Выбор пал на «CipherShed» из-за того, что слова «crypt» и «true» в названии программы шифрования могут быть юридически защищены. Читатели VeraCrypt, приложения, которое уже можно использовать в качестве замены оригинала, заявили о своей готовности сотрудничать в разработке преемника TrueCrypt.

Шифровальщик TrueCrypt содержит баги, но в целом безопасен

Xakep #252. Чемоданчик хакера

Анонимный автор TrueCrypt прекратил работу над проектом еще 2014 году, посоветовав пользователям переходить на другие приложения для шифрования, так как сам TrueCrypt небезопасен. Но программу, невзирая на существование форков VeraCrypt и CipherShed, по-прежнему используют миллионы пользователей. Теперь аудит проекта заказало правительство Германии, и эксперты пришли к неожиданному выводу: TrueCrypt действительно содержит ряд багов, но его вполне можно считать надежным.

На этот раз аудит кода TrueCrypt заказало Федеральное управление по информационной безопасности (German Federal Office for Information Security), а осуществляли проверку специалисты института Фраунхофера. Аудит занял у них полгода, а исследованию подверглась новейшая версия TrueCrypt — 7.1a. По итогам проверки аудиторы пришли к выводу, что продукт «гораздо безопаснее, чем предполагали предыдущие исследования».

Ранее TrueCrypt проверяли неоднократно. Так, группа криптографов завершила аудит исходного кода программы в апреле текущего года, невзирая на тот факт, что автор официально забросил проект год назад. 21-страничный отчет опубликован на сайте Open Crypto Audit Project (OCAP). Тогда TrueCrypt был признан хорошо спроектированным образцом криптографического ПО. Проверка не выявила никаких следов или значительных ошибок архитектуры, которые могут привести к уязвимостям. Правда, тогда аудиторы скорее искали бэкдоры.

Немного позже, в начале октября 2015 года, участник Google Project Zero Джеймс Форшоу (James Forshaw) сообщил, что аудиторы упустили кое-что из виду. Форшоу обнаружил сразу две уязвимости в TrueCrypt (CVE-2015-7358, CVE-2015-7359), обе актуальны для систем семейства Windows и позволяют осуществить эскалацию привилегий. В итоге можно получить права администратора и доступ ко всем данным пользователя, включая зашифрованные. Форшоу тогда написал у себя в твиттере: «Хотя найденные мной баги и не являются бэкдорами, очевидно их все-таки не заметили, во время проведения аудита». Исследователь аккуратно намекнул, что аудиторы OCAP могли не обратить внимания на ошибки, так как искали в коде программы умышленно оставленные там бэкдоры.

Теперь программу для шифрования дисков проверили и немецкие аналитики. Аудит затронул алгоритм шифрования, качество кода и документации, программный дизайн и архитектуру, а также аудиторы поискали в коде TrueCrypt уязвимости. Отдельное внимание было уделено предыдущим исследованиям других групп.

В результате проверки немецкие эксперты пришли к выводу, что у TrueCrypt есть проблемы с качеством документации и удобством эксплуатации. Эксперты сочли приложение неидеальным с точки зрения безопасности, но в то же время назвали его не таким опасным, как принято считать. TrueCrypt вполне можно использовать для хранения данных «в состоянии покоя», то есть на внешнем диске или флеш-накопителе. При этом TrueCrypt не слишком хорош для защиты данных от атак, в ходе которых хакер имеет привилегированный доступ к системе. Но об этом риске было известно еще оригинальным разработчикам программы.

Что касается уязвимостей, обнаруженных Джеймсом Форшоу, исследователи института Фраунгофера пишут, что для реализации данного вектора атаки, злоумышленнику придется сначала получить удаленный или прямой доступ к системе, и лишь потом эксплуатировать брешь.

Так как в отчете OCAP говорилось, что TrueCrypt страдает от ряда багов, связанных с переполнением буфера, немецкие аналитики провели собственные тесты, чтобы проверить, так ли это. Как ни странно, согласно их данным, эксплуатация данных багов оказалась вообще невозможна.

С полным 77-страничным отчетом экспертов можно ознакомиться здесь.

Эрик Бодден (Eric Bodden), профессор Дармштадтского технического университета и глава команды аудиторов пишет:

Читать еще:  Файловая система raw восстанавливаем диск

«В заключение, я бы сказал, что код TrueCrypt, по большей части, в полном порядке. Проблемы, которые мы обнаружили, минимальны, аналогичные бреши могут обнаружиться и в других криптографических программах. В некотором смысле, TrueCrypt не хуже и не лучше его аналогов. Можно было бы улучшить качество кода, некоторые части требуют даже тщательной его реструктуризации, и определенно нужна документация получше. Но в целом, программа делает то, для чего была создана».

TrueCrypt 7.1a + Rus

C этой маленькой, но очень полезной программой, любой пользователь с легкостью сможет создать зашифрованный диск, после чего их можно использовать как обычные логические жесткие диски в вашем компьютере, только перед этим надо будет ввести пароль, который вы же и задаете при создании диска. Программа позволяет пользоваться разными алгоритмами шифрования, например AES, Twofish и другими, скачать TrueCrypt можно в полной новости. Хотелось добавить приятный момент, разработка пока полностью бесплатна и живет за счет пожертвований, не знаю насколько долго это будет продолжаться, но пока так надо пользоваться, в любом случае для нас думаю даже введение платной версии не станет проблемой.

Обратите внимание, что в качестве вашего виртуального хранилища вы сможете использовать как весь жесткий диск так и выбранную его часть, помимо этого вы сможете работать с разными накопителями, дискетами и разными съемными устройствами. TrueCrypt очень проста в использовании, за счет понятного интерфейса и наличии Русификатора внутри архива. Работает утилита на лету, то есть после создания диска вы просто добавляете туда все необходимые данные и они автоматически зашифрованы, что тоже очень удобно, так как не требует от вас постоянного ввода ключа.

Хотелось добавить вот что, начиная с 5 версии TrueCrypt, вы сможете использовать в качестве виртуального хранилища системный жесткий диск. Насколько мне известно, разработчики в новых версиях хотят добавить поддержку шифрования данных находящихся на CD и DVD дисках. Если вам нужно изменить пароль или любые другие параметры зашифрованного диска, то это возможно сделать без проблем, так как все имеющиеся на нем данные будут полностью сохранены, за это переживать не стоит. В качестве пароля TrueCrypt позволяет использовать сразу несколько слов, ключевые файлы, что позволит вам значительно засекретить диск и усложнить его открытие. По сути добавить по программе больше нечего, надеюсь она будет служить вам верой и правдой и все ваши секретные данные так и останутся секретными, приятного пользования!

Название выпуска: TrueCrypt.7.2
Разработчик: truecrypt
Лицензия: FreeWare
Язык: English
Размер: 1.81 MB
ОС: Windows
Скачать:
TrueCrypt 7.1a — 2.65 MB / Русский языковый файл
TrueCrypt 7.2 — версия работающая только на расшифровку

Сайт TrueCrypt предлагает переходить на BitLocker — проект закрыт официально

Официальный сайт популярного инструмента для шифрования с открытым исходным кодом (TrueCrypt) перенаправляет посетителей на веб-страницу, размещенную на SourceForge со следующим сообщением:

ПРЕДУПРЕЖДЕНИЕ: Использование TrueCrypt является небезопасным, так как он может содержать нерешенные проблемы безопасности.

Развитие проекта TrueCrypt было прекращено 5/2014 после того, как Microsoft завершила поддержку ОС Windows XP. Системы Windows 8/7/Vista и выше предлагают интегрированную поддержку зашифрованных дисков и образы виртуальных дисков. Такая встроенная поддержка также доступна на других платформах (Mac OS X, Linux). Вы должны перенести все данные, зашифрованные TrueCrypt на зашифрованные диски или образы виртуальных дисков, поддерживаемые вашей платформой.

В продолжении на веб-странице рекомендуется инструмент BitLocker от Microsoft в качестве альтернативы для пользователей Windows с подробной инструкцией по переходу.

Там же размещена доступная для скачивания на SourceForge новая версия TrueCrypt 7.2 (подписанная действующей цифровой подписью TrueCrypt Foundation), которая при запуске показывает сообщение с тем же жестким предупреждением о небезопасности использования.


Появляется предупреждение при попытке использовать шифрование

Эта версия отказывается от шифрования (может только расшифровывать данные), чтобы заставить таким образом пользователей перейти на альтернативные утилиты шифрования дисков и файлов.

В сети появились первые предположения, что сайт был взломан, как и скомпрометирован установщик TrueCrypt 7.2:

Tl;dr: Сайт взломан, ключи скомпрометированы, бинарник может только расшифровывать данные (и, возможно, протроянен). Не качайте и не запускайте бинарник.

Такой же теории придерживаются и на британском портале The Register.

Однако, возможно, что разработчики действительно решили закрыть свой проект таким оригинальным образом (в стиле Lavabit). На данный момент стоит дождаться официальной информации и воздержаться от загрузки и установки новой версии 7.2, которая все равно лишилась своих возможностей шифровать данные.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector