Чтиво TrueCrypt содержит троян, всех предлагают переходить на BitLocker

Тема в разделе "Компьютеры, Интернет, IT-новости", создана пользователем Qim, 31 май 2014.

  1. Qim

    Qim Во все тяжкие Джедай

    Регистрация:
    7 май 2013
    Сообщения:
    739
    Симпатии:
    568

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    — Эта статья была написана 15 мая 2014 года. Softodom нашли имена разработчиков и их адреса и попытались связаться с ними. Возможно, это и привело к закрытию проекта.


    Разработчики TrueCrypt ответили:

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    |

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работали над проектом 10 лет, но ничего не длится вечно.»
    Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though). «Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».
    Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»
    Цитируя разработчика: «Больше нет интереса».
    TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен.

    На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
    Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.

    На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:

    [​IMG]

    22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    говорят, что ничего не произошло:

    Providing some details from SourceForge:
    1. We have had no contact with the TrueCrypt project team (and thus no complaints).
    2. We see no indicator of account compromise; current usage is consistent with past usage.
    3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Thank you,
    The SourceForge Team communityteam@sourceforge.net

    Предположение №1

    Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.
    Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.

    Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

    Предположение №2

    Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.

    Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).
    Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    , а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    .

    К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

    Предположение №3

    Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.

    Почему я так думаю: существует такой блог

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.

    Предположения со страницы

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    :

    Предположение №4

    Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.

    Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности. Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

    Предположение №5

    Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни

    Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

    Предположение №6

    Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.

    Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт. Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.

    Как заметил

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    :

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    :
    12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены.
    Спасибо всем, кто принимал участие в развитии проекта!

    Как бы намекает что процесс ни разу не внезапный.

    Из твиттера

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    :
    (1/4) Truecrypt has released an update saying that it is insecure and development has been terminated

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    (2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
    (3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
    (4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.
    Из твиттера

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    (один из аудиторов TrueCrypt):
    @SteveBellovin @mattblaze @0xdaeda1a I think this is legit.
    TrueCrypt Setup 7.1a.exe:
    • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
    • md5: 7a23ac83a0856c352025a6f7c9cc1526

    TrueCrypt 7.1a Mac OS X.dmg:
    • sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
    • md5: 89affdc42966ae5739f673ba5fb4b7c5

    truecrypt-7.1a-linux-x86.tar.gz:
    • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
    • md5: 09355fb2e43cf51697a15421816899be


    truecrypt-7.1a-linux-x64.tar.gz:
    • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
    • md5: bb355096348383987447151eecd6dc0e
    Другие мысли и интересная информация:

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.



    Ссылки на новости и записи в блогах:

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    — вот эта достаточно неплохо написана

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    — очень хорошая статья (написана, кстати, 15.05.2014)

    Twitter stream:

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.



    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.


    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.



    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.



    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.



    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

     
Загрузка...