Oficjalna strona ostrzega, że TrueCrypt nie jest bezpieczny i nakłania do migracji na inne rozwiązania
-
- Janusz Chustecki,
- 29.05.2014, godz. 14:33
Zaskakująca wiadomość pojawiła się na stronie znanego iprojektu TrueCrypt, który umożliwiał szyfrowanie nie tylko wybranych plików czy partycji, ale również całych systemów operacyjnych (tzw. Full Disk Encryption). Projekt został przerwany …a jako powód podano koniec wsparcia Windowsa XP przez Microsoft. Brzmi jak żart? Jeśli w pierwszym odruchu pomyśleliście, że ktoś podmienił TrueCryptowi stronę internetową, to nie jesteście jedyni.
Na stronach należących do TrueCrypta, oprócz ostrzeżenia, że TrueCrypt nie jest bezpieczny umieszczono bowiem dość precyzyjne instrukcje migracji danych z TrueCrypta do alternatywnych, wbudowanych w odpowiednie systemy operacyjne rozwiązań (tj. do BitLockera na Windows i dla Mac OS X wykorzystując Disk Utility i szyfrowany typ partycji) — co w sumie jest ciekawe, bo wiemy przecież, że NSA chciało namówić twórcę BitLockera do wstrzyknięcia backdoora.
Na stronach TrueCrypta do ściągnięcia została udostępniona rzekomo nowa wersja 7.2 …i wielkie, czerwone ostrzeżenie, że program nie jest bezpieczny i powinien być użyty tylko na czas migracji. Niektórzy twierdzą, że binarka, przynajmniej ta na OS X jest podpisana poprawnym kluczem developerów (tym samym, którym podpisana była wersja 7.1). Ale to w zasadzie nic nie znaczy, bo i klucze mogły zostać wykradzione, o ile zakładamy, ze serwer developerów został przejęty. Na wszelki wypadek sugerujemy POWSTRZYMANIE SIĘ od ściągania TrueCrypta — brak na razie oficjalnych informacji, że treść strony TrueCrypt.org nie jest wynikiem ataku.
Zobacz również:
- Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE
- Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych
Projekt TrueCrypt miał dość burzliwą historię w swoich początkach (oskarżenia o kardzież kodu, wybiegi ze zmianą licencji), ale przez ostatnie lata rozwijany był w dość spokojny i stabilny sposób. Niedawno powstał nawet projekt publicznego audytu kodu TrueCrypta — który we wstępnym raporcie potwierdził brak jakichkolwiek backdoorów. A to w świetle ostatnich doniesień na temat błędu w otwartoźródłowym projekcie OpenSSL, znanego jako HeartBleed koiło serce. Coś tu śmierdzi… Zmiany w kodzie źródłowym nowej wersji TrueCrypta pokazują, że podmieniono funkcję do zakładania nowych bezpiecznych kontenerów na taką, która jest zaślepką, wyświetlającą ostrzeżenie podobne do tego, które znajduje się na stronie TrueCrypta.
Czyżby bunt któregoś z developerów? Spiskowe teorie już się pojawiają — jeden z nich dowiedział się o współpracy innych z służbami, albo w ogóle, do wszystkich developerów TrueCrypta przyszło, podobnie jak do BitLockera, NSA i kazało wprowadzić backdoora, postanowili więc ubić projekt, tak jak zrobił to niedawno twórca usługi LavaBit, z której korzystał Edward Snowden. Na razie same pytania i zero odpowiedzi.
