LINUX.ORG.RU

Сайт TrueCrypt подвергся взлому, скомпрометирована цифровая подпись разработчиков

 , , ,


3

7

Чуть более часа назад неизвестными лицами была взломана страница проекта TrueCrypt на SourceForge.

Содержимое сайта было удалено и заменено на сообщение о том, что разработка TrueCrypt прекращена после окончания поддержки Windows XP, что TrueCrypt небезопасен и уязвим. Также, на странице содержатся инструкции по миграции с TrueCrypt на BitLocker, являющийся встроенным средством шифрования данных в современных ОС Windows.

Кроме того, злоумышленники выпустили фальшивый релиз TrueCrypt 7.2, файлы которого подписаны цифровой подписью разработчиков TrueCrypt. Все старые версии программы были удалены с SourceForge. Очевидно, что ключи разработчиков были скомпрометированы, так как после запуска исполняемого файла «новой» версии, он тоже призывает к использованию BitLocker.

Некоторые параноидально настроенные пользователи уже предположили, что совет переходить на BitLocker является зашифрованным посланием от разработчиков, подвергшихся давлению со стороны спецслужб.

Настоящие разработчики проекта пока хранят молчание. Ни в коем случае не используйте фальшивую версию 7.2. Последняя «настоящая» версия — 7.1.

>>> Подробности

anonymous

Проверено: beastie ()

Самое интересное, что по многочисленным косвенным признакам (отладочная информация в скомпиленных бинарниках, например) этот релиз был сделан той же командой разработчиков, что и обычно.

anonymous ()

Всё, что было на офсайте, кроме последней «зашкваренной» версии, удалено. Интересно, есть ли зеркала, которым можно доверять?

Smacker ★★★ ()
Ответ на: комментарий от Smacker

https://github.com/DrWhax/truecrypt-archive

На данный момент, совершенно неясно, от кого ждать новостей. Разработчики TrueCrypt - анонимы. Специально, чтобы избежать давления со стороны власть имущих.

Единственное сколь-нибудь авторитетное мнение пока поступило лишь от одного из аудиторов, которые проверяли проект на средства, собранные добровольцами. Его мнение - релиз действительно от той же команды, что разрабатывала TrueCrypt все эти годы.

anonymous ()
Ответ на: комментарий от anonymous

Представители SourceForge так же подтверждают, что никаких следов взлома нет, никаких жалоб на угон аккаунта нет, аккаунт используется как обычно.

Даже релиз собран под все платформы и подписан. Всё как обычно. За исключением того, что эта «зашкваренная» версия позволяет лишь расшифровывать данные, но не зашифровывать. И почему-то настойчиво рекомендует BitLocker.

anonymous ()
Ответ на: комментарий от anonymous

На данный момент, совершенно неясно, от кого ждать новостей. Разработчики TrueCrypt - анонимы. Специально, чтобы избежать давления со стороны власть имущих.

Ну вот и как теперь определять (обычному, рядовому человеку), какие сорцы в интернетах «настоящие», а какие уже зафаршмачены вежливыми людьми из NSA или там ещё откуда? Так-то был вопрос только о том, взломан офсайт или нет; если нет, то на нём кошерная версия. А теперь получается, что в сети можно будет найти N версий исходников, и относительно каждой будут сомнения? Особенно, если утекли ключи разработчиков — в качестве «зеркал» могут появиться зафаршмаченные поделки, маскирующиеся под «тот самый чай»?

Smacker ★★★ ()

Настоящие разработчики проекта пока хранят молчание.

Тогда как можно считать, что сайт взломан, если разработчики молчат, а новая версия подписана их цифровой подписью?

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от Smacker

Люди не меняются и мошенники не переведутся. Там где весьма вероятен мотив подмены - нужно не расслабляться.

kott ★★★★★ ()
Ответ на: комментарий от kott

Ну так выходит, что если офсайт не оклемается, то ТруКрипту всё, конец? Если зеркала под подозрением.

Smacker ★★★ ()

Написано, видимо, по мотивам моего поста на хабре, который я уже несколько раз обновил. Что-то мне думается теперь, что это не злоумышленники.

http://habrahabr.ru/post/224491/

ValdikSS ★★★★ ()

Просто в АНБ решили прекратить спонсирование ещё одного своего лжесекьюрного проекта. Так что, хоть 7,2, хоть 7,1 --- разницы нет.

anonymous ()
Ответ на: комментарий от Smacker

Ты имеешь ввиду, не скомпрометирована ли предыдущая «официальная» версия 7.1а? Теперь это вопрос, да:) Но с другой стороны, а что плохого делает новая 7.2, кроме запугивания и режима риоднли?
Мне лично пока ничё не понятно. Но я таки больше склонен к дефейсу. Исходники были, подготовить нынешнюю версию времени хватало, потом стырили пароли и ключи - и веселятся теперь.

kott ★★★★★ ()
Ответ на: комментарий от anonymous

Просто в АНБ решили прекратить спонсирование ещё одного своего лжесекьюрного проекта. Так что, хоть 7,2, хоть 7,1 --- разницы нет.

один комментарий по делу.

fornlr ★★★★★ ()
Ответ на: комментарий от anonymous

И почему-то настойчиво рекомендует BitLocker.

Вообще-то она рекомендует Bitlocker Windows-юзерам, маководам она советует FileVault (как я понял это встроенный в MacOS механизм шифрования), а для Linux вообще что-нибудь с crypt/encryption в имени пакета. Я так понимаю, они просто предлагали самую простую в миграции альтернативу, не парясь насчет ее безопасности/открытости и прочему.

ava1ar ()
Ответ на: комментарий от kott

Ты имеешь ввиду, не скомпрометирована ли предыдущая «официальная» версия 7.1а?

Ну да. А поскольку есть подозрения, что утекли и ключи, теперь проверить зеркало невозможно. Даже если там совпадает подпись, вдруг это пере-подписанная версия с закладками?

Smacker ★★★ ()

Я настолько засекьюреный что у меня апач на 81 порту и версия 1.3.41.
И все пох.

hbars ★★★★ ()

на странице содержаться инструкции по миграции с TrueCrypt на BitLocker

лол.

TheAnonymous ★★★★★ ()
Ответ на: комментарий от Smacker

Да как-раз таки вероятность утечки все меньше и меньше - слишком многое утекло разом:

  • акк на sf
  • домен truecrypt.org
  • ключи для подписи инсталера и файлов на sf
  • mail-сервер на truecrypt.org

Кроме того в диффе исходников много валидных правок (даже в коментариях к коду!) и изменен текст лицензии, который упрощает создание форка (если я правильно понял, что кроме запрета на использование имени truecrypt, других ограничений нет).

В общем вариант со взломом маловероятен. Скорее разработчики просто свернули активность и, возможно, оставили cвидетельство канарейки.

ava1ar ()
Последнее исправление: ava1ar (всего исправлений: 1)

Хммм, а какие есть швабодные альтернативы этой программе?

sT331h0rs3 ★★★★★ ()

Паяльник бракованный попался.

B ()

Это происки ZOG и Microsoft, не иначе...

Meyer ★★★ ()

Есть такое предположение, что TrueCrypt больше не будет?
Очень жаль...

Pronin ★★★★ ()
Ответ на: комментарий от ava1ar

ой, ну спалились виндузятники - в первый раз, что ли?

feofil ()

Триумфальное шествие HeartBleed? В какой степени можно сейчас доверять SourceForge?

yetanotheruser ()

А кому была нужна это полу-пропитиритарная поделка, если есть LUKS и dm-crypt?

anonymous ()
Ответ на: комментарий от yetanotheruser

В какой степени можно сейчас доверять SourceForge?

Никому нельзя доверять. Даже Столлман зондами пользуется.

B ()
Ответ на: комментарий от yetanotheruser

Чудное время 2013/14 — Bundestrojaner, Snowden, Роскомнадзор, Heatbleed, TrueCrypt и тот же Lennard с его разрушительной деятельностью. Везде Большой Брат. Доверять нельзя никому. Чего собственно, похоже, и добиваются — разрушение всех основ OpenSource, вольнодумия и других коммунистов изнутри, а именно доверия.

Well played, NSA, well played. Embrace, extend, and extinguish.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от batekman

Жаль, я не зареган нигде, где эта новость обсуждается. Ну хоть здесь мысль вброшу: никого не удивляет, что совсем недавно независимые аудиторы подняли бабла на проверку кода TC на наличие уязвимостей, разработчики TC аудит одобрили (никаких идей с битлокером у них на тот момент и в помине не было), базовая проверка прошла и уязвимостей не выявила, пошел второй раунд сбора денег на следующий аудит, и в этот момент разработчики все бросают и разбегаются? Очевидно же, что это не совпадение. Только вот логики я пока не вижу.

Вообще, единственный внятный вариант, исключающий теории заговоров - это внезапная смерть одного из ключевых разработчиков вкупе с нежеланием остальных продолжать заниматься проектом. Но это все догадки, мы понятия не имеем, сколько там разрабов и кто они. Да и совпадение какое-то странное - смерть во время аудитов...

anonymous ()

Учитывая последние тенденции к компрометации отдельных шифров и даже целых пакетов (вспомним openSSL) новость вполне в тренде. Но расстраиваться незачем. Есть dm-crypt/LUKS.

Если паранойя совсем обострилась, и Вы более не верите в возможность надежного хранения информации, то Вам сюда: [паранойя]Уничтожить жесткий диск

KorWIN ()
Ответ на: комментарий от beastie

systemd то тут причём? Ниасилил написать unit файл, сразу NSA виновато.

anonymous ()

Просто не нужно по возможности использовать софт, в коде которого даже сами разработчики разобраться не в силах.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous

Хоть и не старонник всяких ZOG-заговоров, но в ключе событий последних лет уже ничему не удивлюсь. Как бы дико это не звучало.

Криптософт вообще больная тема. Вспомним прокол RSA/NSA с ихним elliptic curve random number genetator, наезды на OpenBSD с IPsec стеком, deep packet inspection, обязательную для многих ISP, тот же Snowden, OpenSSL, который broken-by-design (c), теперь вот TC... Как-то всё это очень и очень грустно.

beastie ★★★★★ ()
Ответ на: комментарий от anonymous

Дробление комьюнити своми NIH синдромом и злобный vendor-lock, но это так, лирика.

beastie ★★★★★ ()
Ответ на: комментарий от anonymous

ничего не мешает провести аудит имеющегося кода
думаю, независимо от исхода, теперь наверняка так и сделают, тут-то и посмотрим

kott ★★★★★ ()
Ответ на: комментарий от Smacker

Вот дерьмо. Надо было просто скачать для хранения все, что было на сайте. Теперь задница. >_<

anonymous ()

А есть ли в Linux какое-то свое родное шифрование? Опенсорсное и проверенное, которое во всех дистрах. Нет?

anonymous ()
Ответ на: комментарий от fornlr

Зачем прекращать, если оно твоё? Гораздо выгоднее продолжать поддерживать на плаву такой дырявый софт.

anonymous ()

Никогда раньше не слышал про сабж. КМК это что-то очень виндовозное. И почему это всех так возбуждает?

asaw ★★★★★ ()
Ответ на: комментарий от asaw

Никогда раньше не слышал про сабж.

Так толсто, что просто тонко. :)

anonymous ()

LUKS

Я просто продолжу использовать LUKS. А вендузятники пусть страдают.

Camel ★★★★★ ()
Ответ на: комментарий от asaw

ВендоCrypt

КМК это что-то очень виндовозное.

Это такая кроссплатфоменная тулза для тех у кого нет LUKS :-] Читай: ШINDOШS.

И почему это всех так возбуждает?

Проверена аудиторами. Помимо создания шифрованых файлов и разделов умеет создавать скрытые зашифрованные ОС, да ещё и так что потом невозможно доказать их наличие.

Camel ★★★★★ ()
Ответ на: ВендоCrypt от Camel

А пингвиньи проги умеют такое скрытие?

mikhalich ★★ ()
Ответ на: комментарий от anonymous

Да и совпадение какое-то странное - смерть во время аудитов...

Все любят велосипеды, сноуборды и т.п. ...

AS ★★★★★ ()
Ответ на: комментарий от mikhalich

TrueCrypt

А пингвиньи проги умеют такое скрытие?

TrueCrypt умеет :-] Он же в GNU/Linux тоже работает. LUKS не умеет. Насколько я понимаю LUKS всегда пишет свой заголовок в начало файла или раздела. Почему не добавят возможность за-XOR'ить его с хэшем от введённого пароля не знаю. Для злоумышленника такой заголовок будет похож на случайные данные.

Camel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.