TrueCrypt 7.1a z dwoma poważnymi lukami bezpieczeństwa

TrueCrypt 7.1a z dwoma poważnymi lukami bezpieczeństwa

    przez -
    1 1001
    Bezpieczeństwo i szyfrowanie
    Odnośnie TrueCrypta krążą obecnie różne opinie w Internecie. Pierwsze oznaki powątpiewania w bezpieczeństwo aplikacji pojawiło się w październiku 2013 roku, kiedy to rozpoczęto zbiórkę na wykonanie audytu bezpieczeństwa. Audyt nie wykrył żadnych poważniejszych luk bezpieczeństwa. W maju 2014 roku nagle porzucono jego rozwój, bez podania konkretnej przyczyny. Kilkanaście dni później pojawiła się strona TrueCrypt.ch, która próbowała reaktywować projekt, jednakże od tamtego czasu nie wydano żadnej nowej wersji.

    Jednakże 26 września 2015 roku specjaliści z Google znaleźli luki: CVE-2015-7358 i CVE-2015-7359. Pierwsza z nich ma związek ze sprawdzaniem litery wykorzystywanej do montowania napędów. I jeżeli nie zostanie przeprowadzona poprawnie, to może skutkować przejęciem kontroli nad procesem i zdobyciem praw administratora. Druga natomiast dotyczy uwierzytelniania użytkownika i jeżeli ktoś ją wykorzysta, to może podszyć się pod aktualnie zalogowaną osobę.

    Na koniec warto dodać, że fork TrueCrypta – VeraCrypt 1.15 szybko poradził sobie z usunięciem owych błędów.

    • o_O

      >Pierwsze oznaki powątpiewania w bezpieczeństwo aplikacji […]
      To śmieszne jak ludzie budują zamki na piasku w postaci platformy windows pod spodem i uważają, że to jest bezpieczne.
      Windows to największa luka bezpieczeństwa.
      Żaden TrueCrypt czy inne wynalazki pracujące na nim nie pomogą.

      Rozumiem, że ci którzy robią biznes na wciskaniu klientom windowsów i innych bubli microsoftu (jak niesławni Gold Partnerzy) nigdy prawdy nie powiedzą. Ale reszta: czas przejrzeć na oczy i powiedzieć jak jest.