Dzisiejszego dnia cały świat obiegła szokująca wiadomość na stronie główniej aplikacji TrueCrypt. Twórcy znanego oprogramowania do szyfrowania partycji, dysków i plików ogłosili zakończenie jej rozwoju, zaraz po oficjalnym zakończeniu wspierania systemu Windows XP przez firmę Microsoft. Zalecają wszystkim użytkownikom nowszych wersji systemów tej firmy, przejście na wbudowane w system oprogramowanie BitLocker. Sama binarka do pobrania umożliwia jedynie deszyfrowanie obecnie utworzonych woluminów.
Oto oryginalna wiadomość ze strony truecrypt.sourceforge.net:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
Warto zapoznać się z poniższymi wiadomościami i dyskusjami:
TrueCrypt zakończył swój rozwój? Cały świat w szoku. | OSWorld.pl http://t.co/0iS9RGq9Sg via @OSWorldpl
Michał Olber liked this on Facebook.
Nadal nie wiadomo co, jak i dlaczego?
Mi to wygląda na typowy deface. Tez czekam na jakieś konkretne ustalenia.
Jeszcze 2 dni temu tez tak myslalem, ale jesli to jest deface to przez dwa dni developerzy by sie chyba zorientowali, ze maja problem ze strona i by poprawili, tym bardziej przy takiej wrzawie. Do tego takie dziwne polaczenie tego z koncem WinXP.. przeciez TC bylo nie tylko na WinXP!
Cale szczescie jest jeszcze LUKS, ktory jest standardem w linuxowych distrach. Szkoda tylko, ze pieniadze zebrane na audyt poszly na TC mogly byc wykorzystane na LUKSA, ktory jest dalej rozwijany.
Hmm.. Moze wlasnie tutaj jest pies pogrzebany, audyt cos wykryl?!
OSWorld.pl liked this on Facebook.
Cyryl Sochacki liked this on Facebook.
Gdyby audyt coś wykrył i deweloperzy o tym wiedzieli, pozostawiliby starą binarkę i poinformowali ogólnie o odkryciu. Bo kod i tak każdy teraz analizuje jak z pieprzem, więc jak coś ma wyjść to tym bardziej wyjdzie. Zabezpieczenie lepsze takie niż żadne. Chyba, że TC 7.1 wykorzystywał np. ukryte rozkazy dla sprzętu które wysyłały informacje w świat. Zmuszenie użytkowników do porzucenia zabezpieczenia jest zaprzeczeniem idei „lepsze to niż nic” lub „lepsze to niż jawny backdoor” (Bitlocker), czyli:
1. Deweloperzy mogli przyznać się do błędu, ale nie do końca w TC. Możliwe, że TC7 wykorzystując jakąś kombinację danych (np. jakaś macierz w algorytmie) wprowadzał sprzęt w tryb szpiegowski wyżej opisany. Ponieważ bajka o „własności intelektualnej” ma się dobrze, nie jesteśmy w stanie tego łatwo sprawdzić. W tym momencie rzeczywiście odciągnięcie od 7.1a jest uzasadnione.
2. Deweloperzy dostali od pejsiastych propozycję nie do odrzucenia, która zakładała też przyspieszenie procederu wycofania TC. TC nie musi być w tym momencie całkowicie pewny, ale może np. być bliski dekonspiracji (niech wycofanie zniechęci audyt).
Moze z tym audytem rzeczywiscie jest cos na rzeczy:
https://www.indiegogo.com/projects/the-truecrypt-audit#activity
„p.s. We hope to have some *big* announcements this week, so stay tuned.”
Mozliwe, ze faktycznie ktos devow zmusil zeby cos nie wyszlo na jaw. Ale poki co to tylko teoria spiskowa. Poczkajmy az ktos z TC sie wypowie.. no chyba, ze juz nie zyja ;) ale z tego co mi wiadomo to sa anonimowi.
PS
Zastanawiajace.. najpopularniejsza waluta internetowa tez posiada anonimowego autora. Czego Ci ludzie sie tak obawiaja? :D
Krzysztof Zubik liked this on Facebook.
thecamels.org liked this on Facebook.
Miejmy nadzieję, że jeszcze nie wszystko stracone http://www.truecrypt.ch
Łukasz Wòjcik liked this on Facebook.
Pozostawienie użytkowników przez developerów otwartego programu tak po prostu na lodzie bez słowa wyjaśnienia i skierowanie ich do ZAMKNIĘTEGO rozwiązania, w dodatku do Microsoftu to jest po prostu świństwo. Takich rzeczy się IMO nie robi.
Zastanawiam się, czy któraś z wielkich korporacji (szczególnie Microsoft) nie maczała przypadkiem w tym palców…
[…] […]
[…] szok miał jednak nadejść w maju, kiedy to twórcy ogłosili zakończenie rozwoju TrueCpryt. Usunięto wtedy praktycznie całą aplikację, a pozostawiono jedynie binarkę do pobrania […]
[…] wykonanie audytu bezpieczeństwa. Audyt nie wykrył żadnych poważniejszych luk bezpieczeństwa. W maju 2014 roku nagle porzucono jego rozwój, bez podania konkretnej przyczyny. Kilkanaście dni później pojawiła się strona TrueCrypt.ch, […]
[…] 0 11 TrueCrypt od jakiegoś czasu jest już praktycznie martwym projektem. 18 miesięcy temu twórcy oficjalnie zamknęli projekt, po czym próbowano go reanimować. W tym czasie stworzony całkowicie odrębny projekt o nazwie […]