Ερευνητής εντοπίζει πολύ σοβαρές ευπάθειες στο TrueCrypt

[nnn]

Όσοι χρησιμοποιούν ακόμα το TrueCrypt για την προστασία των σκληρών δίσκων σε Windows συστήματα -οι developers του το έχουν ήδη εγκαταλείψει χαρακτηρίζοντας το ανασφαλές, εδώ και έναν χρόνο- καλό είναι να σταματήσουν άμεσα την χρήση του.

Ο ερευνητής του Google Project Zero -James Forshaw- εντόπισε 2 "τρύπες" στο δημοφιλές λογισμικό, που μπορούν να δώσουν αυξημένα δικαιώματα σε επιτιθέμενους και παράλληλα, πλήρη πρόσβαση στα δεδομένα του δίσκου.

Ο ερευνητής, θα περιμένει τις τυπικές επτά ημέρες για αντιμετώπιση των κενών ασφαλείας, πριν αποκαλύψει δημόσια τον ευπαθή κώδικα, αν και είναι αμφίβολο πως αυτές θα πατσαριστούν στο TrueCrypt.

Δωρεάν εναλλακτικές λύσεις -οι οποίες είναι fork του TrueCrypt- είναι τα ανοικτού κώδικα VeraCrypt και CipherShed, με το πρώτο να έχει ήδη κυκλοφορήσει το σχετικό patch.

Πηγή : Engadget

[honda22]

Πάλι τα ίδια.

[MitsakosGR]

Πάλι τα ίδια.

Το λένε ξεκάθαρα στην πρώτη-πρώτη γραμμή:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

[nickreserved]

Καλά, ας βγει πρώτα το exploit και μετά αλλάζω σε VeraCrypt.
Έτσι κι αλλιώς στο software είναι το πρόβλημα. Όχι στον αλγόριθμο κρυπτογράφησης.
Δηλαδή όσο δεν χρησιμοποιώ το software δεν υπάρχει δυνατότητα ανάκτησης των δεδομένων.

Γενικά, όταν έκλεισε το TrueCrypt, ήμουν δύσπιστος στο πόσο «unfixed security issues» είχε ή αν τους είχαν βάλει χέρι.

[MitsakosGR]

Γενικά, όταν έκλεισε το TrueCrypt, ήμουν δύσπιστος στο πόσο «unfixed security issues» είχε ή αν τους είχαν βάλει χέρι.

Το ότι δεν έχουν ανακοινωθεί δεν σημαίνει ότι δεν υπάρχουν ή ότι δεν έχουν βρεθεί και χρησιμοποιηθεί...

[kiriakk]

Το λένε ξεκάθαρα στην πρώτη-πρώτη γραμμή:

λένε ότι ίσωςβ έχει security isuues,
αλλά δεν παρουσιάσανε κανένα,
οι ίδιοι οι developers δηλαδή, αλλά ούτε και προσπαθήσανε να τα διορθώσουν αν υπήρχαν

εσένα σου φαίνεται λογικό αυτό;

η αλήθεια είναι ότι πάιχτηκαν παιχνίδια, αλλά μέχρι και σήμερα το truecrypt είναι απολύτως ασφαλές
(περιμένουμε από αύριο να δούμε κατά πόσο ισχύουν οι προαναφερθείσες "τρύπες"ή όχι και υπό ποιες προϋποθέσεις και αναλόγως θα πράξουμε)

η όλη ιστορία για τους πρώην developers και τα δήθεν security issues και ποια είναι η τελευταία "σωστή" έκδοση του truecrypt εδώ:

https://www.grc.com/misc/truecrypt/truecrypt.htm

[MitsakosGR]

λένε ότι ίσωςβ έχει security isuues,
αλλά δεν παρουσιάσανε κανένα,
οι ίδιοι οι developers δηλαδή, αλλά ούτε και προσπαθήσανε να τα διορθώσουν αν υπήρχαν

εσένα σου φαίνεται λογικό αυτό;

Δεν ήξεραν ή δεν ήθελαν να πουν κάποιο. Αλλά ήθελαν να προειδοποιήσουν και σε περίπτωση που υπάρχει κάποιο ότι αυτοί σταμάτησαν την ανάπτυξη άρα και την διόρθωση λαθών. Αυτό είναι λογικό...

Γενικά το true crypt μου το έλεγαν για πολύ καλό πρόγραμμα αλλά όταν πήγα να το βάλω είδα την ανακοίνωση και δεν το κατέβασα καν.
Μάλλον κάτι παίζει με την microsoft με αυτούς γιατί σταμάτησαν στην λήξη ζωής των XP και έχουν οδηγίες για το bit locker...

[kiriakk]

διάβασε την ιστορία στο λινκ που έβαλα στο αμέσως προηούμενο ποστ,
η ανακοίνωση που διάβασες δεν είναι και πολύ σοβαρή

[aiolos.01]

Απο τη στιγμή που οι ίδιοι οι developers δε συνιστούν πλέον τη χρήση του, που είναι το περίεργο που έχει προβλήματα; Το περίεργο είναι να συνεχίζει κάποιος να το χρησιμοποιεί.

[sweet dreams]

Απο τη στιγμή που οι ίδιοι οι developers δε συνιστούν πλέον τη χρήση του, που είναι το περίεργο που έχει προβλήματα; Το περίεργο είναι να συνεχίζει κάποιος να το χρησιμοποιεί.

Που το είδες αυτό;;;

https://www.grc.com/misc/truecrypt/truecrypt.htm

[MitsakosGR]

Που το είδες αυτό;;;

https://www.grc.com/misc/truecrypt/truecrypt.htm

Γιατί κάποιος να συνεχίσει να χρησιμοποιεί το truecrypt και όχι κάποιο fork όπως τα VeraCrypt και CipherShed;

Οκ, πέρασε το Auditing αλλά αυτό δεν σημαίνει ότι δεν έχει bugs ή exploits όπως αυτό που θα ανακοινωθεί... Άλλωστε και οι ανακοίνωση που παραθέσατε κάτι τέτοιο υπονοεί:

TrueCrypt's formal code audit will continue as planned. Then the code will be forked, the product's license restructured, and it will evolve.

[sweet dreams]

Γιατί κάποιος να συνεχίσει να χρησιμοποιεί το truecrypt και όχι κάποιο fork όπως τα VeraCrypt και CipherShed;

Οκ, πέρασε το Auditing αλλά αυτό δεν σημαίνει ότι δεν έχει bugs ή exploits όπως αυτό που θα ανακοινωθεί... Άλλωστε και οι ανακοίνωση που παραθέσατε κάτι τέτοιο υπονοεί:

Γιατί γι' αυτά που θέλει τον καλύπτει και δεν χρειάζεται να ασχολείται και να εγκαθιστά καινούργια προγράμματα. Αν κάποια στιγμή χρειαστεί να κρύψει κάτι τόσο σημαντικό και φοβάται την NSA θα το σκεφτεί ξανά και θα αποφασίσει.

[tsigarid]

Απορώ πραγματικά με τη λογική μερικών. Έχουμε ψωμοτύρι το "ότι κλειδώνει ξεκλειδώνει", αλλά όταν μας λένε ότι κάποιο πρόγραμμα δεν είναι πλέον ασφαλές, κάνουμε οτι δεν το ακούσαμε. Τι να πω...

[iLLiCiT]

Απορώ πραγματικά με τη λογική μερικών. Έχουμε ψωμοτύρι το "ότι κλειδώνει ξεκλειδώνει", αλλά όταν μας λένε ότι κάποιο πρόγραμμα δεν είναι πλέον ασφαλές, κάνουμε οτι δεν το ακούσαμε. Τι να πω...

Σου είπαν ότι δεν είναι ασφαλές, αλλά σου είπαν το γιατί; Αν κάποιος σου πει κάτι παράλογο, πχ μην βγεις έξω σήμερα, δεν είναι ασφαλές, δεν θα θες να μάθεις πρώτα το γιατί;
Επειδή οι κατασκευαστές μπορεί να απειλήθηκαν/εξαγοράστηκαν από κάποια κυβέρνηση/security agency, σημαίνει ότι δεν θα ρωτήσω πρώτα γιατί να σταματήσω να το χρησιμοποιώ; Ποιο είναι το πρόβλημα; Ποια η ευπάθεια που ανακάλυψαν;

Μπορεί να εννοούσαν ότι επειδή δεν θα γίνεται πλέον development πάνω στο project, μπορεί να προκύψουν exploits. Και λογικό να συμβεί αν σταματήσει το development. Γι'αυτό υπάρχουν και τα forks. Αλλά επειδή προσωπικά έχω σταματήσει να ανησυχώ για την NSA εδώ και πολλά χρόνια, θα συνεχίσω να χρησιμοποιώ την ίδια έκδοση, που μια χαρά δουλεύει και στα windows10.

[akis1009]

Σου είπαν ότι δεν είναι ασφαλές, αλλά σου είπαν το γιατί; Αν κάποιος σου πει κάτι παράλογο, πχ μην βγεις έξω σήμερα, δεν είναι ασφαλές, δεν θα θες να μάθεις πρώτα το γιατί;
Επειδή οι κατασκευαστές μπορεί να απειλήθηκαν/εξαγοράστηκαν από κάποια κυβέρνηση/security agency, σημαίνει ότι δεν θα ρωτήσω πρώτα γιατί να σταματήσω να το χρησιμοποιώ; Ποιο είναι το πρόβλημα; Ποια η ευπάθεια που ανακάλυψαν;

Μπορεί να εννοούσαν ότι επειδή δεν θα γίνεται πλέον development πάνω στο project, μπορεί να προκύψουν exploits. Και λογικό να συμβεί αν σταματήσει το development. Γι'αυτό υπάρχουν και τα forks. Αλλά επειδή προσωπικά έχω σταματήσει να ανησυχώ για την NSA εδώ και πολλά χρόνια, θα συνεχίσω να χρησιμοποιώ την ίδια έκδοση, που μια χαρά δουλεύει και στα windows10.

Άσε τι εννοούσαν και τι κατάλαβες εσύ , εδώ το λέει ξεκάθαρα.

Ο ερευνητής του Google Project Zero -James Forshaw- εντόπισε 2 "τρύπες" στο δημοφιλές λογισμικό, που μπορούν να δώσουν αυξημένα δικαιώματα σε επιτιθέμενους και παράλληλα, πλήρη πρόσβαση στα δεδομένα του δίσκου.

Ο ερευνητής, θα περιμένει τις τυπικές επτά ημέρες για αντιμετώπιση των κενών ασφαλείας, πριν αποκαλύψει δημόσια τον ευπαθή κώδικα, αν και είναι αμφίβολο πως αυτές θα πατσαριστούν στο TrueCrypt.