TrueCrypt, אחד מכלי הצפנת הקבצים האהובים עלינו, שינתה בפתאומיות את דף הבית שלו לאזהרה שהכלי עשוי שלא לאבטח, ולמדריך מפורט כיצד להעביר את הנתונים המוצפנים שלך ל-BitLocker במקום זאת.
העדכון הופיע מוקדם יותר היום, ולמרות שלא הצלחנו לאשר שהוא אותנטי, הוא עורר סערה במעגלי האבטחה,ב-Hacker News, וב-Ars Technica. למרות שכלי ההצפנה לא ראה עלייה משמעותית מזה שנים, TrueCrypt עברה לאחרונה את השלב הראשון של ביקורת אבטחה מקיפה ללא בעיה. האזהרה הפתאומית באה בהפתעה - כזו שמספר מגיבים ברחבי האינטרנט הניחו כי היא פרי יצירתו של חשבון SourceForge שנפגע או של מנהל אתר נוכל. אם האזהרה לגיטימית, ייתכן שהגיע הזמן להעביר את הקבצים המוצפנים שלך אלשירות או כלי אחר.
כך או כך, אל תוריד את הגרסה של TrueCrypt הרשומה באתר כרגע. זה נערך אתמול,לדברי חוקרת האבטחה רונה סדוויק, באמצעות מפתח DSA מפוקפק. זה עלול להיפגע יחד עם דף TrueCrypt Sourceforge.
לְעַדְכֵּן:מתיו גרין, אחד מחוקרי האבטחה המעורבים בביקורת TrueCrypt, מציין שאמנם לא היה לו ידע מוקדם על השינוי הפתאומי,הוא סבור שההודעה לגיטימית.
באופן דומה, נראה שהגרסה שפורסמה של TrueCrypt שונתה מאוד, עם תכונות קריטיות שהוסרו ומינון כבד של "INSECURE_APP" מפוזר בקוד. למרות זאת, הוא אושר עם מפתח החתימה הרשמי של TrueCrypt, מה שגורם לנו להאמין שזה עשוי להיות הדבר האמיתי.Ars Technica מציין:
עמוד SourceForge, שנמסר לאנשים שניסו לצפות בדפי truecrypt.org, הכיל גרסה חדשה של התוכנית שעל פי
ניתוח "הבדל" הזה
, נראה כי מכיל שינויים המזהירים כי התוכנית אינה בטוחה לשימוש. באופן משמעותי,
TrueCrypt גרסה 7.2
אושרה עם מפתח החתימה הפרטית הרשמי של TrueCrypt, מה שמרמז שהדף שמזהיר ש-TrueCrypt אינו בטוח לא הייתה מתיחה שפורסמה על ידי האקרים שהצליחו להשיג גישה לא מורשית. אחרי הכל, מישהו עם יכולת לחתום על מהדורות חדשות של TrueCrypt כנראה לא היה מבזבז את הפריצה הזו עם מתיחה. לחלופין, הפוסט מציע שהמפתח ההצפנה שמאשר את האותנטיות של האפליקציה נפגע ואינו נמצא עוד בשליטה בלעדית של מפתחי TrueCrypt הרשמיים.
לְעַדְכֵּן: למומחה האבטחה בריאן קרבס ישסיכום נהדר של המצב בבלוג שלו, ומציין כי בעוד שהטון והשפה המשמשים באזהרה באתר SourceForge של הפרויקט הם מוזרים במקרה הטוב, אירוח הפרויקט, רישום הדומיין ומידע ה-WHOIS של הפרויקט לא השתנו לאחרונה - יוצא דופן עבור פריצה פשוטה לאתר.
כרגע, זה נראה יותר כאילו השינויים הם או פעולה מכוונת מצד צוות TrueCrypt (גישה של אדמה חרוכה לסיום הפרויקט, או בגלל הלחץ או החשיפה שהביאה הביקורת, בגלל השפעה חיצונית כלשהי, או פנימית stride) או מישהו בצוות TrueCrypt החליט לעבור על הטבלה המטאפורית, ומכיוון שכל המפתחים אנונימיים, אין דרך להיות בטוח.
לְעַדְכֵּן: מומחה האבטחה סטיב גיבסון סיכם את המצב הנוכחיבבלוג שלו אתמול מאוחר, וכללה כמה פרטים חדשים של מידע. ראשית, סביר להניח שביקורת האבטחה של TrueCrypt תימשך, תוך שימוש בגרסת 7.1a שבטוחה להורדה - ויש לו קישורי הורדה לגרסה הבטוחהבאתר שלו. הצוות שמבצע את הביקורת מתכנן להמשיך ולהוציא את הדו"ח הסופי תוך מספר חודשים - ככל הנראה עד סוף הקיץ. עד אז, נדע אם צץ משהו שהיה גורם לכל זה.
שנית, השינויים הפתאומיים והאזהרה באתר שלהם לא נעלמו, אז זה הוגן להניח שלא מדובר בפריצה נוכלת, ובמקום זאת פעולה מכוונת בשם לפחות כמה מצוות הפיתוח של TrueCrypt האנונימי. . סטיב מצייןסטיבן ברנהארטעל פי הדיווחים יצר קשר עם אחד המפתחים באמצעות כתובת אימייל שבה השתמש בעבר, וקיבל תשובה ממפתח בשם "דיוויד" שהסביר חלק מהסיבות לסגירת הפרויקט כך - על פי שיחת טוויטר היה לו עם מתיו גרין:
מפתח TrueCrypt "David": "היינו מרוצים מהביקורת, זה לא עורר כלום. עבדנו קשה על זה במשך 10 שנים, שום דבר לא נמשך לנצח".
סטיבן ברנהארט: (פרפראזה) המפתח "באופן אישי" מרגיש שהמזלג מזיק: "עם זאת, המקור עדיין זמין כאסמכתא."
סטיבן ברנהארט: "שאלתי והיה ברור מהתשובה ש"הוא" מאמין שפורקינג מזיק כי רק הם באמת מוכרים עם קוד."
סטיבן ברנהארט: "כמו כן, לא אמר שום איש קשר לממשלה מלבד פעם אחת שבירר לגבי 'חוזה תמיכה'. "
מפתח TrueCrypt "David": אמר "Bitlocker הוא 'טוב מספיק' ו-Windows היה 'המטרה המקורית של הפרויקט'. "
מצטט את דיוויד מפתח TrueCrypt: "אין יותר עניין.
אתה יכולקרא את הפוסט האחרון של סטיב גיבסון כאן.
לְעַדְכֵּן: ביקורת האבטחה של TrueCrypt הושלמה לבסוף, ושום דבר מטלטל לא נחשף. זוהו כמה בעיות שניתן לנצל במצבים מאוד ספציפיים ותרחישי תקיפה, אך לא היו בעיות שיסבירו מדוע צוות הפיתוח של TrueCrypt ינטוש לפתע את הפרויקט. אתה יכולקרא עוד - וראה את כל הדו"ח, כאן.