aktualności

SourceForge: TrueCrypt nie jest bezpieczny i nie będzie dłużej rozwijany

23
29 maja 2014, 09:03 Adrian Kotowski

TrueCrypt to jedno z najsłynniejszych narzędzi szyfrujących na rynku. Wygląda jednak na to, że jego dni są już policzone. Na portalu SourceForge znanym z udostępniania legalnych programów pojawiła się informacja, że produkt nie jest już od jakiegoś czasu wspierany, a korzystanie z niego nie jest już bezpieczne.

Jak podaje SourceForge, rozwój TrueCrypta zakończy się dokładnie z końcem maja 2014, więc użytkownicy mają niewiele czasu na migrację. Wiadomość wywołała prawdziwą burzę w komentarzach na oficjalnym profilu programu na Twitterze. Przyczyną rezygnacji z dalszego rozwijania oprogramowania ma być wykrycie nienaprawialnych luk bezpieczeństwa.

TrueCrypt

Według informacji TrueCrypt był już praktycznie trupem z chwilą wygaśnięcia wsparcia dla systemu Windows XP. Na stronie SourceForge znalazła się instrukcja migracji oraz kilka zaleceń. Przede wszystkim użytkownicy korzystający z już ponad dziesięcioletniego programu powinni zacząć przenosić się na inne aplikacje, takie jak BitLocker.

„Rozwój TrueCrypt został zakończony w maju 2014, po definitywnym zakończeniu wsparcia dla Microsoft Windows XP. Windows 8/7/Vista i późniejsze oferują zintegrowaną obsługę szyfrowania dysków oraz tworzenia obrazów dysków wirtualnych. Podobne, zintegrowane rozwiązania są zresztą dostępne na innych platformach. Należy przenieść wszystkie dane zaszyfrowane przez TrueCrypt na szyfrowane dyski lub obrazy dysków wirtualnych obsługiwanych na danej platformie.”

Sytuacja jest jednak dość nietypowa, bo nie tak dawno TrueCrypt miał właściwie bezproblemowo przejść audyt bezpieczeństwa. Wskazuje się, że winny mógłby być trojan umieszczony w aplikacji przez hakera. Wskazywać miałoby na to zanotowanie nieznanego ruchu sieciowego od wersji 7.2. Zalecamy Wam, abyście nie pobierali do czasu wyjaśnienia sprawy najnowszej wersji tego oprogramowania. 

Szyfrowanie danych, czyli nie samym TrueCryptem człowiek żyje

Źródło: SourceForge, Neowin
stafferZobacz profil
Poziom ostrzeżenia: 0%
staffer2014.05.29, 09:22
20#1
Praktycznie na każdym (pod)forum powiązanym z bezpieczeństwem temat jest gorący.
Najbardziej podejrzane, o czym nie napisano w newsie, jest usunięcie starych wersji programu i zastąpienie w 7.2 funkcji zabezpieczającej monitami o niebezpieczeństwie.
Efektem tego wersja 7.2 ma niepewne pochodzenie (mimo niby poprawnego podpisu), nie szyfruje, ale pozwala deszyfrować (pytanie brzmi czy tylko użytkownikowi).

Dlatego faktycznie nie warto pobierać.
Czy warto się pozbywać starszych wersji? To już z kolei zupełnie inna para kaloszy.
ogotayZobacz profil
Poziom ostrzeżenia: 0%
ogotay2014.05.29, 09:24
10#2
Deface strony, wystarczy przejrzeć kod i porównać z typowymi stronami z Sourceforge'a.
TelvasZobacz profil
Poziom ostrzeżenia: 0%
Telvas2014.05.29, 10:16
16#3
Śmierdzi to na kilometr. Albo i dwa. Co ma do rzeczy sam TrueCrypt, skoro o bezpieczeństwie stanowi siła AES-a czy Blowfisha? Afera z trojanem to też incydent - krytyczny, ale łatwy do naprawienia. I co u licha ma do tego WinXP? Chyba jedynie to, że MS bardzo się cieszy, że 'nagle' ekipa TrueCrypta robi im taaaaką reklamę. Poza tym co za różnica, czy hakerzy wstrzykują trojana do TrueCrypta, czy MS wstrzykuje backdoora do obsługi BitLockera w Windows? Ah, no tak, o pierwszym szybko się dowiadujemy, a o drugim musi nam dopiero jakiś Snowden powiedzieć...

P.S. Generalnie jedna wielka śmierdząca niewiadoma, nie można powiedzieć w zasadzie nic konkretnego: http://niebezpiecznik.pl/post/koniec-truec...ia-do-migracji/
luke130Zobacz profil
Poziom ostrzeżenia: 0%
luke1302014.05.29, 10:28
Trzeba będzie trwać przy 7.1a. Audyt przeszła. Na szczęście jest jeszcze sporo mirrorów do pobrania.
wake_upZobacz profil
Poziom ostrzeżenia: 0%
wake_up2014.05.29, 10:57
11#5
Autor wydaje się być nadzwyczaj pewny co do tego co się stało. Nikt nie wie co się stało/dzieje, a tutaj mamy 100% pewności :)

Najlepszym komentarz to zdaje się ten:
http://steve.grc.com/2014/05/28/whither-truecrypt/
Wygląda na to, że autorzy po prostu porzucili projekt, z przyczyn nieznanych. Być może dostali 'propozycję nie do odrzucenia'.

Oczywiście nowa strona i nowa wersja śmierdzą okropnie...
Edit: Nawet z webarchive wyrzucili stronę: http://web.archive.org/web/*/truecrypt.org
...
radeg81Zobacz profil
Poziom ostrzeżenia: 0%
radeg812014.05.29, 11:53
luke130 @ 2014.05.29 10:28  Post: 752656
Trzeba będzie trwać przy 7.1a. Audyt przeszła. Na szczęście jest jeszcze sporo mirrorów do pobrania.

Funkcje odpowiedzialne za szyfrowanie nie byly jeszcze audytowane.
HocumZobacz profil
Poziom ostrzeżenia: 0%
Hocum2014.05.29, 12:11
Zachececaja nas do przejscia na systemy do ktorych ma dostep NSA.
Bo niby MS nie udostepnil kodow do bitlokera sluzbom... ta
Bart TutZobacz profil
Poziom ostrzeżenia: 0%
Bart Tut2014.05.29, 12:20
Ostatnia wersja to 7.1a , 7.2 to jakiś fejk nawet nie została poprawnie podpisana, dopiero później dodali podpis. W ogóle co to za rada żeby przejść na bitlockera? Albo powód, że windows xp traci wsparcie, co to ma do rzeczy? Moim zdaniem ktoś chcę się pozbyć truecrypta ale nie w imię bezpieczeństwa. Ja pozostaje przy wersji 7.1a niedawno została uznana za bezpieczną.
HocumZobacz profil
Poziom ostrzeżenia: 0%
Hocum2014.05.29, 12:39
dla tych co jeszcze kopi 7.1a nie maja
http://cyberside.planet.ee/truecrypt/
wszystko co bylo
*Konto usunięte*2014.05.29, 12:42
Czyli co? Powtórka z Lavabit?...
Funkcja komentowania została wyłączona. Do dyskusji zapraszamy na forum.
1