Чтиво TrueCrypt содержит троян, всех предлагают переходить на BitLocker

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

— Эта статья была написана 15 мая 2014 года. Softodom нашли имена разработчиков и их адреса и попытались связаться с ними. Возможно, это и привело к закрытию проекта.

Разработчики TrueCrypt ответили:

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

|

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работа ли над проектом 10 лет, но ничего не длится вечно.»
Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though). «Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».
Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»
Цитируя разработчика: «Больше нет интереса».
TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен.

На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.

На сайт е есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:

22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

говорят, что ничего не произошло:

Providing some details from SourceForge:
1. We have had no contact with the TrueCrypt project team (and thus no complaints).
2. We see no indicator of account compromise; current usage is consistent with past usage.
3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

Thank you,
The SourceForge Team [email protected]

Предположение №1

Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.
Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.

Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

Предположение №2

Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.

Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).
Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

.

К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

Предположение №3

Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.

Почему я так думаю: существует такой блог

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.

Предположения со страницы

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

:
Предположение №4

Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.

Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности. Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

Предположение №5

Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни

Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

Предположение №6

Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.

Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт. Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.

Как заметил

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

:

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

:
12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены.
Спасибо всем, кто принимал участие в развитии проекта!

Как бы намекает что процесс ни разу не внезапный.

Из твиттера

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

:

(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.
Из твиттера

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

(один из аудиторов TrueCrypt):
​

@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.
TrueCrypt Setup 7.1a.exe:

• sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
• md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg:

• sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
• md5: 89affdc42966ae5739f673ba5fb4b7c5

truecrypt-7.1a-linux-x86.tar.gz:

• sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
• md5: 09355fb2e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz:

• sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
• md5: bb355096348383987447151eecd6dc0e

Другие мысли и интересная информация:

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

Ссылки на новости и записи в блогах:

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

— вот эта достаточно неплохо написана

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

— очень хорошая статья (написана, кстати, 15.05.2014)

Twitter stream:

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

​

У вас нет прав на просмотр ссылок, пожалуйста: Вход или Регистрация

 

[Ronnich]

Ну как-то непонятно пока ничего, подождём.
Сам пользуюсь контейнерами очень удобно и надежно, жалко если проект прекратит существование.

 

[SuperGoal]

А чего жалеть? Последняя версия 7.1a датировалась 2012 годом, если мне не изменяет память. Софт стабильный и работает, обновлений не требует. Ситуация может измениться только в новых операционных и файловых системах, а на нашем веку можно спокойно пользоваться последней доступной версией.