В TrueCrypt обнаружены критические уязвимости

habrahabr.ru — В мае прошлого года внезапно закрылся проект TrueСrypt (http://vott.ru/entry/291720). Закрытие сопровождалось сообщением разработчика о возможном наличии уязвимостей, которые, до последнего времени, так и не были найдены независимыми аудиторами. Но недавно член команды Google Project Zero Джеймс Форшоу (James Forshaw) нашёл-таки две уязвимости, позволяющие получить доступ к тому TrueCrypt, не имея правильных реквизитов доступа к нему и прав администратора системы.
Новости, Компьютеры | dse 20:34 02.10.2015
11 комментариев | 31 за, 0 против |
#1 | 20:36 02.10.2015 | Кому: Всем
Да, так и есть. Как только сообщение о критических уязвимостях появилось, некоторые мои клиенты отказались от его использования.
#2 | 20:56 02.10.2015 | Кому: Всем
Спрашивается, кой же это был аудит?
Самое интересное на аудит деньги нашли, а на поддержку разработчиков нет.
И ещё один момент, касается ли проблема linux версий TrueCrypt.
#3 | 21:02 02.10.2015 | Кому: Orbis
> касается ли проблема linux версий TrueCrypt.

Считаешь, алгоритмы шифрования различаются? Не думаю.
#4 | 21:04 02.10.2015 | Кому: Orbis
> И ещё один момент, касается ли проблема linux версий TrueCrypt.

Доступа к описанию уязвимостей code.google.com у меня нет, но вот что написано на странице[censored] Notes[Release Notes] форка TrueCrypt VeraCrypt:

Release Notes

1.15 (September 26 th , 2015):

Windows:
Fix two TrueCrypt vulnerabilities reported by James Forshaw (Google Project
Zero)
CVE-2015-7358 (critical): Local Elevation of Privilege on Windows by
abusing drive letter handling.
CVE-2015-7359 : Local Elevation of Privilege on Windows caused by
incorrect Impersonation Token Handling.

То есть, пока найдены уязвимости в виндовой версии. Есть ли подобные уязвимости в линуксовой - науке не известно. Наука пока не в курсе дела! (с)
#5 | 21:05 02.10.2015 | Кому: dse
В любом случае придётся переходить на что то другое.
За ссылку спасибо.
#6 | 21:08 02.10.2015 | Кому: Zzlo
> Считаешь, алгоритмы шифрования различаются? Не думаю.

В статье пишут, что бяки были найдены в видовом драйвере TrueCrypt. Насколько я понял, они к криптографии никак не относились, просто позволяли подсматривать любому зарегистрированному пользователю системы уже смонтированный диск, в обход виндовых прав доступа.
#7 | 21:09 02.10.2015 | Кому: Orbis
> В любом случае придётся переходить на что то другое.

Конкретно эти баги починили в веракрипте.

> За ссылку спасибо.


Всегда пожалуйста :)
#8 | 21:14 02.10.2015 | Кому: dse
Поправил ссылку на страницу VeraCrypt[censored] .
#9 | 21:28 02.10.2015 | Кому: Orbis
> Самое интересное на аудит деньги нашли, а на поддержку разработчиков нет.

Насколько я помню, разработчики от разработки самоустранились.
#10 | 07:05 03.10.2015 | Кому: Всем
Если диск не смонтирован - то эти уязвимости до ж..пы дверца - они никак не помогут злоумышленнику, не знающему ключа, получить доступ к контейнеру. А если диск смонтирован - то тут можно считать, что данные открыты любому, кто находится перед компьютером, или может как-то иначе к нему доступ получить.
#11 | 07:44 03.10.2015 | Кому: Oshib-kun
> Насколько я помню, разработчики от разработки самоустранились.

Они устали тащить проект за бесплатно.
Труда вложено караул.
Вот представь, ты что то делаешь, делаешь это хорошо, результат своего труда раздаёшь раздавать бесплатно.
Твоим продуктом все пользуются, он популярен.
И тут, вдруг, народ собирает деньги, при чём сумму не малую по сравнению с той, что ты получил за свой продукт.
И денежкии эти не для того, что бы тебе сказать спасибо и "задонатить" в твой проект.
Эти денежки собраны для того, что бы проверить не хуёво ли ты там работаешь за бесплатно.
То есть на проверку деньги нашли, на поддержку проекта нет.
Войдите или зарегистрируйтесь чтобы писать комментарии.