Ciekawostki

Jeśli wciąż korzystasz z TrueCrypta, przestań

przeczytasz w 1 min.

Nawet „ostatnia bezpieczna” wersja TrueCrypta nie jest pozbawiona groźnych luk bezpieczeństwa.

TrueCrypt luka

W maju ubiegłego roku ekipa odpowiedzialna za rozwój programu do szyfrowania danych TrueCrypt porzuciła ten projekt i ostrzegała – „nie pobierajcie tego programu, nie jest bezpieczny”. Narzędzie nie poszło jednak w zapomnienie – grupka programistów nadal pracuje nad kolejną jego wersją, a użytkowników ciągle nie brakuje. Jeśli jesteś wśród tych ostatnich, naprawdę powinieneś przestać korzystać z programu TrueCrypt – to nie żart.

James Forshaw, specjalista z Google Project Zero znalazł dwie luki zwiększające uprawnienia niepowołanym osobom w programie TrueCrypt. Dzięki nim cyberprzestępcy mogą zyskać pełny dostęp do naszych danych. 

Co gorsze, luki te znajdują się w wersji 7.1a, która uznawana jest za „ostatnią bezpieczną” i której kod został niedawno sprawdzony przez iSec. Raport: program wolny od błędów. Tymczasem dogłębniejsze analizy wykazały, że w instalowanym przez TrueCrypta windowsowym sterowniku faktycznie znajdują się dwie luki mogące prowadzić do sporych nadużyć.

Forshaw nie pokazał gdzie dokładnie znajdują się luki i jak można je wykorzystać. Jak tłumaczy za pośrednictwem swojego Twittera – zawsze czeka siedem dni po wypuszczeniu łatki, aby zminimalizować ryzyko.

Jeśli nie TrueCrypt, to co?

Odnalezienie dwóch luk bezpieczeństwa w programie, który został określony przez iSec jako „wolny od błędów” podważa rzetelność tego ostatniego testu. Użytkownicy nie mogą zatem być pewni tego, że TrueCrypt faktycznie zapewnia bezpieczeństwo naszych danych, a po to przecież go instalujemy.

Jeżeli używasz TrueCrypta dlatego, że słyszałeś, że jest „dobry”, a do tego dostępny za darmo, być może dobrym pomysłem dla ciebie będzie poszukanie alternatywy. Specjaliści polecają dwa forki TrueCrypta, których kody są otwarte (open source) – VeraCrypt oraz CipherShed.

Źródło: Engadget, PCWorld

Komentarze

9
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    wizdar
    13
    Ciężko powiedzieć czy ten "hejt" na TC nie jest wynikiem tego, że rzeczywiście nie da się go złamać a to nie na rękę wielu organizacjom.
    Trochę dziwne to nagłe porzucenie TC i wypuszczenie niefunkcjonalnej wersji 7.2 i jednocześnie kasowanie wcześniejszych.
    • avatar
      katoda
      8
      Treść newsa zabójcza, sedno trywialne - błędy w sterowniku TC pozwalające na lokalne podniesienie uprawnień zalogowanego użytkownika. Sądząc po skąpych opisach na necie - potrzeby jest fizyczny dostęp do maszyny i nie ma to nic wspólnego z bezpieczeństwem danych zabezpieczanych przez TC.
      Takie błędy to w każdym sofcie wykrywa się na pęczki i raczej nie słychać nawoływań do zaprzestania używania Windows, Office, Linuksa, Androida itp.
      Ja na razie zaprzestania korzystania z TC nie planuję :)
      • avatar
        Hello
        6
        FUD sponsorowany przez NSA...
        • avatar
          mgkiler
          5
          Dalej nie jest to luka, która by pozwalała odszyfrować np dysk przenośny, który by wpadł w czyjeś ręce.
          A tylko z tego powodu używam True Crypta.

          Nikt fizycznie do mojego komputera dostępu nie ma.

          I nie zamierzam go porzucać.
          • avatar
            piotrll
            2
            "dwa forki TrueCrypta"

            forki ? WTF ?
            • avatar
              Kenjiro
              1
              "Jeśli wciąż piszesz bezsensowne tytuły, przestań" - tak można sparafrazować tytuł tej notatki. Nie wiadomo na czym polegają błędy, nie wiadomo jak je można wykorzystać, a autor już stwierdza, że lepiej przestać używać produktu, tym bardziej, że TrueCrypt działa także na innych systemach niż Windows (a błędy znaleziono w sterowniku Windows), co jak widać przekracza pojmowanie autora.

              A już zupełnym kuriozum jest ostatni akapit, w którym poleca się projekty, które w zakresie powyższego problemu niczym się nie różnią.

              Witaj!

              Niedługo wyłaczymy stare logowanie.
              Logowanie będzie możliwe tylko przez 1Login.

              Połącz konto już teraz.

              Zaloguj przez 1Login