14:53
16/8/2016

TrueCrypt nie żyje. Jednym z jego następców jest VeraCrypt, którego kod jest właśnie przygotowywany do audytu bezpieczeństwa.

Problem w tym, że audytorzy i developer, skarżą się na niedochodzące pomiędzy nimi e-maile. Wiadomości są oczywiście szyfrowane przez PGP, więc jest niewielka szansa, że jakieś informacje “wyciekły” (o ile poprawnie wymieniono i potwierdzono klucze). Znikające e-maile są jednak wskazówką, że ktoś może przechwytywać (nieudolnie) komunikację pomiędzy audytorami a developerami.

Żeby było śmieszniej, audytorzy mieli skrzynki na Google Apps (biznesowym GMailu) i te wiadomości, które nie doszły do developerów …zniknęły z katalogu “Sent”. Hmmm… Czy naprawdę przechwytujący (mający dostęp do serwerów Google) są tak nieudolni w działaniach, czy może raczej audytorzy nie potrafią wysłać e-maila lub nie wiedzą, że jakaś dodatkowa aplikacja kasuje im wiadomości? A może to przypadek (awaria w Google związana z usunięciem danych części klientów akurat dotknęła tych osób)?

Pełna treść komunikatu audytorów i developerów w tej sprawie:

As we have began the process of staging our audit, we have set up PGP encrypted communications between OSTIF, QuarksLab, and the lead developer of the VeraCrypt project. In these communications we have discussed vulnerability information, processes and procedures for reporting findings, and exchanged confidential information about the audit.
We have now had a total of four email messages disappear without a trace, stemming from multiple independent senders. Not only have the emails not arrived, but there is no trace of the emails in our “sent” folders. In the case of OSTIF, this is the Google Apps business version of Gmail where these sent emails have disappeared.
This suggests that outside actors are attempting to listen in on and/or interfere with the audit process.
We are setting up alternate means of encrypted communications in order to move forward with the audit project.
If nation-states are interested in what we are doing we must be doing something right. Right?

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

17 komentarzy

Dodaj komentarz
  1. Albo włamanie na pocztę Audytorów VC, albo Google coś namieszał na GMailu…

  2. OK, może i nie ma co popadać w paranoję i to zwykły przypadek ale to naprawdę jest cholernie podejrzane.
    I zamknięcie TrueCrypta, i te audyty teraz…

  3. To tylko pokazuje jak bardzo boli pewnych ludzi projekt i to że będzie zaudytowany. Osobiście trzymam kciuki za audyt i twórcę projektu, zwłaszcza że szykuje się już wersja która będzie szyfrowała uefi.

  4. Stawiam ze sami dali ciala i mail ‘znikl’ z ich powodu =]

  5. Dlaczego ludzie z takim zajęciem nie korespondują za pomocą np. ProtonMaila?

    • A w czym ten protonmail jest lepszy od googla maila?

    • ProtonMail posiada wbudowane szyfrowanie asymetryczne, działające w przeglądarce po podaniu dodatkowego hasła (znanego tylko użytkownikowi). Z drugiej strony nie można z tego powodu zalogować się do niego w typowych programach pocztowych (np. Thunderbird), najwyżej w ich aplikacji mobilnej (również z szyfrowaniem), co utrudnia korzystanie ze zwykłego PGP. Są jeszcze różnice w polityce prywatności i lokalizacji serwerów.

  6. Będąc przy temacie – jest coś na dzień dzisiejszy bardziej godnego zaufania aniżeli veracrypt?

    • Jest jeszcze diskcryptor ale on nigdy nie miał żadnego audytu, poza tym ma o wiele mniej użytkowników i projekt chyba też już nie żyje bo ostatnia wersja pochodzi z lipca 2014.

    • Najbezpieczniejsza jest telepatia.A tak na powaznie to przeciez wiekszosc nie jest laikami i chyba zdaje sobie sprawe ze nic nie zostawia sie bez kontroli.Socjotechnika bezpieczenstwa widac dziala.Ale nic nie jest bezpieczne czy moze bardziej anonimowe w swiecie 01

  7. Ja stawiam w dalszym ciągu naTrueCrypt 7.1a

  8. Albo “awaria” w Google, z którą “przypadkiem” ma związek NSA…

  9. A co im zawiniły akurat nation-states? Autorzy to Marksisci?

  10. Czy świat nie byłby bezpieczniejszy bez komputerów oraz systemów teleinformatycznych ? Czy tylko ja mam wrażenie ,że cała ta informatyzacja życia jest zapędzeniem się w kozi róg ? Wystarczy ,że prądu zabraknie .. i co wtedy ? Nawet zakupów nie zrobicie :D

    • Byłby lepszy, no jasne że tak. Ale pójdźmy dalej, problemem jest jak sam zauważyłeś prąd! Jakby go wyłączyć, o ile prościej. Żadnych internetów, żadnych telefonów, żadnego szkodliwego promieniowania radiowego. Kiedyś do kupca się chodziło i było dobrze, a dziś? Bez prądu ani nie zadzwonisz, ani kupiec Ci nie wystawi paragonu nawet. Hekatomba.
      Ale zaraz, pójdźmy dalej, przecież prąd się generuje z ropy, węgla, atomu! Jakby pozbyć się wszystkich trzech, o ile by było lepiej. Zero zanieczyszczeń, żadnych chemikaliów, galopującego kapitalizmu.
      Mam dalej czy łapiesz koncepcję?

  11. Wiem że nie na temat, ale mogli byście wspomnieć na głównej że jest wersja 1.18 z szyfrowaniem uefi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.