Сайт TrueCrypt, вероятно, взломан и предлагает переходить на BitLocker
Информационная безопасность*
image TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен.
На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.
На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
image
/https://beta.hstor.org/getpro/habr/post_images/da1/1bf/6a5/da11bf6a5225fa718987ba4e54038fc1.png
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.
UPD: SourceForge говорят, что ничего не произошло:
Providing some details from SourceForge:
1. We have had no contact with the TrueCrypt project team (and thus no complaints).
2. We see no indicator of account compromise; current usage is consistent with past usage.
3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see sourceforge.net/blog/forced-password-change/
Thank you,
The SourceForge Team [email protected]
Предположение №1
Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.
Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.
Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?
Предположение №2
Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.
Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).
Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки TPM, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на Свидетельство канарейки.
К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.
Предположение №3
Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.
Почему я так думаю: существует такой блог truecryptcheck.wordpress.com с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.
Из твиттера Wikileaks:
(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net
(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.
Из твиттера Matthew Green (один из аудиторов TrueCrypt):
@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.
TrueCrypt Setup 7.1a.exe:
sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
md5: 7a23ac83a0856c352025a6f7c9cc1526
TrueCrypt 7.1a Mac OS X.dmg:
sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
md5: 89affdc42966ae5739f673ba5fb4b7c5
truecrypt-7.1a-linux-x86.tar.gz:
sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
md5: 09355fb2e43cf51697a15421816899be
truecrypt-7.1a-linux-x64.tar.gz:
sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
md5: bb355096348383987447151eecd6dc0e
Следить в twitter
Пост на reddit
Тред на 4chan
Обсуждение на Hacker News
Новость на Arstechnica
Diff между нормальной версией 7.1a и «текущей» 7.2
diff на github
Link for your English-speaking friends
truecrypt.sourceforge.net
--------------------------
Некоторые комменты к посту:
/https://habrahabr.ru/post/224491/#comment_7636141
+1 ValdikSS, 29 мая 2014 в 00:36 (комментарий был изменён) #
Страшно это все, конечно. Все старые версии с SF удалены, ключ валидный, второй этап сбора денег на аудит через indiegogo идет.
Старые email аккаунты удалены.
/https://habrahabr.ru/post/224491/#comment_7636247
+16 Darbin, 29 мая 2014 в 01:56 #
/* Paranoid mode on
Скорее всего автора подвергли терморектальному криптоанализy и заставили добавить в программу бэкдор, чтобы спецслужбы при необходимости могли получить доступ к зашифрованным файлам и ему запрещено об это говорить. А таким вот оригинальным путем автор пытается привлечь внимание и намекнуть, что небезопасно пользоваться новыми версиями программы.
*Paranoid mode off/
+4 ValdikSS, 29 мая 2014 в 01:59 #
К сожалению, блин, похоже. Крайне похоже, что билд сделан тем же разработчиком, или, по крайней мере, на той же машине. В EXE пути к pdb:
c:\\truecrypt-7.2\\driver\\obj_driver_release\\i386\\truecrypt.pdb
т.е. такие же, как и в нормальной версии 7.1a. Да и ключи все те же самые. Давайте подождем заявлений. Остается надеятся, что в TrueCrypt обнаружили какую-то крайне серьезную уязвимость, и автор таким образом оповестил о ней. Это единственное мое предположение.
+3 Alexsey, 29 мая 2014 в 02:23 #
Вы так говорите как будто только разработчики truecrypt могут сбилдить его в корне диска c:\
0 ValdikSS, 29 мая 2014 в 03:03 #
Ну нет, но если учесть, что билды есть под все платформы, да и подписаны обычным ключом. Сейчас обновлю пост.
/https://habrahabr.ru/post/224491/#comment_7636327
+6 HeadFore, 29 мая 2014 в 03:35 (комментарий был изменён) #
На HackerNews появился ответ от SourceForge: news.ycombinator.com/item?id=7813121
Пишут, что признаков взлома нет, аккаунтом пользуются так же, как и в прошлый заход.
Видимо, имеют ввиду что IP, браузер не изменились.
/https://habrahabr.ru/post/224491/#comment_7636447
+5 JDima, 29 мая 2014 в 07:25 #
Один из людей, организовавших и проводивших аудит кода TC, думает, что это не взлом.
twitter.com/matthew_d_green/status/471752508147519488
Вполне вероятен вариант, что на разработчиков начали давить (когда начали?), и они решили свернуть лавочку. Может быть, почитав историю о Lavabit, уж очень совпало по времени. И может быть, в TC уже давно имеется закладка, и только сейчас они решились намекнуть на это…
Рекомендация перейти на Bitlocker — это так толсто, что аж тонко.
/https://habrahabr.ru/post/224491/#comment_7636475
+4 pessom, 29 мая 2014 в 07:49 #
Из веб архива сайт truecrypt.org исключен.
