-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Odkryto nowe poważne luki w „sprawdzonym” TrueCrypcie

29 września 2015, 20:39 | Aktualności | komentarzy 19

James Forshaw, badacz będący członkiem Google Project Zero, odnalazł dwie poważne luki w ostatniej „sprawdzonej” wersji kultowego TrueCrypta.

Rozwój TrueCrypta został zarzucony w tajemniczych okolicznościach ponad rok temu. Wielu zwolenników szyfrowania nadal używa jednak ostatniej „sprawdzonej” wersji tego znanego programu — wydania 7.1a.

VeraCrypt -- potencjalna alternatywa dla wysłużonego TrueCrypta

VeraCrypt — potencjalna alternatywa dla wysłużonego TrueCrypta

Wersja ta była „sprawdzona” dosłownie, gdyż otwarty kod TrueCrypta został poddany audytowi, a ten nie wykazał żadnych poważnych błędów bezpieczeństwa.

Niestety okazuje się, że windowsowy sterownik instalowany przez TrueCrypta zawiera luki pozwalające na eskalację uprawnień użytkowników systemu.

Szczegóły dotyczące podatności nie zostały jeszcze upublicznione, wiadomo jednak, że problemy te nie zostaną załatane w nierozwijanym już TrueCrypcie. Obie luki występowały również w VeraCrypcie, który został na TrueCrypcie bezpośrednio oparty. Tam jednak są już dostępne poprawki.

VeraCrypt w wersji 1.15 łata między innymi CVE-2015-7358 (Local Elevation of Privilege on Windows by abusing drive letter handling), którego ważność została oceniona jako „krytyczna”.

Choć na pierwszy rzut oka „krytyczna” wycena powyższej podatności może się wydawać przesadzona, to warto pamiętać, że niekontrolowane rozszerzenie uprawnień może przykładowo pozwalać na odczytanie klucza szyfrującego, który jest przez TrueCrypta przechowywany w pamięci operacyjnej.

Wyciąganie klucza szyfrującego TrueCrypta z pamięci operacyjnej za pomocą narzędzia aeskeyfind

Wyciąganie klucza szyfrującego TrueCrypta z pamięci operacyjnej za pomocą narzędzia aeskeyfind (http://volatility-labs.blogspot.com/)

Z powyższej historii płyną dwa ważne wnioski. Użytkownicy wysłużonego TrueCrypta tym razem powinni już na poważnie rozważyć przesiadkę na inne rozwiązanie szyfrujące. Na chwilę obecną dobrą alternatywą wydaje się być właśnie wspomniany VeraCrypt.

Drugi (dość oczywisty) wniosek jest taki, że żaden przegląd/audyt kodów źródłowych nie jest w stanie zagwarantować nam, że wszystkie (poważne) błędy zostaną wychwycone…

— Wojciech Smol

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kelwin

    Jeśli zebralibyśmy najlepszych specjalistów świata i sprawdziliby, czy dany program posiada luki i nie znaleźliby żadnej, mogliby jedynie powiedzieć, że luk nie znaleźli, a nie, że ich nie ma. Dlatego nikt nigdy nie może powiedzieć, że w jakimś programie luk nie ma i zawsze warto wybierać rozwijane dalej oprogramowanie, a nie te porzucone.

    Odpowiedz
    • enedil

      Natomiast, zbierając wszystkich programistów, dowolna luka byłaby pomijalna, bo kto miałby ją odkryć, gdy nikt jej nie odkrył.

      Odpowiedz
  2. z3

    Generalnie TrueCrypt był już wcześniej podatny, więc zapewne rozwojowy nie będzie, natomiast chwała autorom, że na swojej stronie w SourceForge od razu wrzucają taką informację i zalecają migrację na BitLockera.

    Odpowiedz
    • Stefan

      Bitlocker? Albo jesteś trolem Microsoft albo nie wiesz o czym mówisz. To zamknięte oprogramowanie – patrząc na dotychczasową współpracę Microsoft z NSA można z prawdopodobienstwem graniczącym z pewnością powiedzieć że są tam celowo pozostawione backdoory.

      Odpowiedz
    • Ninja

      Kpisz sobie? BitLocker z zamkniętym kodem źródłowym, autorstwa MS, z backupem kluczy w chmurze MS? O tym samym BitLockerze piszesz?

      Odpowiedz
    • Tomek

      Jeszcze gorszy wybór :) +- „z deszczu pod rynnę”.

      Odpowiedz
  3. józek

    Nie panikujcie, to niby błąd krytyczny, ale szyfrowanie jest nadal bezpieczne :)
    (cytuję w4ckiego :P)

    Odpowiedz
  4. te bit

    Wniosek z wpisu taki, że skomplikowane programy (programy kryptograficzne, systemy operacyjne) nigdy nie będą bezpieczne. Jak ktoś się uprze i będzie chciał złamać i wykraść nasze dane, dokona tego. Nawet Linux tutaj niczego w tej kwestii nie pomoże.

    Odpowiedz
    • Ziutek

      Wniosek zgrabny, ale fałszywy.
      Właściwie każde zdanie jest bez sensu.

      Odpowiedz
      • te bit

        Każde moje zdanie czy w ogóle? Może napisz coś więcej, bo póki co twój koment jest bez sensu…

        Odpowiedz
  5. asd

    Pewnie chodzi o to żeby przesiąść się na oprogramowanie które produkuje ten kto wypuścił
    sprawdzoną informację że w TrueCrypt jest luka ;)

    Odpowiedz
  6. Toto

    Jest jakieś takie przekonanie, że oprogramowanie nie rozwijane nagle przestaje działać. Jak działało to dalej działa!

    Jeżeli masz stary, niszowy program do szyfrowania np. haseł, to kto to złamie? Łamać takie rzeczy umie paru gości na świecie. Reszta korzysta z ich narzędzi. A narzędzia jak już powstają to do tych popularnych, „rozwijanych” programów.

    Za jakiś czas większość zapomni o TrueCrypt, a ten program dalej pięknie zaszyfruje pendrive!

    Odpowiedz
  7. Mirek
    Odpowiedz
  8. Mmm

    Czyżby USA nie potrafiło złamać TC i szukają sposobów by użytkownicy przesiadali się na programy z backdoorami?

    Odpowiedz
    • convinced

      pewnie dokładnie tak

      Odpowiedz
  9. meee

    DiskCryptor?

    Odpowiedz
  10. Zenobiusz

    Z koro już wszyscy piszą to i ja powiem swoje zdanie.
    Na jedno to dobrze że takie luki są znajdowane, dzięki temu inne forki mam tu na myśli veracrypt będzie jeszcze lepszy.
    Na sieci widziałem komentarze że nie warto przechodzić na inne rozwiązania bo nie wiadomo co w nich siedzi.
    Myśle że jeśli choczi o vc to zważywszy na to że kod jest otfarty, autor się bardzo stara wszystkie pliki są umieszczane w dwóch miejscach a ich sumy jeszcze w kolejnych dwóch to jest to bardzo dobry fork kturemu należy teraz pomóc zarówno w kfestjach programistycznych jak i finansowych, chociasz by pomuc autorowi na zebranie na audyt.

    Odpowiedz
    • Boli_mni

      Boli mnie jak czytam twój komentarz (dosłownie – kolka czy coś). Takich błędów, nie widziałem od czasu moich dyktand w podstawówce. Co wy ludzie macie z tym celowym przeinaczaniem słów ?

      Ale dobrze gadasz

      Odpowiedz
      • Mikelos

        Najpierw piszesz pomóc potem pomuc, ale chociasz wbija w ziemię :D

        Odpowiedz

Odpowiedz na te bit