» »

heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypa

heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypa

Phantomeye ::

Tole se je danes (?) pojavilo na strani http://truecrypt.sourceforge.net/.

fiction ::

Tudi mene je zadeva močno presenetila. Baje je (nova) 7.2 verzija podpisana s pravim keyem (tako da ni nujno samo defacement strani).

Verjetnih je kar nekaj razlag:
- vdor
- review je odkril nekaj kritičnega (kar se ne da enostavno popraviti)
- sami odsvetujejo uporabo, ker jih NSA sili v vgradnjo backdoora

Jst ::

Brez besed! WTF??!?!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

hojnikb ::

sam resno, kwa je s tem ?!?!

pa ravno audit je bil ne tako dolgo nazaj ;((
#brezpodpisa

Jst ::

Če bi "samo" odsvetovali uporabo TC bi bilo malo manj sumljivo, kakor pa da priporočajo vklop Bitlockerja (ki mu pa res nihče ne zaupa - ajde mal pretiravam, ampak v tem kontekstu naj bo).
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

trnvpeti ::

Jst je izjavil:

Če bi "samo" odsvetovali uporabo TC bi bilo malo manj sumljivo, kakor pa da priporočajo vklop Bitlockerja (ki mu pa res nihče ne zaupa - ajde mal pretiravam, ampak v tem kontekstu naj bo).

torej nic v cloud, kr doma imet

Roadkill ::

- vdor
- review je odkril nekaj kritičnega (kar se ne da enostavno popraviti)
- sami odsvetujejo uporabo, ker jih NSA sili v vgradnjo backdoora


Meni se najbolj vrjetna zdi zadnja možnost. Precej spomne na lavabit zgodbo.

Če dobiš National security letter ga ne smeš omenjat.

>> Levison explained he was under gag order and that he was legally unable to explain to the public why he ended the service.

Počakajmo, da se dim razkadi. Ampak več kot zanimivo tole.
Ü

fiction ::

Najbolj verjetna se mi zdi razlaga, da je bil kompromitiran TrueCrypt developer. In tukaj ne mislim nujno samo, da je bil shekan. Lahko je bil tudi na tak ali drugačen razlog prisiljen. 7.2 bazira na dejanskih spremembah code-basa z dodatkom izklopa enkripcije.

"For the lulz" je sicer možno, ampak rewritat kodo, ne da bi vstavil backdoor, temveč samo odsvetoval uporabo je precej čudno.

Mogoče je cilj širjenje FUD-a. Ljudje bodo prenehali z uporabo, ali zato ker so jim tako "svetovali", ali pa zaradi "če je že stran defacana, kako naj potem zaupam programu" sindroma. In komu to koristi? NSA in Microsoftu. To sicer še ničesar ne dokazuje, ampak mogoče so pa res imeli težave s TrueCryptom? :)

Phantomeye ::

pa glih hotu sem formatirat komp, pa disk kriptirat, vse ostale diske stare sm že, čist za hec. zdej pa to. me zanima kaj ima Matthai za rečt.

pegasus ::

Pa saj imamo dm-crypt, loop-aes in še kaj ... kdo sploh uporablja truecrypt?

trnvpeti ::

pegasus je izjavil:

Pa saj imamo dm-crypt, loop-aes in še kaj ... kdo sploh uporablja truecrypt?

mogoce dvojno kriptiranje, prvo tc, pol pa se v dm/loop

hojnikb ::

vsi na windows sistemih..
#brezpodpisa

trnvpeti ::

hojnikb je izjavil:

vsi na windows sistemih..

pol pa ze tako imajo bitl

fosil ::

Tole je skoraj zagotovo vdor v stran.
Če bi že bil TC kompromitiran avtorji gotovo ne bi pozivali k uporabi bitlockerja, ki je verjetno še veliko bolj kompromitiran.
Tako je!

trnvpeti ::

fosil je izjavil:

Tole je skoraj zagotovo vdor v stran.
Če bi že bil TC kompromitiran avtorji gotovo ne bi pozivali k uporabi bitlockerja, ki je verjetno še veliko bolj kompromitiran.

pol so jim mogli tudi tw racun heknat :)

Phantomeye ::

here's a theory. defejsana stran na koncu ponuja link do verzije 7.2, kao uporabi samo, če migriraš na drug crypt app.. je možno, da je ta verzija z backdoorom... neke vrste social engineering?

root987 ::

Nisem ravno spremljal razvoja zadnje čase, kaj se je pa zgodilo z OSX/linux različicami? Zakaj bi se razvoj ustavil zaradi MS ukinitve XP?

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.


To meni vse skupaj deluje kot deface? Or am I missing something?
"Myths which are believed in tend to become true."
--- George Orwell

Jupito ::

Definitivno izgleda nelogično. Napovedovali so SSD in Win8 support, TC je bil popularen na 7-ki... Na forumu so opozarjali, da ne gre zaupati zaprtokodnim (no ja, čeprav windows...)
Tudi če nočeš povedati zakaj, lahko enostavno zapreš štarcuno, ne ostane nič, FU.

Razen če je developer klinično nor, mi tole izgleda kot hax. Lahko bi bil tudi "code green", čeprav je nekoliko nenavadno, da bi mu pustili samemu zaključiti in ne kar prevzeli nadzora nad stranjo (in preko nje razpečevali kompromitirane verzije), vsaj glede na to, kaj se je zgodilo v primeru Lavabita.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

stb ::

stb ::

Ukinitev XPjev je lahko le izgovor. Lahko bi ukinili support za XPje, če na tem sistemu res uporabljajo kakšno kritično, a ranljivo in nevzdrževano sistemsko knjižnico.

TrueCrypta na ostalih OSih Microsoftova odločitev o usodi XPjev ne bi smela prizadeti.

Vprašanje pa je zakaj rabijo izgovor?
So ključnim ljudem temne sile (NSA, MS...) to odločitev vsilile ali jim ponudili nekaj česar niso mogli zavrniti, ali pa so od njih zahtevali vgradnjo stranskih vrat in so raje zadevo po vzoru Lavabita ukinili? Zakaj priporočajo migracijo na bitlocker?

Iatromantis ::

Smrdi po NSL, vsaj po zdaj zbranih podatkih..

NSA or other three letter agency issues National Security Letter, or other legal instrument to the TrueCrypt developers ordering them to hand over the private key. (See below for why) NSL/whatever orders them to keep silent on this matter - same as for Lavabit.

Developers hand over the keys, and then immediately modify the site and code.

Why? So they can develop a compromised version of TrueCrypt and then when their chosen targets go to download the file - use their same infrastructure to do a MITM attack to give a compromised version. Compromised version still signed.


- Signature is valid, so it's not a defacement. ( http://www.reddit.com/r/netsec/comments...... )

- The version there works and does not seem to have a trojan, so probably not a regular hacker. ( https://news.ycombinator.com/item?id=78... )

- Instructs to migrate to dubious alternatives, so it's not a legit security effort.

- License change, precise instructions and decrypt-only version indicate it's not a completely rushed press release. (license change: https://github.com/warewolf/truecrypt/c......7.2#d... )

- On the other hand the Linux instruction is a joke, so it's not completely well thought either. ( http://truecrypt.sourceforge.net/OtherP... )

- The security audit was so far ok, so it's not a sudden vulnerability discovered there. ( https://twitter.com/matthew_d_green/sta...... )

- No details whatsoever other than a "may contain unfixed security issues", so it might be an automated release (doesn't know what happened) or gagged reaction (can't say what happened).

- Source code includes unrelated changes, so it probably comes from a developer. ( https://news.ycombinator.com/item?id=78... )

If I had to wager a crazy bet, I would go with newly developed Dead-Man's-Switch gone wrong.

Edit: someone on Reddit has an interesting view that it may be a halfhearted attempt at complying with an NSA request ( http://www.reddit.com/r/sysadmin/commen...... ).

Jupito ::

Na žalost res, več podrobnosti kot je znanih, bolj izgleda kot reakcija na NSL... (Sicer je še vedno zgodaj in ostaja upanje, da se bo oglasil developer.)

Na srečo so pa nekateri že pred tem pridno zvlekli večino verzij na kup (tole sicer (še) ni preverjeno):

https://github.com/DrWhax/truecrypt-arc...

http://cyberside.net.ee/truecrypt/

Ni vrag, da ne bi kdo razvijal naprej (eula je sicer debilna, ampak kaj pa bo v najslabšem primeru, tožil in se razkril?). Škoda, da bi umrlo zdajle, ko je ravno v preverjanju in so pomanjkljivosti razvijalcu lepo k riti prinešene za đabe.

Ali pa morda DC:

https://diskcryptor.net/wiki/Main_Page - Potencialna alternativa za FDE, če vse zastane. Avtor je nezadovoljen uporabnik TC (razvijalci anonimni, nobenega audita, podpira trim, več opcij za multiboot, deluje samo samo na windowsih) - Juhu, spet vsa ugibanja, dvomi, debate, tveganja...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

Furbo ::

Ja lih ma MS rešitev bom šel, oni najraje nastavljajo tazadnjo raznim agencijam.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

ratek ::

Če je odziv avtorjev (?) na sourceforge res reakcija na NSL, bi to da priporočajo Microsoftov Bitlocker lahko razumeli kot neko simbolno sporočilo.
(češ ne veš kaj se skriva v Truecrypt kodi, zato si raje namesti Bitlocker ;)

jype ::

poweroff ::

Tole je dosti sumljivo. Sploh priporočanje Bitlockerja ter (posredno) priporočanje eCryptFS na Linuxu. Jaz bi zaenkrat zaupal verziji 7.1a in ne bi nadgrajeval na 7.2. Predvsem pa bi počakal na rezultate phase 2 security auditinga.

Vse skupaj pa mi izgleda kot da je kdo resno pritisnil na developerje. Po moje bomo v parih dneh vedeli več.
sudo poweroff

napsy ::

Takle pa zgleda diff med verzijama 7.1a in 7.2 :-D

https://www.alchemistowl.org/arrigo/tru...
"If you die, you die. But when you live you live. There is no time to waste."

Oberyn ::

NSL/whatever orders them to keep silent on this matter - same as for Lavabit.

Meni se zdi čudno, da okoli tega ni kakšnega obvoza. Ker to ne spada drugam, kot v temačni srednji vek. Saj menda lahko recimo rečeš, da na podlagi tega pa tega zakona, člen xxx, uradni list xxx, ne smeš povedati, kaj se ti je zgodilo. Samo navedeš zakonsko podlago ukaza, da moraš biti tiho, nič drugega, kar pa v bistvu že vse pojasni. Ali tudi to ne bi šlo skozi?

stb ::

National Security Letter @ Wikipedia :
NSLs may contain a nondisclosure provision--preventing the recipient of an NSL from disclosing that the FBI had requested the information

Omenjanje člena zakona bi razkrilo razlog.

stb ::

Glej tudi
Warrant canary @ Wikipedia
...criminal penalties for disclosing the existence of the warrant to any third party, including the service provider's users

RejZoR ::

Torej najbolje da spet uvedemo tunkanje in sežiganje čarovnic... ker med tistim in tem zgoraj ni kej dost razlike.
Angry Sheep Blog @ www.rejzor.com

s6c-gEL ::

Hashi za tc 7.1a iz dne 21.02.2014, ko je bil narejen virus scan
http://www.herdprotect.com/truecrypt-se...
File name:truecrypt setup 7.1a.exe
Publisher:TrueCrypt Foundation (signed and verified)
Product:TrueCrypt
Description:TrueCrypt Setup
Version:7.1a
MD5:7a23ac83a0856c352025a6f7c9cc1526
SHA-1:7689d038c76bd1df695d295c026961e50e4a62ea
SHA-256:e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2

Zgodovina sprememb…

  • spremenilo: s6c-gEL ()

RejZoR ::

Angry Sheep Blog @ www.rejzor.com

poweroff ::

sudo poweroff

illion ::

RejZoR je izjavil:

https://www.virustotal.com/en/file/e95e...

ok, sam to še nč ne pomen, ni prevelik problem zaobit teh checkov..

poweroff ::

Hashi so bistveni tukaj.
sudo poweroff

Jst ::

Sicer prepisano z enega komentarja, ampak vseeno:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues


>TrueCrypt is Not Secure As

Jaz se nagibam na NSL gag order.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

driver_x ::

Če je v ozadju res NSL, potem smo pristali v res temačnih časih.

andromedar ::

jype je izjavil:

https://twitter.com/NSA_PR/status/47178...


Saj vem da je bil to verjetno hec....ampak to ni NSA-jev account
Eh?

Ribič ::

In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?

RejZoR ::

poweroff je izjavil:

Hashi so bistveni tukaj.


In pa datum kdaj je bil ta hash zajet v sistem.
Angry Sheep Blog @ www.rejzor.com

s6c-gEL ::

Ribič je izjavil:

In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?

Mogoče preko registrarja http://whois.domaintools.com/truecrypt....
ali so heknili sourceforge.net in tako dobili njihove ipje.

poweroff ::

sudo poweroff

Iatromantis ::

Ribič je izjavil:

In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?


Menda imajo registrirano družbo na Češkem in v ZDA pod imeni David in Ondrej Tesařík. Glej:

http://pastebin.com/7LNQUsrA

root987 ::

Iatromantis je izjavil:

Ribič je izjavil:

In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?


Menda imajo registrirano družbo na Češkem in v ZDA pod imeni David in Ondrej Tesařík. Glej:

http://pastebin.com/7LNQUsrA

Pa da ne omenjamo da so (NSA) v biznisu iskanja, lociranja ljudi... Za silkroad je bilo dovolj da se je avtor parkrat spozabil na internetu...
"Myths which are believed in tend to become true."
--- George Orwell


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Truecrypt opozorilo

Oddelek: Pomoč in nasveti
163119 (1811) harmony
»

Revizija TrueCrypta gre dalje

Oddelek: Novice / Varnost
228909 (4447) Satoshi
»

NSA lahko bere večino šifrirnega, ne pa vsega

Oddelek: Novice / NWO
4517106 (12899) deadzone
»

TrueCrypt na precepu (strani: 1 2 )

Oddelek: Novice / Varnost
7128458 (23818) MrStein
»

TrueCrypt audit project

Oddelek: Informacijska varnost
153108 (2188) jkreuztzfeld

Več podobnih tem