Forum » Informacijska varnost » heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypa
heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypa
fiction ::
Tudi mene je zadeva močno presenetila. Baje je (nova) 7.2 verzija podpisana s pravim keyem (tako da ni nujno samo defacement strani).
Verjetnih je kar nekaj razlag:
- vdor
- review je odkril nekaj kritičnega (kar se ne da enostavno popraviti)
- sami odsvetujejo uporabo, ker jih NSA sili v vgradnjo backdoora
Verjetnih je kar nekaj razlag:
- vdor
- review je odkril nekaj kritičnega (kar se ne da enostavno popraviti)
- sami odsvetujejo uporabo, ker jih NSA sili v vgradnjo backdoora
Jst ::
Brez besed! WTF??!?!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Jst ::
Če bi "samo" odsvetovali uporabo TC bi bilo malo manj sumljivo, kakor pa da priporočajo vklop Bitlockerja (ki mu pa res nihče ne zaupa - ajde mal pretiravam, ampak v tem kontekstu naj bo).
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
trnvpeti ::
Roadkill ::
- vdor
- review je odkril nekaj kritičnega (kar se ne da enostavno popraviti)
- sami odsvetujejo uporabo, ker jih NSA sili v vgradnjo backdoora
Meni se najbolj vrjetna zdi zadnja možnost. Precej spomne na lavabit zgodbo.
Če dobiš National security letter ga ne smeš omenjat.
>> Levison explained he was under gag order and that he was legally unable to explain to the public why he ended the service.
Počakajmo, da se dim razkadi. Ampak več kot zanimivo tole.
Ü
fiction ::
Najbolj verjetna se mi zdi razlaga, da je bil kompromitiran TrueCrypt developer. In tukaj ne mislim nujno samo, da je bil shekan. Lahko je bil tudi na tak ali drugačen razlog prisiljen. 7.2 bazira na dejanskih spremembah code-basa z dodatkom izklopa enkripcije.
"For the lulz" je sicer možno, ampak rewritat kodo, ne da bi vstavil backdoor, temveč samo odsvetoval uporabo je precej čudno.
Mogoče je cilj širjenje FUD-a. Ljudje bodo prenehali z uporabo, ali zato ker so jim tako "svetovali", ali pa zaradi "če je že stran defacana, kako naj potem zaupam programu" sindroma. In komu to koristi? NSA in Microsoftu. To sicer še ničesar ne dokazuje, ampak mogoče so pa res imeli težave s TrueCryptom?
"For the lulz" je sicer možno, ampak rewritat kodo, ne da bi vstavil backdoor, temveč samo odsvetoval uporabo je precej čudno.
Mogoče je cilj širjenje FUD-a. Ljudje bodo prenehali z uporabo, ali zato ker so jim tako "svetovali", ali pa zaradi "če je že stran defacana, kako naj potem zaupam programu" sindroma. In komu to koristi? NSA in Microsoftu. To sicer še ničesar ne dokazuje, ampak mogoče so pa res imeli težave s TrueCryptom?
Phantomeye ::
pa glih hotu sem formatirat komp, pa disk kriptirat, vse ostale diske stare sm že, čist za hec. zdej pa to. me zanima kaj ima Matthai za rečt.
trnvpeti ::
fosil ::
Tole je skoraj zagotovo vdor v stran.
Če bi že bil TC kompromitiran avtorji gotovo ne bi pozivali k uporabi bitlockerja, ki je verjetno še veliko bolj kompromitiran.
Če bi že bil TC kompromitiran avtorji gotovo ne bi pozivali k uporabi bitlockerja, ki je verjetno še veliko bolj kompromitiran.
Tako je!
trnvpeti ::
Phantomeye ::
here's a theory. defejsana stran na koncu ponuja link do verzije 7.2, kao uporabi samo, če migriraš na drug crypt app.. je možno, da je ta verzija z backdoorom... neke vrste social engineering?
root987 ::
Nisem ravno spremljal razvoja zadnje čase, kaj se je pa zgodilo z OSX/linux različicami? Zakaj bi se razvoj ustavil zaradi MS ukinitve XP?
To meni vse skupaj deluje kot deface? Or am I missing something?
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
To meni vse skupaj deluje kot deface? Or am I missing something?
"Myths which are believed in tend to become true."
--- George Orwell
--- George Orwell
Jupito ::
Definitivno izgleda nelogično. Napovedovali so SSD in Win8 support, TC je bil popularen na 7-ki... Na forumu so opozarjali, da ne gre zaupati zaprtokodnim (no ja, čeprav windows...)
Tudi če nočeš povedati zakaj, lahko enostavno zapreš štarcuno, ne ostane nič, FU.
Razen če je developer klinično nor, mi tole izgleda kot hax. Lahko bi bil tudi "code green", čeprav je nekoliko nenavadno, da bi mu pustili samemu zaključiti in ne kar prevzeli nadzora nad stranjo (in preko nje razpečevali kompromitirane verzije), vsaj glede na to, kaj se je zgodilo v primeru Lavabita.
Tudi če nočeš povedati zakaj, lahko enostavno zapreš štarcuno, ne ostane nič, FU.
Razen če je developer klinično nor, mi tole izgleda kot hax. Lahko bi bil tudi "code green", čeprav je nekoliko nenavadno, da bi mu pustili samemu zaključiti in ne kar prevzeli nadzora nad stranjo (in preko nje razpečevali kompromitirane verzije), vsaj glede na to, kaj se je zgodilo v primeru Lavabita.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
stb ::
Ukinitev XPjev je lahko le izgovor. Lahko bi ukinili support za XPje, če na tem sistemu res uporabljajo kakšno kritično, a ranljivo in nevzdrževano sistemsko knjižnico.
TrueCrypta na ostalih OSih Microsoftova odločitev o usodi XPjev ne bi smela prizadeti.
Vprašanje pa je zakaj rabijo izgovor?
So ključnim ljudem temne sile (NSA, MS...) to odločitev vsilile ali jim ponudili nekaj česar niso mogli zavrniti, ali pa so od njih zahtevali vgradnjo stranskih vrat in so raje zadevo po vzoru Lavabita ukinili? Zakaj priporočajo migracijo na bitlocker?
TrueCrypta na ostalih OSih Microsoftova odločitev o usodi XPjev ne bi smela prizadeti.
Vprašanje pa je zakaj rabijo izgovor?
So ključnim ljudem temne sile (NSA, MS...) to odločitev vsilile ali jim ponudili nekaj česar niso mogli zavrniti, ali pa so od njih zahtevali vgradnjo stranskih vrat in so raje zadevo po vzoru Lavabita ukinili? Zakaj priporočajo migracijo na bitlocker?
Iatromantis ::
Smrdi po NSL, vsaj po zdaj zbranih podatkih..
NSA or other three letter agency issues National Security Letter, or other legal instrument to the TrueCrypt developers ordering them to hand over the private key. (See below for why) NSL/whatever orders them to keep silent on this matter - same as for Lavabit.
Developers hand over the keys, and then immediately modify the site and code.
Why? So they can develop a compromised version of TrueCrypt and then when their chosen targets go to download the file - use their same infrastructure to do a MITM attack to give a compromised version. Compromised version still signed.
- Signature is valid, so it's not a defacement. ( http://www.reddit.com/r/netsec/comments...... )
- The version there works and does not seem to have a trojan, so probably not a regular hacker. ( https://news.ycombinator.com/item?id=78... )
- Instructs to migrate to dubious alternatives, so it's not a legit security effort.
- License change, precise instructions and decrypt-only version indicate it's not a completely rushed press release. (license change: https://github.com/warewolf/truecrypt/c......7.2#d... )
- On the other hand the Linux instruction is a joke, so it's not completely well thought either. ( http://truecrypt.sourceforge.net/OtherP... )
- The security audit was so far ok, so it's not a sudden vulnerability discovered there. ( https://twitter.com/matthew_d_green/sta...... )
- No details whatsoever other than a "may contain unfixed security issues", so it might be an automated release (doesn't know what happened) or gagged reaction (can't say what happened).
- Source code includes unrelated changes, so it probably comes from a developer. ( https://news.ycombinator.com/item?id=78... )
If I had to wager a crazy bet, I would go with newly developed Dead-Man's-Switch gone wrong.
Edit: someone on Reddit has an interesting view that it may be a halfhearted attempt at complying with an NSA request ( http://www.reddit.com/r/sysadmin/commen...... ).
Jupito ::
Na žalost res, več podrobnosti kot je znanih, bolj izgleda kot reakcija na NSL... (Sicer je še vedno zgodaj in ostaja upanje, da se bo oglasil developer.)
Na srečo so pa nekateri že pred tem pridno zvlekli večino verzij na kup (tole sicer (še) ni preverjeno):
https://github.com/DrWhax/truecrypt-arc...
http://cyberside.net.ee/truecrypt/
Ni vrag, da ne bi kdo razvijal naprej (eula je sicer debilna, ampak kaj pa bo v najslabšem primeru, tožil in se razkril?). Škoda, da bi umrlo zdajle, ko je ravno v preverjanju in so pomanjkljivosti razvijalcu lepo k riti prinešene za đabe.
Ali pa morda DC:
https://diskcryptor.net/wiki/Main_Page - Potencialna alternativa za FDE, če vse zastane. Avtor je nezadovoljen uporabnik TC (razvijalci anonimni, nobenega audita, podpira trim, več opcij za multiboot, deluje samo samo na windowsih) - Juhu, spet vsa ugibanja, dvomi, debate, tveganja...
Na srečo so pa nekateri že pred tem pridno zvlekli večino verzij na kup (tole sicer (še) ni preverjeno):
https://github.com/DrWhax/truecrypt-arc...
http://cyberside.net.ee/truecrypt/
Ni vrag, da ne bi kdo razvijal naprej (eula je sicer debilna, ampak kaj pa bo v najslabšem primeru, tožil in se razkril?). Škoda, da bi umrlo zdajle, ko je ravno v preverjanju in so pomanjkljivosti razvijalcu lepo k riti prinešene za đabe.
Ali pa morda DC:
https://diskcryptor.net/wiki/Main_Page - Potencialna alternativa za FDE, če vse zastane. Avtor je nezadovoljen uporabnik TC (razvijalci anonimni, nobenega audita, podpira trim, več opcij za multiboot, deluje samo samo na windowsih) - Juhu, spet vsa ugibanja, dvomi, debate, tveganja...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Zgodovina sprememb…
- spremenil: Jupito ()
Furbo ::
Ja lih ma MS rešitev bom šel, oni najraje nastavljajo tazadnjo raznim agencijam.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014
RTX3070, ALIENWARE AW3821DW, DELL U3014
ratek ::
Če je odziv avtorjev (?) na sourceforge res reakcija na NSL, bi to da priporočajo Microsoftov Bitlocker lahko razumeli kot neko simbolno sporočilo.
(češ ne veš kaj se skriva v Truecrypt kodi, zato si raje namesti Bitlocker ;)
(češ ne veš kaj se skriva v Truecrypt kodi, zato si raje namesti Bitlocker ;)
poweroff ::
Tole je dosti sumljivo. Sploh priporočanje Bitlockerja ter (posredno) priporočanje eCryptFS na Linuxu. Jaz bi zaenkrat zaupal verziji 7.1a in ne bi nadgrajeval na 7.2. Predvsem pa bi počakal na rezultate phase 2 security auditinga.
Vse skupaj pa mi izgleda kot da je kdo resno pritisnil na developerje. Po moje bomo v parih dneh vedeli več.
Vse skupaj pa mi izgleda kot da je kdo resno pritisnil na developerje. Po moje bomo v parih dneh vedeli več.
sudo poweroff
Oberyn ::
NSL/whatever orders them to keep silent on this matter - same as for Lavabit.
Meni se zdi čudno, da okoli tega ni kakšnega obvoza. Ker to ne spada drugam, kot v temačni srednji vek. Saj menda lahko recimo rečeš, da na podlagi tega pa tega zakona, člen xxx, uradni list xxx, ne smeš povedati, kaj se ti je zgodilo. Samo navedeš zakonsko podlago ukaza, da moraš biti tiho, nič drugega, kar pa v bistvu že vse pojasni. Ali tudi to ne bi šlo skozi?
stb ::
National Security Letter @ Wikipedia :
Omenjanje člena zakona bi razkrilo razlog.
NSLs may contain a nondisclosure provision--preventing the recipient of an NSL from disclosing that the FBI had requested the information
Omenjanje člena zakona bi razkrilo razlog.
stb ::
Glej tudi
Warrant canary @ Wikipedia
Warrant canary @ Wikipedia
...criminal penalties for disclosing the existence of the warrant to any third party, including the service provider's users
RejZoR ::
Torej najbolje da spet uvedemo tunkanje in sežiganje čarovnic... ker med tistim in tem zgoraj ni kej dost razlike.
Angry Sheep Blog @ www.rejzor.com
s6c-gEL ::
Hashi za tc 7.1a iz dne 21.02.2014, ko je bil narejen virus scan
http://www.herdprotect.com/truecrypt-se...
http://www.herdprotect.com/truecrypt-se...
File name:truecrypt setup 7.1a.exe
Publisher:TrueCrypt Foundation (signed and verified)
Product:TrueCrypt
Description:TrueCrypt Setup
Version:7.1a
MD5:7a23ac83a0856c352025a6f7c9cc1526
SHA-1:7689d038c76bd1df695d295c026961e50e4a62ea
SHA-256:e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2
Zgodovina sprememb…
- spremenilo: s6c-gEL ()
illion ::
https://www.virustotal.com/en/file/e95e...
ok, sam to še nč ne pomen, ni prevelik problem zaobit teh checkov..
Jst ::
Sicer prepisano z enega komentarja, ampak vseeno:
>TrueCrypt is Not Secure As
Jaz se nagibam na NSL gag order.
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
>TrueCrypt is Not Secure As
Jaz se nagibam na NSL gag order.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Zgodovina sprememb…
- spremenil: Jst ()
andromedar ::
https://twitter.com/NSA_PR/status/47178...
Saj vem da je bil to verjetno hec....ampak to ni NSA-jev account
Eh?
s6c-gEL ::
In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?
Mogoče preko registrarja http://whois.domaintools.com/truecrypt....
ali so heknili sourceforge.net in tako dobili njihove ipje.
Iatromantis ::
In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?
Menda imajo registrirano družbo na Češkem in v ZDA pod imeni David in Ondrej Tesařík. Glej:
http://pastebin.com/7LNQUsrA
root987 ::
Iatromantis je izjavil:
In kako so jih lahko razkrinkali, ko pa so developerji bili anonimni?
Menda imajo registrirano družbo na Češkem in v ZDA pod imeni David in Ondrej Tesařík. Glej:
http://pastebin.com/7LNQUsrA
Pa da ne omenjamo da so (NSA) v biznisu iskanja, lociranja ljudi... Za silkroad je bilo dovolj da se je avtor parkrat spozabil na internetu...
"Myths which are believed in tend to become true."
--- George Orwell
--- George Orwell
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Truecrypt opozoriloOddelek: Pomoč in nasveti | 2978 (1670) | harmony |
| » | Revizija TrueCrypta gre daljeOddelek: Novice / Varnost | 8650 (4188) | Satoshi |
| » | NSA lahko bere večino šifrirnega, ne pa vsegaOddelek: Novice / NWO | 16443 (12236) | deadzone |
| » | TrueCrypt na precepu (strani: 1 2 )Oddelek: Novice / Varnost | 26822 (22182) | MrStein |
| » | TrueCrypt audit projectOddelek: Informacijska varnost | 2989 (2069) | jkreuztzfeld |