Odkriti kritični ranljivosti v TrueCryptu
Matej Huš
30. sep 2015 ob 17:48:35
TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.
Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili prisotni tudi v VeraCryptu, ki je eden izmed projektov (fork), ki sta se razvila na pogorišču TrueCrypta. Drugi je CiperShed. V VeraCryptu so ranljivosti že zakrpali, v TrueCryptu pa ju seveda ne bo nihče, ker se koda ne vzdržuje več. Forshaw pojasnjuje, da gre za precej zahrbtni luknji, ki sta posledica sodelovanja z operacijskim sistemom Windows, zato ni presenetljivo, da so ju pri pregledu kode spregledali. Kaže, da sta nastali pomotoma in da ne gre za namerna stranska vrata.
Ob tem poudarimo, da ne gre za pomanjkljivo izvedbo šifriranja, temveč ranljivosti, ki napadalcu omogoča prevzem nadzora nad računalnikom. Gre za napaki, ki sta prisotni tudi v nekaterih drugih programih in nista vezani izključno na kodo TrueCrypta. Zaradi napake pri preverjanju simbolne povezave, ki jo TrueCrypt uporablja za vpenjanje pogonov, lahko napadalec pridobi administratorske privilegije na računalniku. Ker omenjeni TrueCryptov gonilnik lahko pokliče katerikoli program, lahko katerikoli program tudi privilegije. Druga ranljivost omogoča prevzem identitete drugega uporabnika na istem računalniku in je manj kritična napaka od prve. Vse podrobnosti bodo objavljene teden dni po izidu popravkov za VeraCrypt. Tedaj bo tudi skrajni čas za prekinitev uporabe TrueCrypta, saj bo njegova koda ostala ranljiva, vse informacije pa bodo javno razgrnjene.