Ciekawostki

Jeśli wciąż korzystasz z TrueCrypta, przestań

z dnia 2015-09-30
Wojciech Kulik | Redaktor serwisu benchmark.pl
9 komentarzy Dyskutuj z nami

Nawet „ostatnia bezpieczna” wersja TrueCrypta nie jest pozbawiona groźnych luk bezpieczeństwa.

TrueCrypt luka

W maju ubiegłego roku ekipa odpowiedzialna za rozwój programu do szyfrowania danych TrueCrypt porzuciła ten projekt i ostrzegała – „nie pobierajcie tego programu, nie jest bezpieczny”. Narzędzie nie poszło jednak w zapomnienie – grupka programistów nadal pracuje nad kolejną jego wersją, a użytkowników ciągle nie brakuje. Jeśli jesteś wśród tych ostatnich, naprawdę powinieneś przestać korzystać z programu TrueCrypt – to nie żart.

James Forshaw, specjalista z Google Project Zero znalazł dwie luki zwiększające uprawnienia niepowołanym osobom w programie TrueCrypt. Dzięki nim cyberprzestępcy mogą zyskać pełny dostęp do naszych danych. 

Co gorsze, luki te znajdują się w wersji 7.1a, która uznawana jest za „ostatnią bezpieczną” i której kod został niedawno sprawdzony przez iSec. Raport: program wolny od błędów. Tymczasem dogłębniejsze analizy wykazały, że w instalowanym przez TrueCrypta windowsowym sterowniku faktycznie znajdują się dwie luki mogące prowadzić do sporych nadużyć.

Forshaw nie pokazał gdzie dokładnie znajdują się luki i jak można je wykorzystać. Jak tłumaczy za pośrednictwem swojego Twittera – zawsze czeka siedem dni po wypuszczeniu łatki, aby zminimalizować ryzyko.

Jeśli nie TrueCrypt, to co?

Odnalezienie dwóch luk bezpieczeństwa w programie, który został określony przez iSec jako „wolny od błędów” podważa rzetelność tego ostatniego testu. Użytkownicy nie mogą zatem być pewni tego, że TrueCrypt faktycznie zapewnia bezpieczeństwo naszych danych, a po to przecież go instalujemy.

Ten artykuł pochodzi ze strony benchmark.pl

Jeżeli używasz TrueCrypta dlatego, że słyszałeś, że jest „dobry”, a do tego dostępny za darmo, być może dobrym pomysłem dla ciebie będzie poszukanie alternatywy. Specjaliści polecają dwa forki TrueCrypta, których kody są otwarte (open source) – VeraCrypt oraz CipherShed.

Źródło: Engadget, PCWorld

marketplace

Komentarze

9
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Ciężko powiedzieć czy ten "hejt" na TC nie jest wynikiem tego, że rzeczywiście nie da się go złamać a to nie na rękę wielu organizacjom.
    Trochę dziwne to nagłe porzucenie TC i wypuszczenie niefunkcjonalnej wersji 7.2 i jednocześnie kasowanie wcześniejszych.
    Zaloguj się
    13
  • avatar
    Treść newsa zabójcza, sedno trywialne - błędy w sterowniku TC pozwalające na lokalne podniesienie uprawnień zalogowanego użytkownika. Sądząc po skąpych opisach na necie - potrzeby jest fizyczny dostęp do maszyny i nie ma to nic wspólnego z bezpieczeństwem danych zabezpieczanych przez TC.
    Takie błędy to w każdym sofcie wykrywa się na pęczki i raczej nie słychać nawoływań do zaprzestania używania Windows, Office, Linuksa, Androida itp.
    Ja na razie zaprzestania korzystania z TC nie planuję :)
  • avatar
    FUD sponsorowany przez NSA...
    Zaloguj się
  • avatar
    Dalej nie jest to luka, która by pozwalała odszyfrować np dysk przenośny, który by wpadł w czyjeś ręce.
    A tylko z tego powodu używam True Crypta.

    Nikt fizycznie do mojego komputera dostępu nie ma.

    I nie zamierzam go porzucać.
  • avatar
    "dwa forki TrueCrypta"

    forki ? WTF ?
    Zaloguj się
  • avatar
    "Jeśli wciąż piszesz bezsensowne tytuły, przestań" - tak można sparafrazować tytuł tej notatki. Nie wiadomo na czym polegają błędy, nie wiadomo jak je można wykorzystać, a autor już stwierdza, że lepiej przestać używać produktu, tym bardziej, że TrueCrypt działa także na innych systemach niż Windows (a błędy znaleziono w sterowniku Windows), co jak widać przekracza pojmowanie autora.

    A już zupełnym kuriozum jest ostatni akapit, w którym poleca się projekty, które w zakresie powyższego problemu niczym się nie różnią.