W maju ubiegłego roku ekipa odpowiedzialna za rozwój programu do szyfrowania danych TrueCrypt porzuciła ten projekt i ostrzegała – „nie pobierajcie tego programu, nie jest bezpieczny”. Narzędzie nie poszło jednak w zapomnienie – grupka programistów nadal pracuje nad kolejną jego wersją, a użytkowników ciągle nie brakuje. Jeśli jesteś wśród tych ostatnich, naprawdę powinieneś przestać korzystać z programu TrueCrypt – to nie żart.
James Forshaw, specjalista z Google Project Zero znalazł dwie luki zwiększające uprawnienia niepowołanym osobom w programie TrueCrypt. Dzięki nim cyberprzestępcy mogą zyskać pełny dostęp do naszych danych.
Co gorsze, luki te znajdują się w wersji 7.1a, która uznawana jest za „ostatnią bezpieczną” i której kod został niedawno sprawdzony przez iSec. Raport: program wolny od błędów. Tymczasem dogłębniejsze analizy wykazały, że w instalowanym przez TrueCrypta windowsowym sterowniku faktycznie znajdują się dwie luki mogące prowadzić do sporych nadużyć.
Forshaw nie pokazał gdzie dokładnie znajdują się luki i jak można je wykorzystać. Jak tłumaczy za pośrednictwem swojego Twittera – zawsze czeka siedem dni po wypuszczeniu łatki, aby zminimalizować ryzyko.
Jeśli nie TrueCrypt, to co?
Odnalezienie dwóch luk bezpieczeństwa w programie, który został określony przez iSec jako „wolny od błędów” podważa rzetelność tego ostatniego testu. Użytkownicy nie mogą zatem być pewni tego, że TrueCrypt faktycznie zapewnia bezpieczeństwo naszych danych, a po to przecież go instalujemy.
Jeżeli używasz TrueCrypta dlatego, że słyszałeś, że jest „dobry”, a do tego dostępny za darmo, być może dobrym pomysłem dla ciebie będzie poszukanie alternatywy. Specjaliści polecają dwa forki TrueCrypta, których kody są otwarte (open source) – VeraCrypt oraz CipherShed.
Źródło: Engadget, PCWorld
