TrueCrypt ma dziury, ale zaszyfrowane dane są bezpieczne

Jak już mogliśmy się dzisiaj dowiedzieć z doniesień związanych z Androidem, jedynie szyfrowanie zapewnia odpowiednie bezpieczeństwo naszych danych. Jeżeli chodzi o komputery i systemowy desktopowe, istotna jest jeszcze jedna kwestia – jakie oprogramowanie powinniśmy wykorzystać do takiego zabezpieczenia? Na rynku istnieją rozwiązania zarówno darmowe, jak i płatne i to tylko od użytkownika zależy, czy zaufa zamkniętym mechanizmom, czy zdecyduje się na otwarte odpowiedniki. TrueCrypt już od jakiegoś czasu nie jest uznawany za oprogramowanie bezpieczne choć audyt, jaki został przeprowadzony, nie wykazał, jakoby w programie znajdowały się jakieś tylne furtki przygotowane przez agencje rządowe. Kolejny raport pokazuje, że jest on nawet bezpieczniejszy, niż do niedawna sugerowano.

Dziury w programie umożliwiają przejęcie kontroli nad systemem.

Na początku października swoje odkrycia opublikował zespół Google Project Zero zajmujący się poszukiwaniem dziur w oprogramowaniu. Specjaliści wzięli TrueCrypta pod lupę i znaleźli w nim dwie poważne podatności (CVE-2015-7358 i CVE-2015-7359), które umożliwiają przejęcie kontroli nad procesem programu, a następnie uprawnień administracyjnych na atakowanym komputerze. Użytkowników aplikacji mogło to zmartwić, nie jest już ona rozwijana, trudno więc spodziewać się tego, aby ktokolwiek przygotował odpowiednie poprawki łatające te luki. Najistotniejszą kwestią jest jednak bezpieczeństwo zaszyfrowanych TrueCryptem danych, to stoi natomiast na wysokim poziomie.

Dokładnym zbadaniem znalezionych błędów zajęli się niemieccy naukowcy z Fraunhofer Institute for Secure Information Technology. Ich wnioski są jasne: jeżeli chodzi o szyfrowanie danych, program radzi sobie z tym doskonale. W przypadku stanu „spoczynkowego”, czyli woluminów niezamontowanych w systemie nie musimy się martwić o bezpieczeństwo zgromadzonych na nich danych. Oczywiście program nadal posiada błędy umożliwiające przejęcie kontroli nad systemem, ale dopóki ten jest bezpieczny, danym nic nie zagraża. W rezultacie możemy nadal śmiało wykorzystywać woluminy TrueCrypta do np. przenoszenia danych na pamięci flash i dyskach zewnętrznych. Możemy przy jego użyciu zabezpieczać także archiwalne kopie bezpieczeństwa, o ile oczywiście nie będziemy się do nich odwoływać w sytuacjach, gdy komputer będzie narażony na atak szkodliwego oprogramowania.

Pobierz VeraCrypt

Audyt TrueCrypta został zakończony w tym roku i nie wykazał istnienia w programie tylnych furtek przygotowanych przez np. NSA. Aplikacja posiada pewne słabości w np. mechanizmie uzyskiwania liczb losowych, niemniej nie są one zbyt poważne, a na dodatek da się je wykorzystać jedynie w specyficznych warunkach. Obecnie użytkownicy mogą już sięgnąć po następcę aplikacji, jakim jest VeraCrypt – ten program został stworzony na podstawie kodu źródłowego TrueCrypta, ale jest aktywnie rozwijany i łatany. Jego autorzy sukcesywnie usuwają błędy, a także zapewniają kompatybilność z kontenerami utworzonymi w protoplaście. Jeżeli więc chcecie zabezpieczyć jakieś dane, sugerujemy sięgnięcie po właśnie to oprogramowanie.