TrueCrypt jest niebezpieczny? Bardzo podejrzana sprawa

Kojarzycie program TrueCrypt? Zapewne niejednemu z Was obiła się ta nazwa o uszy. Jest to aplikacja, która umożliwia tworzenie zaszyfrowanych kontenerów, które w systemach operacyjnych zachowują się jak normalne dyski. W tego typu kontenerach możemy wykonywać wszystkie operacje na plikach, dodatkowo przenoszenie zaszyfrowanego wolumenu pomiędzy komputerami nie stanowi żadnego problemu. Aplikacja TrueCrypt charakteryzowała się bardzo wysokim bezpieczeństwem – z deszyfracją wolumenów mieli problemy nawet sami pracownicy FBI. Dodatkowo oprogramowanie było udostępniane na licencji Open Source, co umożliwiało wyłapanie ewentualnej luki w zabezpieczeniach. Niestety projekt TrueCrypt nagle okazał się niebezpieczny i ta wiadomość spadła na użytkowników jak grom z jasnego nieba. Wchodząc na witrynę TrueCrypt.org zostaniecie przekierowani na stronę znajdującą się w serwisie Source Forge, z której możemy się dowiedzieć, iż nie jest on bezpiecznym oprogramowaniem. 

Pierwsza myśl, jaka przyszła nam do głowy to został wykonany atak na witrynę i zawartość strony została podmieniona przez cyberprzestępców, jednak im dalej w las tym robi się coraz bardziej interesująco.

Zacznijmy od początku.

Aktualnie wiadomo tyle, iż witryna internetowa sugeruje, że korzystanie z oprogramowania TrueCrypt nie jest bezpieczne, dodatkowo został podany szczegółowy opis jak wykonać migrację do innych, zamkniętych rozwiązań wbudowanych w systemy operacyjne – Bit Locker w systemach Windows oraz Disk Utility w systemie Mac OS X. Już na tym etapie jedna rzecz się nie zgadza – twórcy otwartego i bardzo bezpiecznego programu nagle proponują przejść na rozwiązania zamknięte, w których nie mamy bladego pojęcia co znajduje się pod maską? Dla nas jest to co najmniej dziwne. Dodatkowo na stronie został napisany powód przerwania prac nad projektem, a brzmi on... koniec wsparcia dla systemu Windows XP.

Przy okazji została udostępniona nowa wersja TrueCrypt 7.2 po dwóch latach zastoju, jednak w dniu premiery nowej wersji z serwisu SourceForge zostały usunięcie wszystkie poprzednie wersje aplikacji wraz z kodem źródłowym. Dodatkowo na stronie widnieje wielki czerwony napis, iż nowa wersja oznaczona numerem 7.2 nie jest bezpieczna. Niebezpieczna wersja 7.2 i nagłe zniknięcie wszystkich pozostałych wersji? Druga niewiadoma.

Jakiś czas temu w serwisie Kickstarter została zorganizowana zbiórka pieniędzy na wykonanie audytu kodu źródłowego aplikacji TrueCrypt. Zbiórka została zakończona sukcesem, a pierwszy etap audytu kodu nie wykazał żadnych nieprawidłowości – kod jednym słowem był bezpieczny. Jak już wyżej wspominaliśmy, z deszyfracją wolumenów utworzonych przy pomocy narzędzia TrueCrypt mieli problemy nawet sami agencji FBI, co oczywiście nie było im wcale na ręke. Najnowsza wersja względem wersji 7.1a posiada dużą ilość zmian w kodzie, niestety ich dokładna analiza może trochę potrwać. Wszystkich zainteresowanych zapraszamy na tą witrynę .

Co o tym wszystkim myśleć?

Sprawa wydaje się bardzo podejrzana z kilku względów:

• TrueCrypt to oprogramowanie bardzo szanowane przez specjalistów od bezpieczeństwa i bardzo mało prawdopodobne jest to, aby twórcy ot tak porzucili projekt.
• Powód zakończenia wsparcia dla Windows XP jako główna przyczyna porzucenia projektu jest co najmniej nierealna.
• Dlaczego zostały usunięte wszystkie poprzednie wersje aplikacji wraz z ich kodem źródłowym?
• Dlaczego twórcy rozwiązania Open Source zalecają przejście na zamknięte oprogramowanie szyfrujące i podają komunikat, że korzystanie z wersji 7.2 nie jest bezpieczne?

My podejrzewamy, iż agencja NSA maczała w tej sprawie swoje palce. Skąd takie przypuszczenia? TrueCrypt był naprawdę bezpiecznym rozwiązaniem, twórcy mogli się nie zgodzić na dodanie do kodu źródłowego tylnej furtki (jakby się zgodzili, nie zbieraliby pieniędzy na audyt kodu źródłowego), więc agencja NSA postanowiła użyć metod siłowych. Bardzo możliwe, iż twórcy zostali zmuszeniu do „zepsucia” swojej aplikacji, a swoim ostatnim krzykiem rozpaczy postanowili zamieścić ostrzegające informacje na swojej stronie. Inna wersja może mówić o bardzo profesjonalnie wykonanym ataku na repozytorium kodu źródłowego oraz na witrynę WWW, jednak po co w tym przypadku informować wszystkich, iż najnowsza wersja 7.2 nie jest bezpieczna? Sprawa wydaje się bardzo podejrzana i na pewno będziemy ją bacznie obserwować, ponieważ my również chcielibyśmy poznać prawdziwą wersję wydarzeń. Na obecną chwilę nie pobierajcie najnowszej wersji TrueCrypt, gdyż nie wiadomo co w niej może się kryć.

Jeżeli to sprawka NSA, to będziemy mieli bardzo duży problem...

Aktualizacje!

11:19 - Jeżeli ktoś chce pobrać starszą wersje programu TrueCrypt, to z tego repozytorium może to zrobić. Wskazana jest szybkość, gdyż nie wiadomo, czy te pliki również w "cudowny" sposób nie znikną. Ktoś również pokusił się o wyczyszczenie archiwum witryny TrueCrypt w serwisie web.archiwe.org (LINK)

Źródło: TrueCrypt