Re: Truecrypt разломали - Информационная безопасность

Здравствуйте, mike_rs, Вы писали:

_>а в чем проблема форкнуть 7.1а версию даже под той-же самой лицензией, пересобрав бинари и подписав их новыми ключами ?
Ситуация с трукриптом вообще непонятная.
1. Трукрипт известен тем, что новые версии появлялись чрезвычайно редко и без шумихи. Сейчас появляется нечто с большим шумом под неким странным обоснованием несовместимости с Windows новее XP (что ложь, ну почти).
2. Непонятно, есть ли дыра в старых версиях или она внесена в новую или вообще это спланированная атака против трукрипта.
3. Смущает уже даже то, что местный "главный по безопасности" вбросил и ничего взамен не предложил. Очень странный вброс в стиле местной "Политики" и местных админов с модераторами.
4. Если есть дырка в старых версиях трукрипта, то в чем она заключается. А если неизветсно, то какой смысл в форке.

Ну и напоследок интересно, что мыщьх скажет, или он опять грибы жрет и не в курсах с труккриптом.

Здравствуйте, wildwind, Вы писали:

W>Намного дальше, согласен. Но все же не "Truecrypt разломали". Взлом продукта — это нахождение в нем и эксплуатация критической уязвимости, чему пока нет никаких свидетельств.

Это не взлом, это разлом. Когда ты, скажем, стул разламываешь на шесть частей, так что он становится негодным — только выкинуть, так и тут — разломали.

Здравствуйте, <Аноним>, Вы писали:

А>3. Смущает уже даже то, что местный "главный по безопасности" вбросил и ничего взамен не предложил.

Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту.

А>Очень странный вброс в стиле местной "Политики" и местных админов с модераторами.

Я в политике не участвую и даже ее не читаю, уж извини — не понял, о чем ты

... << RSDN@Home 1.2.0 alpha 5 rev. 76>>

Здравствуйте, Nikе, Вы писали:

M>>То есть, это намек на то, что кто-то на стороне дропбокса изменил контейнер?

N>Не исключено.

Странно это. Потому что зачем им палиться с изменениями, если уж нашли способ вскрывать, делали бы это тихо.
Более похоже на какой-нибудь сбой при передаче данных.

Здравствуйте, Michael7, Вы писали:

M>Странно это. Потому что зачем им палиться с изменениями, если уж нашли способ вскрывать, делали бы это тихо.
M>Более похоже на какой-нибудь сбой при передаче данных.

Я не настаиваю, просто отметил такой глюк за несколько дней до этого сообщения. Других глюков с труекриптом не помню уже года два.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту.
А на чем основывается твое такое доверие?
В любом продукте могут быть баги (и с вероятностью близкой к 1 они там есть).
Ну и есть куча еще подобных продуктов, ссылку на Вики я уже приводил.
Ну и нет уверенности, что трукрипт скомпроментирован, а не попытка его скомпроментировать таким образом (стиль изменения их сайта в корне отличается от подачи новостей ими ранее — сейчас там подаче в стиле "ааааа, все пропало и хавайся у бульбу").

Ну и здесь идет обсуждение сейчас https://twitter.com/search?q=truecrypt&src=typd

З.Ы. А Политика притом к стилю изложения первого твоего поста — стили совпадают.

KV>Такие дела

у меня такое очучение, что современные продукты связанные с безопасностью нужно делать от анонимного лица, только через какой-нить tor и размещать непонятно где, чтобы никто никогда не понял кто это делает и как это можно забанить

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Такие дела

Как можно получить последнюю "нормальную" версию?

Здравствуйте, Kernan, Вы писали:

K>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Такие дела

K>Как можно получить последнюю "нормальную" версию?

http://cyberside.planet.ee/truecrypt/ На хабре говорят http://habrahabr.ru/post/224491/ что нормальные там.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Такие дела

Не знаю, есть ли совпадения, но вот что с русскоязычным (украинским) сайтом truecrypt.org.ua еще 12 апреля случилось http://truecrypt.org.ua/news

12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены.
Спасибо всем, кто принимал участие в развитии проекта!

Здравствуйте, __kot2, Вы писали:

KV>>Такие дела

__>у меня такое очучение, что современные продукты связанные с безопасностью нужно делать от анонимного лица, только через какой-нить tor и размещать непонятно где, чтобы никто никогда не понял кто это делает и как это можно забанить

С этим будут бороться, там размещая анонимно триллионы вариантов левого софта. Создание ложных целей дешево.

Здравствуйте, jahr, Вы писали:

J>Спасибо, буду сравнивать.)
Потом отпишись, что нашел

Здравствуйте, FireShock, Вы писали:

FS>Потом отпишись, что нашел

Да я вроде как уже, чуть ниже — ProxyCrypt.) Правда, у меня требования специфические — винда, опен-сорс, хидден-разделы.)

Выглядит, кстати, на первый взгляд неплохо. И, боюсь ошибиться, но, поскольку это прослойка между пользователем и драйвером виртуального диска, — потенциал к кроссплатформенности есть, как мне кажется.

Здравствуйте, Sharowarsheg, Вы писали:

S>Это не взлом, это разлом. Когда ты, скажем, стул разламываешь на шесть частей, так что он становится негодным — только выкинуть, так и тут — разломали.

Предлагаю остановиться на формулировке "взломали разработчиков Truecrypt".

Немного конспирологии. Truecrypt — продукт с большим потенциалом. Он стабильный, заслуживший некоторую репутацию, востребованный на рынке. Причем востребованность в подобных продуктах растет с каждым годом. Но массовый рынок он не завоевал. От массового распространения, в том числе в корп. и гос. секторе, его долгое время удерживало отсутствие нормального аудита и сертификаций. И вот, наконец, собрали деньги, начали аудит, и скоро он уже должен завершиться с вердиктом (предположим) "Все чисто". Дальше начнется массовое распространение TC везде и всюду, и, как следствие, продукт получит дальнейшее развитие (появятся новые фичи, будет улучшен интерфейс, интеграция в ОС и т.д.). Получается, что этот странный ход (как бы он ни был технически осуществлен) направлен против массового применения TC и увеличения его доли на рынке. И тот, кто этот ход провернул, знал предполагаемые результаты аудита. (Если бы результат был "все плохо", никакого дополнительного хода не требовалось бы.)

Если задавать вопрос "кому выгодно", то из этого списка значимых игроков только трое: Microsoft, McAfee и Symantec. Правда их доли именно в этой нише неизвестны. Плюс еще одна контора, трехбуквенная, куда ж без нее. Где-то в слайдах снежного человека проскакивало, что это большое шило в заднице, одно из.

Здравствуйте, wildwind, Вы писали:

W> Получается, что этот странный ход (как бы он ни был технически осуществлен) направлен против массового применения TC и увеличения его доли на рынке. И тот, кто этот ход провернул, знал предполагаемые результаты аудита. (Если бы результат был "все плохо", никакого дополнительного хода не требовалось бы.)

Посмотрим за развитием событий, потому что я так понял, что деньги на вторую фазу аудита имеются и отказываться от него никто не собирается. То есть, скорее всего, будет проведен. Лицензия на TC позволяет его любому распространять. Можно и форкнуть даже, но под другим именем.

Ну значит или в битлокере троян, или в трукрипте.
Отсюда логичный вывод — храните все планы по завоеванию мира ~~втайне от санитаров~~ в трукриптовом контейнере лежащем на битлокеровском диске. И на всякий случай в winrar'овским запароленном архиве с подправленным заголовком, а чтоб никто и не догадался что это winrar — допишите его в хвост к хоумвидео, снятому специально к этому случаю и нигде больше не выложенному. По кр мере если все вышеперечисленные программы окажутся компрометированны, то есть шанс что агент008, добравшись до финального файла — ненадолго отвлечется и вы сможете выпрыгнуть в окно.

Здравствуйте, jahr, Вы писали:

J>Да я вроде как уже, чуть ниже — ProxyCrypt.) Правда, у меня требования специфические — винда, опен-сорс, хидден-разделы.)

Это именно то, что и мне надо. Буду пробовать.

Здравствуйте, wildwind, Вы писали:

W>Если задавать вопрос "кому выгодно", то из этого списка значимых игроков только трое: Microsoft, McAfee и Symantec. Правда их доли именно в этой нише неизвестны. Плюс еще одна контора, трехбуквенная, куда ж без нее.

Спрашивается, и при чём тут NBA?

Здравствуйте, Mr.Delphist, Вы писали:

MD>Спрашивается, и при чём тут NBA?

http://news.softpedia.com/news/TrueCrypt-Not-Dead-Forked-and-Relocated-to-Switzerland-444447.shtml?utm_source=twitterfeed&utm_medium=twitter

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту.
А>А на чем основывается твое такое доверие?

Мне тоже интересно. (Хе, доверие-то не оправдалось.)
А ещё — могут ли аналогичным образом нагнуть разрабов опенсорцного dmcrypt?

	От:	Аноним
	Дата:	29.05.14 12:27
	Оценка:

	От:	Sharowarsheg
	Дата:	29.05.14 12:33
	Оценка:	+1

От:	kochetkov.vladimir	https://kochetkov.github.io
Дата:	29.05.14 12:33
Оценка:	+1

	От:	Michael7
	Дата:	29.05.14 12:48
	Оценка:

	От:	Nikе
	Дата:	29.05.14 12:53
	Оценка:

От:	Kernan	https://rsdn.ru/forum/flame.politics/
Дата:	29.05.14 14:28
Оценка:

	От:	ononim
	Дата:	29.05.14 19:30
	Оценка:	15 (1) +2

От:	dimgel	https://github.com/dimgel
Дата:	31.05.14 16:56
Оценка:

	От:	FireShock
	Дата:	30.05.14 07:51
	Оценка:

	От:	Mr.Delphist
	Дата:	30.05.14 08:40
	Оценка: