Nem volt hátsó kapu a népszerű titkosító szoftveren

A népszerű titkosító alkalmazás, a TrueCrypt fejlesztői egyik napról a másikra fejezték be a szoftverük fejlesztését. A legfrissebb biztonsági vizsgálatok szerint alapvetően egy erős szoftvert hagytak az utókorra.
 

2014 májusában nemcsak sok felhasználót, hanem sok biztonsági szakembert is váratlanul ért a hír, miszerint a TrueCrypt fejlesztői befejezték a nagy népszerűségnek örvendő, ingyenesen használható alkalmazásuk fejlesztését. Ezt a döntésüket meglehetősen homályosan, mindössze azzal indokolták, hogy véleményük szerint a Windows XP támogatásának megszűnésével okafogyottá vált a szoftverük, hiszen a korszerűbb operációs rendszerek már támogatják a teljes lemezes titkosítást. Egyúttal közölték, hogy a szoftverükben biztonsági hibák lehetnek, ezért más programokra való áttérést javasoltak. Természetesen számos összeesküvés-elmélet született az eset kapcsán, és felvetődött, hogy esetleg hátsó kapu van a rendszerben, amit a készítők nem mertek felvállalni. Mostanra azonban bebizonyosodott, hogy emiatt nem kellett aggódni, ugyanis ebből a szempontból az alkalmazás biztonságos volt. 


A szoftverauditok eredménye

Már 2013 októberében elkezdődött a TrueCrypt felülvizsgálata az iSEC Partners szakértőinek bevonásával, akik az audit első fázisát vezényelték le. 2014 májusában hozták nyilvánosságra a jelentésüket, amiből kiderült, hogy összesen 11 biztonsági rést tártak fel, azonban ezek egyike sem volt backdoorral vagy egyéb kártékony célú kódokkal összefüggésbe hozható. 

Az audit második fázisába az NCC Group szakemberei kapcsolódtak be, akik a napokban számoltak be a szoftver felülvizsgálatával kapcsolatos észrevételeikről. Az NCC is arra a megállapításra jutott, hogy a TrueCrypt nem tartalmazott hátsó kaput. 

"Az NCC az auditja során nem talált bizonyítékot hátsó kapu jelenlétére, és nem tárt fel olyan jelentős hibát, ami átlagos körülmények között alapvetően veszélyeztetné a szoftver által védett adatokat" - nyilatkozta Matthew Green, az Open Crypto Audit Project titkosítási szakértője. Ugyanakkor hozzátette, hogy az auditorok ráakadtak néhány olyan rendellenességre, amelyek bizonyos körülmények között problémákat idézhetnek elő. 

Az NCC összesen négy sérülékenységre világított rá, amelyek közül kettő kapott magas veszélyességi besorolást. A legtöbb kockázatot hordozó hiba a Windows API kezelésével volt összefüggésbe hozható, és a véletlenszám-generálás hiányosságainak tudható be. (A szoftver a titkosításhoz használt véletlen számokat olyan megjósolhatatlan értékek alapján végzi, mint például a kurzor egérrel történő mozgatása, azonban az egyik Windows Crypto API-t esetenként nem megfelelően inicializálja.) A többi hiba integritásellenőrzéssel, illetve az AES-titkosítás megvalósításával volt kapcsolatos.


Noha a TrueCrypt fejlesztői levették a kezüket a szoftverükről, annak pályafutása korántsem ért véget. Az egyik legtöbbször emlegetett utódja a CipherShed lehet, de sajnos ennek fejlesztése sem halad gyorsan. Az NCC azért adott néhány tanácsot a TrueCrypt leszármazottjait fejlesztő programozók számára. Azt javasolta, hogy egyszerűsítsék az alkalmazáslogikát, valamint erősebb hibakezelési és naplózási eljárásokat építsenek a programjaikba. Emellett rendszeresen auditáltassák a szoftverüket, hogy minél több problémára derülhessen fény, és az átláthatóság megmaradhasson.
 
  1. 3

    A Spring Framework egy közepes veszélyességű hibát tartalmaz.

  2. 4

    A 7-Zip egy súlyos sebezhetőség miatt szorul frissítésre.

  3. 3

    Újabb biztonsági frissítést kapott a Drupal.

  4. 4

    A Google Chrome egy fontos biztonsági hibajavítást kapott.

  5. 3

    Fél tucat biztonsági hiba vált kimutathatóvá a PHP-ben.

  6. 3

    A Nextcloud Desktop esetében két biztonsági rést kell befoltozni.

  7. 3

    Az Apple két sebezhetőséget szüntetett meg egyes operációs rendszereiben.

  8. 4

    A FortiClient kapcsán egy nulladik napi sebezhetőségre derült fény.

  9. 4

    A Palo Alto PAN-OS egy kritikus veszélyességű sebezhetőséget tartalmaz.

  10. 3

    Az Apache Tomecat három sérülékenység miatt kapott frissítést.

Partnerhírek
Új funkciókat kaptak az ESET otthoni védelmi szofverei

​Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.

Hazánkba is megérkezett az ESET Services

​Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.

hirdetés
Közösség