Czas pożegnać TrueCrypta, program posiada poważne luki bezpieczeństwa
W maju 2014 roku nagle i bez podania konkretnej przyczyny porzucono rozwój aplikacji TrueCrypt służącej do szyfrowania danych. Wzbudziło to wiele kontrowersji, co doprowadziło do audytu bezpieczeństwa. Program wyszedł z niego obronną ręką, ale nie oznacza to, że jest wolny od wad. Specjaliści z Google znaleźli luki, które mogą doprowadzić do poważnego w skutkach ataku.
TrueCrypt był przez kilka lat często wybieranym oprogramowaniem. Oferuje on tworzenie szyfrowanych kontenerów, szyfrowanie całych partycji i dysku systemowego. W przeciwieństwie do np. BitLockera jest otwarty, a na dodatek pozwala na znacznie szerszą konfigurację i stosowanie bardzo zaawansowanych algorytmów. Aplikacja została dokładnie sprawdzona i choć znaleziono w niej kilka słabych punktów, audyt bezpieczeństwa nie wykazał istnienia żadnych tylnych furtek służących np. amerykańskiemu NSA lub innym organizacjom. Nieco inaczej wygląda kwestia podatności na czynniki zewnętrzne, tutaj jest znacznie gorzej.
Teoretycznie nie powinniśmy już korzystać z TrueCrypta, wielu użytkowników wciąż się jednak na to decyduje. James Forshaw należący do grupy Google Project Zero znalazł w nim dwie poważne podatności, jakie zostały oznaczone numerami CVE-2015-7358 i CVE-2015-7359. Pierwsza jest związana z walidacją litery wykorzystywanej do montowania napędów, nie jest ona przeprowadzana poprawnie, co może doprowadzić do przejęcia kontroli nad procesem i zdobycie uprawnień administracyjnych. Druga dotyczy sprawdzania użytkownika i jeżeli zostanie wykorzystana, atakujący może podszyć się pod aktualnie zalogowaną osobę. Luki same w sobie nie zagrażają zaszyfrowanym TrueCryptem danym, mogą jednak doprowadzić do przejęcia kontroli nad systemem, a następnie wycieku danych kluczy szyfrujących i stosowanych haseł.
W tej sytuacji dalsze stosowanie TrueCrypta nie jest dobrym rozwiązaniem. Używane przez niego algorytmy szyfrujące są bezpieczne, ale sam program może stać się wektorem ataku, przez co zupełnie straci swą użyteczność i narazi nas nie tylko na wyciek istotnych danych, ale również utratę kontroli nad komputerem. Użytkownicy zainteresowani odpowiednim zabezpieczeniem danych na systemie Windows powinni skierować swoją uwagę w stronę alternatywnych rozwiązań. W bazie oprogramowania naszego serwisu znajdziecie Gpg4win, a także swoistego spadkobiercę TrueCrypta, jakim jest bardzo podobny, a zarazem udoskonalony VeraCrypt.
Forshaw jak na razie nie opublikował szczegółów związanych z wykrytymi dziurami – czeka na załatanie oprogramowania, które korzysta z tego samego kodu źródłowego i które może być podatne na podobne zagrożenia. Wspomniany już VeraCrypt został w ostatnich dniach zaktualizowany i napastnicy nie mogą już wykorzystać tych dziur.
