История TrueCrypt. Недоказуемость криптоконтейнеров.
משתמשי Windows המסתמכים על TrueCrypt כדי להצפין את הכוננים הקשיחים שלהם יש בעיה אבטחה חמורה: חוקר גילה שני פגמים קריטית בתוכנית.
ייתכן ש- TrueCrypt ננטשה על ידי מפתחי המקורי שלה, אבל זה נשאר אחד האפשרויות הצפנה מעטים עבור Windows. זה גורם לחוקרים להתעניין במציאת חורים בתכנית ובספין-אוף שלה.
ג'יימס פורשאו, חבר בצוות הפרוייקט Zero של Google, אשר מוצא באופן קבוע פגיעויות בתוכנות בשימוש נרחב, גילה לאחרונה שתי פגיעויות במנהל ההתקן ש- TrueCrypt מתקינה מערכות Windows.
[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]הפגמים, אשר ככל הנראה החמיצו בביקורת עצמאית קודמת של קוד המקור TrueCrypt, עלולים לאפשר לתוקפים לקבל הרשאות גבוהות במערכת אם יש להם גישה לחשבון משתמש מוגבל.
המחברים המקוריים של TrueCrypt, שנשארו אנונימיים, סגרו את הפרויקט בחודש מאי 2014 בהתרעה כי "הוא עשוי להכיל בעיות אבטחה לא מסודרות" ויעץ למשתמשים לעבור ל- BitLocker, תכונת הצפנת הדיסק המלאה של Microsoft הזמינה בגירסאות מסוימות של Windows.
קריאה נוספת: כל כך הרבה זמן, TrueCrypt: 5 כלי הצפנה חלופיים שיכולים לנעול את הנתונים שלך
A t באותו זמן מאמץ במימון קהל כבר היה בעיצומו לבצע ביקורת אבטחה מקצועית של קוד המקור של TrueCrypt ומימושים קריפטוגרפיה שלה. השלב הראשון, אשר ניתח את הנהג TrueCrypt וחלקים קריטיים אחרים של הקוד, כבר הושלם כאשר TrueCrypt הופסק. רואי החשבון לא מצאו שום בעיות חמורות או ראיות של תוכניות אחוריות מכוונות בתוכנית.
אי אפשר לדעת אם הפגמים החדשים שנתגלו על ידי פורשו הוכנסו במתכוון או לא, אבל הם מראים שלמרות ביקורת קוד מקצועית, באגים רציניים יכולים עדיין לא התגלה.
השלב הראשון של פרויקט הביקורת TrueCrypt, שבוצע על ידי מהנדסי אבטחה של iSEC פרטנרס, חברה בת של חברת אבטחת המידע NCC Group, כיסה את קוד הנהג, אך "מנהלי ההתקן של Windows הם חיות מורכבות" וקל להחמיץ העלאת רמת החסרונות של הפורטל, טוען פורשאו בטוויטר.
חוקר גוגל לא גילה עדיין פרטים על שני החרקים, ואמר כי בדרך כלל הוא ממתין שבעה ימים לאחר שפורסם תיקון כדי לפתוח את דיווחי הבאג שלו.
מפתח דיגיטלי
מכיוון ש- TrueCrypt אינו מתוחזק באופן פעיל יותר, הבאגים לא ייקבעו ישירות בקוד התוכנית. עם זאת, הם תוקנו ב VeraCrypt, תוכנית קוד פתוח המבוססת על קוד TrueCrypt שמטרתו להמשיך ולשפר את הפרויקט המקורי.
VeraCrypt 1.15 שפורסם ביום שבת, מכיל תיקונים עבור שתי הפגיעויות, מזוהה CVE- 2015-7358 ו- CVE-2015-7359, כמו גם באגים אחרים. היזם של התוכנית רק סימנה את הפגם CVE-2015-7358 כקריטי, ואמר כי ניתן לנצל אותו על ידי ניצול לרעה של אותיות כונן.
יש עדיין משתמשים רבים של TrueCrypt או VeraCrypt, כי זה אחד האפשרויות החופשיות המעטות יש להם להצפין את כל הדיסקים הקשיחים שלהם, כולל מחיצה של מערכת Windows. BitLocker של מיקרוסופט אינו זמין במהדורות הבית של Windows, אשר מותקנות מראש במחשבים ניידים רבים, ורוב התוכניות האחרות אשר יכולות להצפין את מחיצת המערכת מחייבות רישיון בתשלום.
משתמשים שעדיין משתמשים ב- TrueCrypt צריכים לעבור ל- VeraCrypt בהקדם האפשרי ככל האפשר. בנוסף טלאים עבור שני פגמים אלה, התוכנית יש גם שיפורים אבטחה אחרים על קודמו
נמצא חדש פגם TrueCrypt מאפשר פשרה מערכת מלאה
ג 'יימס פורשו, חבר צוות של פרויקט Zero של Google, גילה לאחרונה שתי פגיעות חמורות של הנהג תוכנית הצפנת הדיסק המלאה של TrueCrypt מותקנת במערכות Windows.
עם משטח 3 הקרובה, מיקרוסופט היא לסיים ניסויים ולהחזיר חומרה ועקביות מערכת ההפעלה על פני שורה של טבליות, בתקווה כי צרכנים ועסקים ימצאו הרבה כדי לאהוב. שונה באופן קיצוני מקודמתה, Surface 2, אשר היה מעבד ARM ואת Windows ספציפי Tablet OS OS. מערכת ה- Surface 3 כוללת מערכת הפעלה Windows 8.1 מלאה ומעבד Intel x86, שהוא השילוב הזמין ברוב המחשבים הניידים והיברידיות של מחשב נייד היום.
The Surface 3, בעל מסך בגודל 10.8 אינץ ', הוא דק יותר וקל יותר גרסה של Surface Pro 3 ויכולה להציע חיי סוללה ארוכים יותר, אמר בריאן אסקרידג ', מנהל בכיר למוצרי' פני שטח 'של Microsoft.
