Официальный сайт TrueCrypt скорее всего взломан. Проект TrueCrypt под угрозой.

На официальном сайте популярной системы шифрования TrueCrypt появилось заявление о том, что программа TrueCrypt не безопасна и может содержать опасные уязвимости. Так же сообщается что разработка программы “прекращена” в Мае 2014 года. Сайт полностью видоизменился, а официальный домен TrueCrypt.org редиректит на страницу truecrypt.sourceforge.net где опубликованы призывы скачать версию TrueCrypt 7.2 для миграции на программу BitLocker (не делайте этого) в случае если вы используете Windows.

Исходя из информации порталов Reddit и Hacker News текущие бинарники “фейк” версии TrueCrypt 7.2 собраны с использованием оригинальных ключей разработчиков, на компьютере разработчика, обращают внимание на путь c:\truecrypt-7.2\driver\obj_driver_release\i386\truecrypt.pdb, который был использован и для компциляции версии TrueCrypt 7.1a. Версия TrueCrypt 7.1a и по сей день является рабочей и стабильной.

Конец проекта TrueCrypt?

Выпущен “финальный” (НЕ КАЧАЙТЕ И НЕ УСТАНАВЛИВАЙТЕ) релиз TrueCrypt 7.2, который “рекомендуется” использовать только в качестве промежуточного звена при миграции на другие системы шифрования. Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации и скорее всего является последсвием не просто взлома, а заполучением злоумышлинником в свое пользование компьютеров и ключей разработчиков. Все предыдущие версии удалены, репозиторий так же уничтожен. Повторяюь, не качайте и не устанавливайте Version 7.2 с официального сайта, эта сборка скомпроментированна.

По неподтвержденным данным сборка может содержать не только опасные уязвимости, но и троян. Странным остается тот факт, что версия TrueCrypt 7.2 позволяет расшифровывать контейнеры, но не шифровать. В коде на Гите так же были сделаны странные пуши.

tc_1

Непонятным так же выглядит оформление сайта truecrypt.sourceforge.net на который идет редирект с truecrypt.org, создается впечатление что-то кто-то на скорую руку склепал html-странички, выделив надпись WARNING: Using TrueCrypt is not secure громным красным шрифтов, похоже на дело рук дилетанта в html.

tc_2

Незначительные изменения так-же были внесены в лицензию TrueCrypt, который использует свою собственную версию лицензию TrueCrypt License. Не ясным так же остается, почему на сайте TrueCrypt пользователю предлагается мигрировать на Bitlocker от Windows, пользователи Reddit тут же раскритиковали такой подход, утверждая, что Bitlocker содержит больше бэкдоров, чем любая другая программа, а так же является проприетарным и его исходные тексты не опубликованы.

Что случилось с TrueCrypt

Честно говоря пишу с волнением, я очень люблю эту программу и пользуюсь ей по всюду. Но как сообщают разные источники в Интернете, по всей видимости это не просто “конец” проекта, это “физический” конец разработки, так как сборка 7.2 подписана официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома виртуального и больше походит на взлом физический, т.е. когда к тебе пришли, забрали оборудование и вытащили с тебя пароли и ключи (паяльником?), это подвтерждается заявлением представителей SourceForge, которые указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности.

Некоторые утверждают, что все может быть не так плохо, и это не NSA с паяльником напали на разработчиков, а просто везучий хакер увел ключи.


В Интернете появились странные сайты, как например truecryptcheck.wordpress.com все что содержит это сайт, это хэш-суммы для бинарных сборок TrueCrypt Setup 7.1a всех платформ. Больше ничего. На Reddit развернулась горячая дисскусия на тему того, что могло произойти с сайтом и с разработичками. Масла в огонь подливает тот факт, что разработчики TrueCrypt по сей день остаются анонимными и никто не знает даже их имен.


Совсем недавно проходил аудит кода проекта и его проверка на возможные различия между бинарниками и исходным кодом, аудит ничего не выявил. Пользователи сети так же активно публикуют хэши оригинальной и стабильной бинарной сборки TrueCrypt для всех платформ.

————————————————————

TrueCrypt Setup 7.1a.exe:
sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
md5: 7a23ac83a0856c352025a6f7c9cc1526

————————————————————
TrueCrypt 7.1a Mac OS X.dmg:
sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
md5: 89affdc42966ae5739f673ba5fb4b7c5

————————————————————
truecrypt-7.1a-linux-x86.tar.gz:
sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
md5: 09355fb2e43cf51697a15421816899be

————————————————————
truecrypt-7.1a-linux-x64.tar.gz:
sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
md5: bb355096348383987447151eecd6dc0e

————————————————————

Стоит так же обратить внимание на название сборки. Новая версия называется “TrueCrypt-7.2.exe” тогда как все предыдущие версие всегда имели проблелы в именах и слово Setup “TrueCrypt Setup 7.1a.exe

Вот такое сообщение выводится при попытке установить “фейковую” версию программы:
111

Больше информации можно найти на следующих ресурсах:
Reddit – http://www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/
Hacker News – https://twitter.com/search?q=truecrypt&src=typd
The Register – http://www.theregister.co.uk/2014/05/28/truecrypt_hack/
WebUpd8 Chat – http://www.webupd8.org/2014/05/suspicious-truecrypt-announcement.html
Twitter – Matthew D Green – возглавил независимый аудит кода программы – https://twitter.com/matthew_d_green
What happened to Truecrypt – May 2014 – http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014
SumoTorrent – TrueCrypt Master Archive – http://www.sumotorrent.sx/en/details/13856457/truecrypt-archive-master.html

P.S.: Очень похоже на то, что кому-то TrueCrypt очень сильно мешал, кому-то могуществнному, кому-то кто решил его уничтожить и смог добраться до разработчиков, несмотря на их анонимность. На Reddit придерживаются того же мнения.

P.S_2.: В рекомендациях по миграции на официальном сайте TrueCrypt допущен целый ряд дебильных ошибок, таких как, неверная дата окончания поддержки Windows XP (5/2014 вместо 4/2014), в графе шифрование для Mac предлагают использовать , Bitlocker есть только в версиях Ultimate и Enterprise, это меньше чем 20% пользователей Windows.

tc_3

Перевод.
Пользователь с ником Netcob предпологает следующий сценарий развития событий:

1. Аудит кода и сборок не выявил уязвимостей.

2. NSA надовило на разработчиков и заставило (или сделала само ведомство) внести исменения на офицальном сайте, с указанием того, что программа не безопасна, содержит бэкдоры и уязвимости и ей не стоит пользоваться и вообще пора переходить на православный Bitlocker.

3. Разработчики как могли выполнили полученные инструкции (проще говоря сделали то, к чему их принудили) но сделали это макисмально не правдоподобно и странно, что-бы дань понять конечным пользователям что вся разработка скомпроменированна.

Дополнение 1:
Я добавлю ссылки на два своих бинарника TrueCrypt 7.1a, для платформ Windows & Mac OS. Это официальные бинарники которые я скачивал с еще работющего сайта и использую их по сей день как на работе так и дома.

MD5:
Alans-MacBook-Pro:tc_original alanholt$ md5 TrueCrypt\ Setup\ 7.1a.exe
MD5 (TrueCrypt Setup 7.1a.exe) = 7a23ac83a0856c352025a6f7c9cc1526

Alexs-MacBook-Pro:tc_original alanholt$ md5 TrueCrypt\ 7.1a\ Mac\ OS\ X.dmg
MD5 (TrueCrypt 7.1a Mac OS X.dmg) = 89affdc42966ae5739f673ba5fb4b7c5

Скачать TrueCrypt 7.1a для Windows

SHA1:

Alans-MacBook-Pro:tc_original alanholt$ shasum TrueCrypt\ Setup\ 7.1a.exe
7689d038c76bd1df695d295c026961e50e4a62ea TrueCrypt Setup 7.1a.exe

Alans-MacBook-Pro:tc_original alanholt$ shasum TrueCrypt\ 7.1a\ Mac\ OS\ X.dmg
16e6d7675d63fba9bb75a9983397e3fb610459a1 TrueCrypt 7.1a Mac OS X.dmg

Скачать TrueCrypt 7.1a для Mac OS

К сожалению версии для Linux у меня пока нет. Уже завтра я открою полноценное зеркало проекта, с бинарниками для всех платформ (что найду у себя), а так же исходным кодом.

Сравнить хеши вы можете например с теми, что приведены в статье на Хабре.

Про разработчиков проекта кое-что накапали вот тут – http://news.softodrom.ru/ap/b19702.shtml

Дополнение 2: Разработчики “ответили”

Steven Barnhart (@stevebarnhart) написал письмо на адрес одного из разработчиков TrueCrypt “Давида” и якобы получил ответ.
В оригинале взято из Твиттера:

TrueCrypt Developer “David”: “We were happy with the audit, it didn’t spark anything. We worked hard on this for 10 years, nothing lasts forever.”
Steven Barnhart: (Paraphrasing) Developer “personally” feels that fork is harmful: “The source is still available as a reference though.”
Steven Barnhart: “I asked and it was clear from the reply that “he” believes forking’s harmful because only they are really familiar w/code.”
Steven Barnhart: “Also said no government contact except one time inquiring about a ‘support contract.’ ”
TrueCrypt Developer “David”: Said “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”
Quoting TrueCrypt Developer David: “There is no longer interest.”

Перевод:

Разработчик TrueCrypt “David”: “Мы были рады аудиту кода программы, аудит ничего подрзрительного не выявил”. Мы тяжело работали на этим более чем 10 лет, но ничего не вечно.”
Steven Barnhart: (Перефразирует) “Разработчик персоонально чувствует что программа не надежна. Код по прежнему доступе.”
Steven Barnhart: “Я спросил и был дан четкий ответ, чтог “он” (разработчик) верит что форк проекта плохая идея потому что будет использоваться тот же код.”
Steven Barnhart: “Так же сказал что правительство не выходило на контакт с разработчиками TrueCrypt, кроме одного раз с предложением “помочь”.
Разработчик TrueCrypt “David”: “Сказал что Bitlocker отличная замена TrueCrypt и что Windows был “целью проекта”.
Цитата Разработчика TrueCrypt David: “У нас проcто пропал интерес”…

Я попросил в Твиттере у Steven Barnhart показать скриншот полученного им письма. Пока он не ответил.


Оставайтесь на связи, материал дополняется по мере поступления новостей, хороших и плохих….