Загадка TrueCrypt: “увольняется” или его взломали

Один из лучших способов защитить свои данные – это зашифровать их и одним из самых популярных средств для этого является утилита TrueCrypt. Однако с ней происходит что-то странное: на главной странице ее сайта появилось угрожающее предупреждение. А сама веб-страница предназначена лишь для того, чтобы пользователи могли сменить TrueCrypt на что-либо другое. В качестве альтернативы предлагается разработка Microsoft.

Вместо ссылок для загрузки пользователи видят надпись: «Использование TrueCrypt небезопасно, поскольку программа может содержать неисправленные бреши в безопасности. Эта страница существует только для помощи в миграции зашифрованных в TrueCrypt данных». В качестве последнего приводятся инструкции для миграции Bitlocker. Кроме этого на веб-сайте TrueCrypt говорится, что его поддержка закончилась вместе с окончанием жизни Windows XP.

Легкое обновление

Несмотря на окончание разработки этого популярного средства шифрования, его создатели все-же выпустили обновление. При этом в нем содержится такое же уведомление, как и на веб-сайте – говорят эксперты. Кроме того, обновленный TrueCrypt 7.2 стал «легче»: в нем не хватает некоторых функций – отмечает Руна Сендвик, которая проанализировала новейший выпуск программы. Например, пользователи уже не смогут шифровать, осталась лишь дешифровка.

Эксперты также отмечают, что релиз под номером 7,2 меньше по размеру за предыдущий выпуск и подписан тем же криптоключом. Они пока не могут точно сказать, почему так: то ли это какой-то злоумышленник захватил активы TrueCrypt, то ли это такая загадочная стратегия выхода разработчиков TrueCrypt из бизнеса. О последних мало что известно: проект открытый и над ним работают исключительно добровольцы. Они принимали пожертвования, но неизвестно, сколько пользователи платили.

«Худший сценарий этой ситуации – конец TrueCrypt, если разработчики решили выйти из дела таким странным способом, – говорит Сендвик. Она отмечает, что это средство безопасности является достаточно распространенным и емудоверяют. – Я помню, как пользовалась им еще 10 лет назад. Сендвик также вспоминает, как она присутствовала, когда Эдвард Сноуден, известный своими разоблачениями шпионажа госслужб, рассказывал в 2012 году другим, как пользоваться этой программой.

Сама Сендвик является техническим советником проекта по аудиту TrueCrypt Audit Project. Его начали, чтобы проверить, насколько надежной является программа и можно ли ей доверять. Первая часть отчета, которую выпустили в апреле, опубликовала оптимистичные результаты: маленькие недочеты были, но в целом защита была на высоком уровне.

Инструмент из игрушки

«Мы думали, что это игрушка, а со временем оказалось, что люди полагаются на это средство шифрования, говорит профессор компьютерных наук в Университете Джона Хопкинса Мэтью Грин. Он считает, что произошедшее с TrueCrypt поднимает вопросы о зависимости сообщества от проектов, которые создаются на добровольной основе. – Если появление адейта представляет собой какого-либо рода взлом команды разработчиков, тогда они оказались не такими надежными, как все думали». Ведь чтобы получить ключ для подписи релиза необходимо было физически выследить группу и их рабочие машины. А если это создатели программы свернули свой проект, тогда они оказались не такими сплоченными, чем хотелось бы.

Жизненно важные проекты, которыми пользуются миллионы людей часто создаются небольшой группой энтузиастов. Это наглядно показала открытая несколько месяцев назад уязвимость HeartBleed в проекте OpenSSL. Этим инструментарием шифрования по разным оценкам пользуется до 60% веб-сайтов в интернете. Расследование показало, что поддержкой этого одного из важнейших проектов занимается всего десяток человек по всему миру. И курировал их всего один человек от одноименной ассоциации.

По материалам: Washingtom Post