2 июня 2014

TrueCrypt: необъяснимое исчезновение

Бизнес

Нечто очень странное происходит с популярным бесплатным пакетом для шифрования диска TrueCrypt. История пока в развитии, но все идет к тому, что TrueCrypt вот-вот прекратит существование. Единственное на данный момент объяснение, данное его разработчиками, указывает на то, что использовать TrueCrypt «небезопасно из-за нерешенных проблем с защитой».

640

Что же это за проблемы? А вот этого люди из TrueCrypt не раскрыли до сих пор. Есть некоторые предположения о возможном бэкдоре в коде программного обеспечения, но это всего лишь догадки, в лучшем случае. Ходили также слухи о возможном дефейсе, так как официальный сайт TrueCryptвнезапно стал перенаправлять посетителей на страницу пакета на Sourceforge. Сейчас хотя бы появилась ясность с тем, что это не был дефейс: наряду с редиректом само программное обеспечение тоже изменилось и теперь выдает такое же предупреждение, что и сайт Sourceforge. Пользователям TrueCrypt рекомендуется перейти с TrueCrypt на BitLocker от Microsoft, и разработчики TrueCrypt предлагают пошаговую инструкцию на этот счет.

TrueCrypt является (то есть являлся) кросс-платформенным, бесплатным, с доступными исходниками приложением для шифрования, которое могло создать виртуальный зашифрованный диск внутри файла, зашифровать раздел (под MicrosoftWindows, кроме Windows 8 с GPT) или весь накопитель (с авторизацией перед загрузкой). Пакет использовался в течение почти 10 лет, и все это время его разработчики пребывали в тени, даже их имена оставались в тайне.

Похоже, разработчики TrueCrypt вдруг решили отказаться от пакета без объяснения причин.

TrueCrypt высоко ценили за стабильность, солидный набор функций, поддержку распараллеленного шифрования для многоядерных систем и, в особенности, за функцию «правдоподобного отрицания», что позволяло создавать «скрытый том» внутри другого тома .

Разработчики прежде признавали, что TrueCrypt уязвим для малого числа известных атак, например, он может стать жертвой буткита «Stoned», поэтому следует принимать дополнительные меры безопасности. Но за исключением этого TrueCrypt, в целом, получал самые высокие оценки, если не обращать внимания на туманные формулировки в его лицензии. Лицензия TrueCrypt является уникальной и отличается от широко использующихся лицензий на ПО с открытым исходным кодом и бесплатный софт, так как содержит ограничения, касающиеся распространения и соблюдения авторских прав.

К маю 2014 года TrueCrypt был загружен 28 миллионов раз. А теперь разработчики, по-видимому, резко выключили рубильник и покинули беспокойную сферу криптографии, жизнь в которой сейчас еще больше усложнилась, чем после откровений Э. Сноудена в прошлом году.

На самом деле, именно эти откровения отчасти подстегнули спрос на независимый аудит безопасности, чтобы выяснить степень возможных манипуляций с TrueCrypt. Криптограф и профессор Университета Джона Хопкинса Мэтью Грин, как давний «скептик» в отношении TrueCrypt, запустил двойную краудфандинговую кампанию с целью финансирования подобной проверки. Сообщество продемонстрировало живой интерес к затее: Грину, в конечном итоге, удалось собрать целых $70 000 (гораздо больше планировавшейся суммы), и первый раунд аудита был успешно завершен в начале этого года, не принеся никаких неприятных открытий. Второй этап еще даже не начинался, а теперь он и вовсе представляется маловероятным. А в связи с «туманным» правовым статусом исходного кода TrueCrypt неясно, сможет ли кто-либо продолжить разработку продукта.

Итак, давайте говорить прямо: на данный момент никто, кроме самих разработчиков TrueCrypt, конечно, на самом деле не знает, что происходит. Нет никакой информации о характере проблем с безопасностью и возможных способах их устранения.

Данное программное обеспечение было довольно популярным: 28 миллионов загрузок – уже много само по себе, и даже если только треть скачавших пакет фактически им пользовались, их число уже сопоставимо с населением крупного города. Легкая миграция на BitLockerв реальности доступна только некоторым пользователям, так как BitLocker входит в комплект только топовых версий WindowsVista, 7 и 8.

Все эти люди сейчас задаются вопросом, были ли вообще их данные надежно защищены с того дня, как они начали пользоваться TrueCrypt. Отсутствие объяснений уж точно их не успокоило, если не сказать больше.

Хоть все прекрасно понимают, что лицензионные соглашения никто и никогда не читает, пользователи рассчитывают на то, что вендорам ПО можно доверять вне независимости от того, коммерческий это софт, бесплатный или с открытым исходным кодом. В последнюю очередь люди ждут от разработчика ПО внезапного исчезновения с горизонта практически без предупреждений и объяснений, не говоря уже о том, чтобы ценить такой поступок. Так дела не делаются, особенно в сфере информационной безопасности.