Офтоп
Виктор Степанов

Разбор полётов: Синдром усталости

Что случилось с программой для шифрования данных TrueCrypt

28 мая создатели программы для шифрования данных TrueCrypt сообщили, что больше не могут гарантировать безопасность при использовании приложения. Всем, кто ранее шифровал с помощью TrueCrypt те или иные файлы, рекомендовали перейти на программу BitLocker, разработкой которой занимается Microsoft.

Уязвимость TrueCrypt объяснили наличием в её коде «неисправленных ошибок», а также прекращением поддержки Microsoft операционной системы Windows XP. Подобные заявления многим пользователям показались по меньшей мере странными. TJournal попытался разобраться, что на самом деле случилось с TrueCrypt и стоит ли паниковать тем, кто используя программу, рассчитывал на полную безопасность своей информации.

Что такое TrueCrypt

TrueCrypt представляет собой бесплатную программу, предназначенную для шифрования жестких дисков, отдельных их разделов, хранящихся на них файлов, а также USB-устройств.

Программа распространяется на основе свободной лицензии и в общей сложности существует уже более десяти лет. В настоящее время существуют версии программы для Windows, Mac OS X и Linux.

Для защиты данных TrueCrypt использует так называемый механизм «шифрования на лету» (on-the-fly encryption, OTFE). Этот механизм позволяет пользоваться зашифрованными файлами, хранящимися на защищенном диске, как обычными документами.

К примеру, чтобы получить доступ к лежащему в зашифрованном разделе фильму, пользователю достаточно один раз ввести установленный для данного раздела пароль (после окончания работы с файлом и закрытия тома пароль придется вводить снова). После этого файл с фильмом можно открыть в плеере точно так же, как и любой другой документ, находящийся в незашифрованном разделе.

Незаметно для пользователя TrueCrypt будет расшифровывать часть видеофайла и загружать её в плеер. Когда расшифрованный фрагмент закончится, плеер загрузит вторую часть видео, и процесс дешифрования и шифрования повторится снова. Точно так же ПО работает и со всеми остальными файлами.

Отличительной особенностью программы является также возможность создавать внутри защищённого раздела еще один — невидимый, скрытый том. Для данного тома устанавливается отдельный пароль.

Предполагается, что в этот раздел пользователь может спрятать действительно важные конфиденциальные файлы и, если его вынуждают раскрыть пароль от зашифрованных данных, выдать лишь ключ, открывающий внешний, видимый том TrueCrypt.

Что случилось с TrueCrypt

Помимо того, что разработчики программы сообщили на сайте (о невозможности дальнейшего обеспечения безопасности TrueCrypt и возможных уязвимостях в её коде), о произошедшем известно немного.

Попытка установить новую версию программы (7.2) приводила к появлению сообщения об ошибке. В выскакивающем окне было прописано всё то же предупреждение о небезопасности использования TrueCrypt.

То, что своё решение прекратить развитие проекта создатели cофта объяснили отказом Microsоft от поддержки Windows XP, многим показалось странным. У пользователей даже возникли сомнения в достоверности информации на странице TrueCrypt и в достоверности самой новой версии.

Тем не менее, текст на сайте сопровождался ключом, который создатели программы раньше использовали для подписи других своих сообщений. Всё говорило о том, что это не шутка и не результат взлома или хакерской атаки.

В остальном, пользователям несколько дней оставалось лишь строить догадки. Основных версий, появившихся за 28 и 29 мая, было несколько. Все их достаточно хорошо удалось обозреть одному из пользователей «Хабрахабра».

Многие предполагали, что сайт TrueCrypt был взломан, и ключи безопасности, использовавшиеся создателями программы, оказались скомпрометированы.

Кто-то видел в происходящем вокруг TrueCrypt руку властей или спецслужб, сделавших разработчикам программы какое-то «предложение» или «надавившим» или пригрозившим кому-то из них. 

Другие увязывали неожиданное сворачивание проекта с куда более банальными причинами, отмечая, что, возможно, причастным к нему энтузиастам просто надоело заниматься программой, не получая никакой финансовой отдачи.

Наконец, сторонники ещё одной версии предполагали, что создатели софта таким образом хотели продемонстрировать своё недовольство успешной краудфандинговой кампанией, проведённой так называемым Open Crypto Audit Project.

В рамках этого проекта несколькими специалистами по кибербезопасности на сайте IndieGoGo и в виде биткоин-пожертвований было собрано более 70 тысяч долларов на проведение независимого аудита кода TrueCrypt.

Первая часть аудита уже успешно завершилась, и по её итогам никаких уязвимостей выявлено не было. В настоящее время готовится вторая часть проверки.

Эта версия основывалась на том, что разработчики TrueCrypt посчитали себя обделёнными, так как их собственные попытки собрать деньги на поддержку TrueCrypt никогда не приводили к таким внушительным суммам. 

Что на самом деле случилось с TrueCrypt

Когда количество конспирологических теорий вокруг TrueCrypt, казалось, достигло своего предела, в социальных сетях появились первые сообщения от самих разработчиков программы, и ситуация постепенно начала проясняться.

В электронной переписке с одним из организаторов Open Crypto Audit Project разработчик TrueCrypt, который сам себя называет Дэвидом, заявил, что команда просто устала.

Мы усердно работали над проектом больше 10 лет. Ничто не может длиться вечно. Никаких контактов с правительством у нас не было. Мы действительно верим, что BitLocker — это оптимальная альтернатива TrueCrypt. А у нас же просто пропал интерес. Дэвид, один из создателей программы TrueCrypt

Как рассказал TJournal специалист в области кибербезопасности и автор блога «Krebs on Security» Брайан Кребс (Brian Krebs), предложенная «Дэвидом» версия похожа на правду.

Пока мы не знаем настоящей причины. Но я бы поставил на то, что всё дело действительно в некой усталости от проекта. Мне кажется, когда программа TrueCrypt появилась на свет, её разработчикам было где-то двадцать с чем-то. Теперь им уже далеко за тридцать и у них просто нет столько свободного времени. Думаю, что самый простой ответ и есть в данном случае единственно верный: разработчики просто решили уйти «на пенсию» и заняться чем-то другим. Брайан Кребс, специалист по кибербезопасности, блогер

Как отдельно подчеркнул Кребс, на самом деле, сворачивание TrueCrypt не было таким внезапным, как может показаться с первого взгляда. 

Разработчики TrueCrypt объясняют решение прекратить поддержку и развитие программы собственной усталостью. Эксперты в области кибербезопасности, блогеры и журналисты считают такую версию правдоподобной. Никаких подтверждений тому, что к закрытию TrueCrypt причастны АНБ или другие спецслужбы, пока нет.

По наблюдениям блогера, в последние несколько лет обновления программы выходили всё реже и общий темп развития проекта заметно снизился.

С Брайаном Кребсом согласна и журналистка американского Forbes Руна Сэндвик (Runa Sandvik), занимающаяся освещением для издания вопросов IT-безопасности, а также входящая в состав наблюдательного совета Open Crypto Audit Project. 

Руна Сэндвик

Как сообщила в письме TJournal Сэндвик, в новой версии TrueCrypt нет никаких признаков того, что она выполнена кем-то, кто хотел скомпрометировать проект. Версия работает абсолютно стабильно и не содержит каких-то вирусов или подозрительных элементов в коде. Последний апдейт позволяет расшифровать и перенести ранее зашифрованные с помощью TrueCrypt файлы на BitLocker, но не создать новые. Кроме этого, из обновления удалены по сути лишь pdf-файлы с пользовательскими инструкциями и нет ссылки, по которой можно было пожертвовать биткоины разработчикам ПО.

Насколько мне известно, версии насчёт взлома сайта программы или недовольства её разработчиков аудитом несостоятельны. Раньше они сами всегда поддерживали идею аудита, который помог бы им сделать софт ещё лучше. Скорее всего, создатели ПО просто осознали, что не хотят заниматься развитием проекта, вот и решили всё бросить и не тратить больше на TrueCrypt времени. Почему они объявили, что программа может быть небезопасной? Не знаю.Руна Сэндвик, журналист Forbes, участник Open Crypto Audit Project и проекта Tor

Что со всем этим делать

В первую очередь, не паниковать и не волноваться, что все зашифрованные ранее при помощи TrueCrypt файлы окажутся под угрозой. Сообщение разработчиков софта относительно возможной уязвимости программы скорее всего означает, что команда всего лишь отказывается от дальнейшего развития проекта, и следить за возникающими проблемами и багами теперь некому.

Как считает коллега Сэндвик по Forbes Джеймс Лин (James Lyne), предлагаемый создателями TrueCrypt в качестве альтернативы BitLocker вовсе не так уж плох, как многие о нём говорят, и вполне подойдёт тем, кто не готов отказаться от шифрования своих личных файлов и документов. Впрочем, есть и множество других вариантов.

Наверное, АНБ здесь всё-таки ни при чём,
Виктор Степанов,
TJournal

#Статья #АНБ #Эдвард_Сноуден #безопасность #шифрование #слежка #безопасность_данных #TrueCrypt #криптография #Брайан_Кребс #Руна_Сэндвик