Incremente sua infra-estrutura
Os pesquisadores de segurança estão levantando fundos para a realização de uma auditoria independente do TrueCrypt, o utilitário de criptografia de disco popular.
TrueCrypt é amplamente utilizado como uma ferramenta para criptografar forte e unidades inteiras descriptografar, partições ou arquivos em um disco virtual. Também pode ocultar volumes de dados e dito ser fácil de usar.
O código-fonte do Windows, Linux e Mac OS X utilitário está disponível ao público para as pessoas para inspecionar e verificar, mas isso não foi suficiente para convencer cada guru de criptografia que é totalmente seguro.
Por um lado, os pesquisadores não foram capazes de provar que o executável do Windows para download, construído pela equipe do TrueCrypt, pode ser construída exclusivamente a partir do código fonte publicado, por razões baseadas em decisões incomuns pelos desenvolvedores - como explicado pelo criptógrafo Matthew Green aqui . (Em suma, o binário do Windows aparece para salvar um bloco de bytes inexplicáveis com os dados criptografados. Alguns temem que esta é a chave para um backdoor, o que permitiria in-the-know para descriptografar os dados sem a senha do usuário.)
Encryption autoridade Bruce Schneier recomendou TrueCrypt como uma ferramenta para manter arquivos confidenciais fora do alcance de arrastão global de dados da NSA, ainda que com ressalvas. Ele chega a dar-lhe um endosso.
"Não, eu não tenho nenhum conhecimento dentro sobre TrueCrypt, e não há muito sobre o que me faz desconfiar", disse Schneier. "Mas, para criptografia de disco do Windows é [TrueCrypt], BitLocker, da Microsoft, ou PGPDisk da Symantec - e eu estou mais preocupado com as grandes corporações norte-americanas sendo pressionados pela NSA que estou prestes TrueCrypt."
Documentação do TrueCrypt deixa claro que ele não pode proteger os dados em um computador infectado por malware ou um keylogger de hardware. Também é bem conhecido em círculos de informática forense que as chaves TrueCrypt pode ser recuperada a partir da memória, mesmo utilizando ferramentas comerciais dos gostos de ElcomSoft, dado o acesso físico a uma máquina powered-up. Os chamados ataques de frio de inicialização permitem que o mesmo truque para ser julgado no recentemente dispositivos desligados.
Ferramentas de criptografia não são uma panacéia. A menos que um usuário segue as melhores práticas e orientações de segurança operacional, em seguida, suas precauções serão arrancados pelos policiais, os agentes federais, órgãos de inteligência ou outros atacantes capazes.
Backdoors ocultos? Quem sabe
Isso sempre vai ser o caso com qualquer ferramenta de segurança ou criptografia, mas a preocupação é que TrueCrypt pode ser perigoso, mesmo quando ele é usado corretamente por causa de uma porta escondida ou similar. Essas preocupações sempre estiveram presentes, mas subiram à tona por causa da controvérsia sobre Bullrun , o esforço da NSA para trabalhar com fornecedores de hardware e tecnologia de software para enfraquecer os sistemas de criptografia e seus componentes subjacentes.
Um novo projeto tem como objetivo o financiamento público-fonte para auditar TrueCrypt e comparar a sua fonte publicada aos binários compilados em circulação. Tal auditoria é muito atrasada, já que os especialistas em segurança que arrancou a unidade de captação de recursos explicar:
Queremos ser capazes de confiar, mas um totalmente auditadas, repositório verificadas de forma independente e de distribuição de software que nos fazer sentir melhor sobre confiar nossa segurança para este software. Estamos comprometendo-se esse dinheiro para patrocinar uma auditoria pública abrangente do TrueCrypt.
O projeto foi criado por Kenn Branco, engenheiro de sistemas que co-fundou BAO Systems, um provedor de serviços de hospedagem para o setor de saúde, e Matthew Green, um criptógrafo e professor pesquisador da Universidade Johns Hopkins. Os objetivos do projeto incluem a realização de uma criptoanálise pública e auditoria do TrueCrypt versão 7.1a, uma das mais recentes versões, bem como resolver os problemas de licenciamento que têm impedido a suíte de ser empacotado com distribuições Linux, incluindo Ubuntu, Debian e Red Hat segurança.
Além disso, os pesquisadores também querem certificar uma construção do software de segurança para usuários de Mac, Windows e Linux. Eles esperam aplicar uma variedade de abordagens e ferramentas para estudar o código, incluindo potencialmente o pagamento de prémios de bugs, bem como pagar por profissionais dedo-procura do código.
Uma avaliação [ PDF ] da negação de volumes escondidos no TrueCrypt por Schneier e outros especialistas, há cinco anos descobriu vazamentos de segurança e outras causas de preocupação. Esses problemas podem muito bem ter sido fixado por agora, mas sem uma auditoria apropriado nós simplesmente não podemos ter certeza.
Revisão de código
Examinando código é um trabalho árduo que só pode ser realizado completamente por profissionais experientes e qualificados, por isso a única maneira de pregar esta auditoria é para garantir que ele está devidamente financiado. Projetos de hobby resultaram em melhorias na criptografia em outras áreas, mas a auditoria TrueCrypt é um compromisso muito mais sério que não pode ser deixado para amadores.
O projeto atraiu 2.922 $ 36 via promessas de FundFill e mais $ 1.640 por Indiegogo na terça-feira à tarde, uma forma justa para a sua meta de US $ 25.000 financiamento dentro de dois meses.
Um post no blog do Green apresenta várias razões pelas quais uma auditoria do TrueCrypt é necessário e, possivelmente, até mesmo em atraso.
"O 'problema' com TrueCrypt é o mesmo problema que temos com qualquer software de segurança popular no pós-Setembro-5 era: nós não sabemos o que mais confiar", escreve ele. "Temos provas concretas de que a NSA é mexer com software de criptografia e hardware, e bom senso nos diz que a NSA provavelmente não está sozinho. TrueCrypt, tão popular e bastante confiável, pois é, faz um alvo fantástico para a subversão."
Verde tem o cuidado de dizer que ele não tem razões específicas para duvidar da força e segurança do TrueCrypt. A auditoria é proposta mais no espírito de "confiança, mas verificar" que uma pesquisa para confirmar a suspeita. Os desenvolvedores do TrueCrypt são anônimos e este é um dos principais motivos que Green et al estão inquietos sobre TrueCrypt, e uma das principais razões, tornou-se alvo de uma unidade de financiamento.
"Nós não temos um limite superior para Fundfill. Estou falando com empresas de auditoria, esta semana," Green disse ao The Register.
Desenvolvedores anônimos do TrueCrypt não pôde ser contatado para contato. Seu site nega qualquer sugestão de que TrueCrypt tem um backdoor oculta. O mesmo comunicado explica que não é possível para TrueCrypt para auxiliar na decodificação de dados nos casos em que os usuários tenham esquecido a sua própria password - o que sugere uma vez que você perdeu a chave, não há nenhuma maneira de recuperar os dados. ®
Nenhum comentário:
Postar um comentário