Skrajni čas za slovo od TrueCrypta

Če še vedno uporabljate TrueCrypt, je skrajni čas, da ga zamenjate. V njegovi kodi so odkrili dve resni ranljivosti, ki sicer ne ogrozita samih šifriranih podatkov, omogočata pa vdor v računalnike, ki imajo nameščen TrueCrypt.

TrueCrypt je svojo pot uradno sklenil že lani, ko so razvijalci sporočili, da uporabo zaradi morebitnih ranljivosti odsvetujejo, sami pa ne bodo več delali na projektu. Tako je praktično čez noč umrl eden najbolj popularnih odprtokodnih programov za šifriranje. Dobra plat odprte kode je njena odpornost na tovrstne šoke, če se le najde dovolj motivacije in denarja.

Tako smo bili vseeno priče pregledu kode TrueCrypta, ki je pokazal, da resnih ranljivosti nima in da so podatki, ki so šifrirani na ta način, načeloma varni. Poleg tega smo dobili dva naslednik (fork): VeraCrypt in CiperShed. V novih verzijah Windows je tako ali tako že integrirano orodje za šifriranje, Linux ima LUKS, Maci pa FileVault.

Kaj se je spremenilo, da nenadoma TrueCrypt resno odsvetujemo? Doslej je bil le nevzdrževan, koda pa načeloma dobra. Sedaj pa je James Forshaw iz Google Project Zero odkril, da ima verzija za Windows dve hudi luknji, ki sta posledica nerodne implementacije in okornosti gonilnika za Windows. Ne gre za namerno vgrajena stranska vrata, temveč ranljivosti, ki sta posledici hroščev. Ena omogoča prevzem administratorskih privilegijev na računalniku, ki ima nameščen TrueCrypt, druga pa je nekoliko manj kritična in omogoča prevzem identitete drugega uporabnika.

Luknji so odkrili tudi v forku VeraCrypt, kjer so ju že zakrpali. V TrueCryptu pa bosta ostali do nadaljnjega. Forshaw je sporočil, da bo naslednji teden razkril vse podrobnosti, zato bo tedaj uporaba TrueCrypta postala še bolj tvegana. Čas je za dokončno slovo.