Читать «Цифровой журнал «Компьютерра» № 221» онлайн - страница 18
Коллектив авторов
Об этих особенностях TrueCrypt «Компьютерра» уже писала ранее. Дополнительные вопросы вызывает странная лицензия программы, которая во многом похожа на GPL, но не является полностью свободной. Это препятствует включению TrueCrypt в дистрибутивы Linux и повышает общую настороженность.
Открытый код — необходимое, но недостаточное условие обеспечения безопасности. Недавно обнаруженная уязвимость Heartbleed лишний раз подтверждает это.
Сама TrueCrypt тоже успела подмочить репутацию: в версии 5.1 была обнаружена некорректная работа с драйвером диска, которая приводила к записи данных в открытом виде при использовании режима hibernate.
Седьмую версию TrueCrypt проверяла команда разработчиков защищённой модификации ОС Ubuntu, но это была преимущественно теоретическая работа с оценкой программы в специфической среде.
С тех пор программа сильно изменилась, а её полноценного анализа так никто и не провёл. Поэтому программист Кеннет Уайт (Kenneth White) и криптограф профессор Мэттью Грин (Matthew Green) выступили с общественной инициативой первого полномасштабного аудита TrueCrypt.
В середине октября они начали сбор средств на двух краудфандинговых платформах — IndieGoGo и FundFill. Конечная цель была указана как получение $25 тыс. на привлечение специалистов по аудиту. Среди них должны были быть юристы, программисты и независимые криптографы (очень желательно — за пределами США). Планировалось изучить правовой статус лицензии, проанализировать исходный код программы и убедиться в отсутствии уязвимостей.
Инициатива True Crypt Audit получила широкий резонанс и привлекла гораздо больше пожертвований, чем рассчитывали её организаторы. Всего они собрали около $63 тыс. и 33,71 биткойна (что на момент публикации статьи составляло более $14 тыс.). Итого на аудит поступило втрое больше изначально требуемой суммы.
С тех про прошло полгода, за которые авторы не слишком баловали новостями о ходе работ даже своих инвесторов. Обновления о статусе аудита выходили крайне редко и обычно служили простым уведомлением: мы живы и тратим ваши деньги вместе с нанятыми специалистами.
Серьёзный сдвиг с мёртвой точки произошёл только в минувший понедельник. На сайте проекта появился отчёт компании iSEC, подписанный двумя экспертами в области безопасности (ещё четверо указаны как рецензенты).
К настоящему времени в последней версии (7.1a) удалось обнаружить одиннадцать уязвимостей, четыре из которых признаны угрозами среднего уровня.
Среди них слабый алгоритм деривации ключа-заголовка, возможность выгрузки конфиденциальной информации из стека ядра, различные проблемы в декомпрессоре загрузчика и использование драйвером ядра Windows ненадёжной функции memset для очистки области памяти, содержащей конфиденциальные данные.
