TrueCrypt: Webseite spricht von Ende der Entwicklung und warnt vor Einsatz des Tools
von caschy | 69 Kommentare
Interessante Geschichte, die sich gerade bei TrueCrypt abspielt. Die Standard-Webseite Truecrypt.org verweist derzeit auf truecrypt.sourceforge.net. Hier wird vor dem Einsatz des beliebten Verschlüsselungstools gewarnt. So heißt es, dass die Entwicklung von TrueCrypt im Mai 2014, pünktlich zum Support-Ende von Windows XP eingestellt wurde. Die Webseite spricht davon, dass die Nutzung von TrueCrypt unsicher sei und dass man andere Lösungen nutzen soll. Ob Angreifer Zugriff auf die TrueCrypt-Server haben und die Webseite verändert haben, ist bislang nicht bekannt. Momentan solltet ihr besser Abstand von Downloads nehmen, die von dieser Seite kommen. (thx Global Limits!) (Update 29. Mai: ich habe weitere Links und Vermutungen zusammengefasst)
Wird geladen ...
Ein weiterer Hinweis darauf, das was nicht stimmt: Auf Wikipedia wird die aktuelle Version mit 7.2 angegeben mit einer ausstehenden Änderung zurück auf Version 7.1a. Also Finger weg von 7.2 und einfach mal abwarten.
auch interessant: http://web.archive.org/web/http://www.truecrypt.org
Könnte das ein Grund sein: http://www.elcomsoft.com/efdd.html
@Berndd – Die NSA wird doch wohl auch GPG-private-keys gestohlen haben – wenn die schon mal dabei sind lassen die sowas ja auch nicht aus. So blöd sind die ja nun auch nicht. Und wenn man die hat kannste ja so ziemlich alles „valide“ signieren…
Ein bisschen zu unprofessionell sieht mir das schon aus für ne Behörde, die iranische Zentrifugen zerlegte, ohne dass es jemand mitbekommen hat. Nach Stand der Dinge ist es wohl das realistischste, dass ein Entwickler gehackt wurde, der die Signierschlüssel online hatte.
Es gibt viele Theorien zu TrueCrypt und es wurde schon länger von vielen Seiten davon abgeraten es zu benutzen, weil es im Verdacht stand Hintertüren zu haben.
Ob es nun Verschwörungstheorien sind oder da doch was wahres dran ist, muss jeder für sich selbst entscheiden. Jedoch ist TrueCrypt sehr untransparent und hat eine sehr restriktive lizenz, auch wenn es open source ist.
Es soll auch unglaublich schwer sein, true crypt aus den quellcodes heraus zu komplilieren und nur weil etwas Open Source ist, heißt es nicht, dass es sicher ist. Bester Beispiel dürfte doch wohl OpenSSL gewesen sein 😉
Nur nebenbei Info, BitLocker (was bei Win dabei ist) ist definitiv unsicher !
Ich habe mal eben einen Diff über den „mutmaßlichen“ SourceCode von Version 7.2 vs. 7.1a laufen lassen. Folgendes ist dabei herausgekommen:
* Funktionen, um BootEncryption zu starten, enthalten folgende Zeile am Anfang: AbortProcess („INSECURE_APP“);
* Hinweise wurden entfernt (Donate, Keyfiles, etc)
* Release Date wurde von „February 7, 2012“ auf „5/2014“ geändert.
* Funktionen zum Verschlüsseln eines Laufwerks wurden entfernt.
* Offensichtlich wurden allen Funktionen zum Verschlüsseln so modifiziert, dass sie fehlschlagen.
* Das Menü wurde um alle Hilfeeinträge reduziert.
* Das Setup löscht offensichtlich alle URL- und Hilfeeinträge im Menüzweig des TrueCrypt-Ordners.
* Lizenz wurde um den Hinweis bereinigt, dass auf TrueCrypt verwiesen werden muss, wenn die Technik in einem anderen Produkt genutzt werden soll.
* Aus der Readme-Text wurden folgende Punkte entfernt:
III. FreeBSD and OpenSolaris
IV. Third-Party Developers (Contributors)
V. Legal Information
VI. Further Information
Offensichtlich wurden sonst aber keine Funktionalitäten verändert, also Hintertürchen eingebaut, etc. Kann aber auch sein, dass ich die beim Überfliegen nicht gefunden habe, bzw. es sich nicht um den „echten“ Source handelt.
Ich stimme Mithrandir zu. Habe auch kurz den (mutmaßlichen!!!) Code verglichen, Da werden außerdem noch ein paar eigene Registry-Einträge gelöscht. Irgendwas kritisches habe ich spontan auch nicht gesehen. Also erst mal: funktionslos, aber nicht schädlich … wenn der Code zu der exe gehört.
vor 6Std. „TrueCrypt-key.asc“ geändert, 3Std. später 7.2 binaries … Und dann noch der Generabundesanwalt heute … Das kann doch kein Zufall sein!!! … ERR, SourceForge password reset …
Funktionslos? Also die User in vermeintlicher Sicherheit wiegen, aber nicht richtig verschlüsseln? Oder bekommt der User dann eine Fehlermeldung?
@Jo: Nein, offensichtlich bricht der Prozess mit Fehlermeldung einfach ab. Habe mir die Binaries nicht gezogen, weil ich momentan keine VM zur Hand hab… D.h., vielleicht hab ich doch eine…
Eine Fehlermeldung so wie es ausschaut. Und zwar z.B. schon beim Formatieren des Volumes. Die Funktion dafür sieht nämlich jetzt genau so aus:
int TCFormatVolume (volatile FORMAT_VOL_PARAMETERS *volParams)
{
AbortProcess („INSECURE_APP“);
return 0;
}
🙂
AbortProcess (“INSECURE_APP”) ?
Das ist ja krasse Sabotage.
Nachtrag: Gerade mal in die VM geladen. Wenn ich ein neues Volume erstellen möchte, dann kommt eine ellenlange Messagebox, die mir erklärt, dass TC unsicher ist, und wie ich BitLocker stattdessen nutzen kann. Dann passiert nix mehr. Auf dem Hauptfenster von TrueCrypt, direkt neben dem Button „Wipe Cache“, ist ein Link mit dem Text „WARNING: Using TrueCrypt is not secure“. Klickt man darauf, öffnet sich die o.g. Messagebox.
Selbst die Leute, die am Audit von TrueCrypt beteiligt waren, sind anscheinend ziemlich ratlos.
http://www.idigitaltimes.com/articles/23222/20140528/what-happened-truecrypt-encryption-software-development-ends-hacked-defaced.htm
Und auf Twitter brennt gerade der Baum…
Auch sehr interessant:
http://en.wikipedia.org/wiki/Special:Contributions/Truecrypt-end
Quelle: http://www.theregister.co.uk/2014/05/28/truecrypt_hack
Mein Kollege hat ein Diff auf den Code gemacht. Sehr interessant:
http://blog.danielgilbert.de/2014/05/28/truecrypt-seems-hacked-dont-download-version-7-2/
Viele Grüße,
Sven Abels
Ich frage mich, was bezweckt der diejenige mit diesem aufruf zu bitlocker zu wechseln?
Vielleicht steckt ja die NSA dahinter.
Warum packt ihr eigentlich immer wieder die NSA-Keule aus? Ja, kann sein, muss aber nicht. Das kann genauso irgendein hobbyloser Trottel gewesen sein, der mit seiner Freizeit nix anfangen konnte, oder die Leute bei TrueCrypt legen einen ähnlichen Sinneswandel hin wie Innoshock mit ihrem Orbit Downloader damals, der mitmal für DDos-Attacken verwendet wurde. Man weiss es einfach nicht. Und selbst wenn es ein Geheimdienst war, ich wills ja nicht ausschließen, dann muss es nicht die NSA sein, andere Geheimdienste haben auch was aufm Kasten.
Keine Ahnung @Antares vielleicht bin ich auch gerade zu sehr von Watch Dogs gehyped.^^