How to become an author
Search
Write a publication
Pull to refresh

Comments 32

Форшоу считает, что найденные им уязвимости не являются бэкдорами.


Хорошо, если.

Вместе с Heartbleed это дает пищу для размышлений и на такую тему. Кто вносит изменения в открытые продукты? Все ли они добросовестны?
Total votes 4: ↑2 and ↓20
Ну с Heartbleed никаких секретов нет: вот есть конкретный коммит ( https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=4817504d069b4c5082161b02a22116ad75f822b1 ), который привнёс баг, а у коммита есть автор. Про автора ошибки даже статья на хабре была в связи с Heartbleed.
Total votes 4: ↑4 and ↓0+4
UFO just landed and posted this here
Там ведь дальше дано объяснение:
Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает.
This comment wasn’t rated yet0
Кто-нибудь из присутствующих здесь нашёл уязвимый участок кода?
This comment wasn’t rated yet0
В Veracrypt можно глянуть диффы по патчам, которые их закрывают
Total votes 5: ↑5 and ↓0+5
Если вдруг кому интересно и лень искать:
https://github.com/veracrypt/VeraCrypt/commit/b7f9df6e4f09ba342fdbbadc63af5062cc57eaf2
https://github.com/veracrypt/VeraCrypt/commit/9b24da3398581da1fa66c6b8f682bbcfa7ded4fd
Total votes 12: ↑12 and ↓0+12
Данная уязвимость затрагивает только зашифрованные «на лету» разделы (для этого нужен драйвер) или обычные контейнеры так же? Иными словами: что делать в случае наличия созданных отдельных контейнеров? Мигрировать на Vera и конвертировать их в формат VeraCrypt?
This comment wasn’t rated yet0
получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора

в случае контейнера, если я верно понимаю, он УЖЕ должен быть расшифрован и смонтирован.
мигрировать, а почему нет?
зачем их конвертировать? новые создать и туда перекинуть данные просто.
This comment wasn’t rated yet0
Господа параноики, так чем таки пользоваться нынче? Куда бежать? Я как-то потерялся в обилии форков и других проектов. Хочу кросплатформенно.
Total votes 4: ↑4 and ↓0+4
UFO just landed and posted this here
На андроиде как-то монтировать VeraCrypt контейнеры возможно? Или умеет ли VeraCrypt полноценно работать с TrueCrypt контейнерами?
This comment wasn’t rated yet0
Надо будет перепаковать.
Написано, что делается автоматически, но у меня не сделалось.
Скопировал руками, truecrypt удалил.
This comment wasn’t rated yet0
То есть не умеет.
This comment wasn’t rated yet0
Пользоваться старой проверенной версией TrueCrypt и не поддаваться нагнетаемой панике.

Тогда не придется задумываться о закладках в VeraCrypt, например ;-)
This comment wasn’t rated yet0
Тогда придется задумываться о закладках в старом TrueCrypt и насиловать глаза убогим интерфейсов на высокоплотном экране. Эх, мечты.
Total votes 1: ↑0 and ↓1-1
TrueCrypt прекрасно работает с hi-dpi.
This comment wasn’t rated yet0
В Windows нормально.
Total votes 1: ↑1 and ↓0+1
Я не совсем уловил степень критичности данной уязвимости.
Есть ли смысл волноваться, если я пока нахожусь в статусе неуловимого Джо и в ближайшие несколько лет, ребята из АНБ и ФСБ вряд ли заинтересуются моей конфиденциальной инфой?
Total votes 2: ↑2 and ↓0+2
Как показывает опыт, всякого рода китайы очень активно подобыне уязвимости эксплуатируют для массового сбора информации. И даже чёрт с ними с китайцами, но в последнее время всё больше появляется троянов, которые через уязвимости реализуют поиск конфиденциальной информации (электронные кошельки и т.п.).
This comment wasn’t rated yet0
Я немного туповат, поэтому не понял, в какой момент уязвимость может быть использована. Например, если контейнеры размонтированы (т.е. при повторном монтировании нужно будет ввести пароль), то эта уязвимость актуальна? Или она актуальна только в момент когда контейнеры смонтированы?
This comment wasn’t rated yet0
UFO just landed and posted this here
Я лично использую сабж в офисе для того чтобы любопытные сотрудники когда меня нет не влезли куда не просят — например в почтовый ящик. Думаю большинство использует примерно также. Это к тому что критичное с технической точки зрения проблема не является критичной де факто для большинства случаев. Кто хранит реально важные конфиденциальные данные хранит их там где TrueCrypt уже без надобности.
Total votes 1: ↑1 and ↓0+1
Это где же? В сейфе? На флешке под паркетом?
Total votes 1: ↑0 and ↓1-1
и стоило подымать тему полугодовой давности лишь бы продемонстрировать убогую попытку тролинга и свою некомпетентность.
Какие существуют мероприятия и технические средства хранения и передачи конфиденциальных и секретных данных вам с удовольствием выдаст гугл или википедия.
This comment wasn’t rated yet0
Это был просто юмор, а не троллинг. Мне действительно интересно, где рядовому пользователю можно хранить разнородные данные надежнее чем на шифрованных дисках и контейнерах, не прибегая к физическому отключению от сети?
This comment wasn’t rated yet0
об этом я и написал — для рядового пользователя, который не хранит у себя на диске инфу стоимостью милиарды баксов, вполне достаточно сабжа даже если оный неидеален.
This comment wasn’t rated yet0
«Сомнительно, скорее всего халтура, оставшаяся со времен Windows XP».


Скорее даже с более раннего периоду, судя по фиксу: 

-#define DOS_MOUNT_PREFIX DRIVER_STR("\\DosDevices\\")
+#define DOS_MOUNT_PREFIX DRIVER_STR("\\GLOBAL??\\") // Explicitely use Global MS-DOS device names to avoid security issues

...

+	NTSTATUS ntStatus;

...

-	if (NT_SUCCESS (ZwOpenSymbolicLinkObject (&handle, GENERIC_READ, &objectAttributes)))
+	if (NT_SUCCESS (ntStatus = ZwOpenSymbolicLinkObject (&handle, GENERIC_READ, &objectAttributes)))


Тут привет Win9x во всей красе.
This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr