Comments 32
Форшоу считает, что найденные им уязвимости не являются бэкдорами.
Хорошо, если.
Вместе с Heartbleed это дает пищу для размышлений и на такую тему. Кто вносит изменения в открытые продукты? Все ли они добросовестны?
0
Ну с Heartbleed никаких секретов нет: вот есть конкретный коммит ( https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=4817504d069b4c5082161b02a22116ad75f822b1 ), который привнёс баг, а у коммита есть автор. Про автора ошибки даже статья на хабре была в связи с Heartbleed.
+4
Кстати, на тему внесения злоумышленниками изменений в открытый продукт TrueCrypt с последующей маскировкой под оригинал уже была статья "ESET: боевой вирус маскируется под программу для шифрования данных"
0
UFO just landed and posted this here
Там ведь дальше дано объяснение:
Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает.
0
Кто-нибудь из присутствующих здесь нашёл уязвимый участок кода?
0
Данная уязвимость затрагивает только зашифрованные «на лету» разделы (для этого нужен драйвер) или обычные контейнеры так же? Иными словами: что делать в случае наличия созданных отдельных контейнеров? Мигрировать на Vera и конвертировать их в формат VeraCrypt?
0
Господа параноики, так чем таки пользоваться нынче? Куда бежать? Я как-то потерялся в обилии форков и других проектов. Хочу кросплатформенно.
+4
UFO just landed and posted this here
они кроме codeplex параллельно ещё и в другие репозитории коммитят:
github.com/veracrypt/VeraCrypt
bitbucket.org/veracrypt/veracrypt
время коммитов во все репозитории примерно одинаковое
github.com/veracrypt/VeraCrypt
bitbucket.org/veracrypt/veracrypt
время коммитов во все репозитории примерно одинаковое
0
На андроиде как-то монтировать VeraCrypt контейнеры возможно? Или умеет ли VeraCrypt полноценно работать с TrueCrypt контейнерами?
0
Пользоваться старой проверенной версией TrueCrypt и не поддаваться нагнетаемой панике.
Тогда не придется задумываться о закладках в VeraCrypt, например ;-)
Тогда не придется задумываться о закладках в VeraCrypt, например ;-)
0
Тогда придется задумываться о закладках в старом TrueCrypt и насиловать глаза убогим интерфейсов на высокоплотном экране. Эх, мечты.
-1
TrueCrypt прекрасно работает с hi-dpi.
0
Не знаю как у вас, но у меня все шрифты — жуткое мыло. www.dropbox.com/s/ur2iqrzfyul7ikp/Screenshot%202015-10-14%2009.41.52.png?dl=0
0
Я не совсем уловил степень критичности данной уязвимости.
Есть ли смысл волноваться, если я пока нахожусь в статусе неуловимого Джо и в ближайшие несколько лет, ребята из АНБ и ФСБ вряд ли заинтересуются моей конфиденциальной инфой?
Есть ли смысл волноваться, если я пока нахожусь в статусе неуловимого Джо и в ближайшие несколько лет, ребята из АНБ и ФСБ вряд ли заинтересуются моей конфиденциальной инфой?
+2
Как показывает опыт, всякого рода китайы очень активно подобыне уязвимости эксплуатируют для массового сбора информации. И даже чёрт с ними с китайцами, но в последнее время всё больше появляется троянов, которые через уязвимости реализуют поиск конфиденциальной информации (электронные кошельки и т.п.).
0
Я немного туповат, поэтому не понял, в какой момент уязвимость может быть использована. Например, если контейнеры размонтированы (т.е. при повторном монтировании нужно будет ввести пароль), то эта уязвимость актуальна? Или она актуальна только в момент когда контейнеры смонтированы?
0
Я лично использую сабж в офисе для того чтобы любопытные сотрудники когда меня нет не влезли куда не просят — например в почтовый ящик. Думаю большинство использует примерно также. Это к тому что критичное с технической точки зрения проблема не является критичной де факто для большинства случаев. Кто хранит реально важные конфиденциальные данные хранит их там где TrueCrypt уже без надобности.
+1
Это где же? В сейфе? На флешке под паркетом?
-1
и стоило подымать тему полугодовой давности лишь бы продемонстрировать убогую попытку тролинга и свою некомпетентность.
Какие существуют мероприятия и технические средства хранения и передачи конфиденциальных и секретных данных вам с удовольствием выдаст гугл или википедия.
Какие существуют мероприятия и технические средства хранения и передачи конфиденциальных и секретных данных вам с удовольствием выдаст гугл или википедия.
0
Это был просто юмор, а не троллинг. Мне действительно интересно, где рядовому пользователю можно хранить разнородные данные надежнее чем на шифрованных дисках и контейнерах, не прибегая к физическому отключению от сети?
0
«Сомнительно, скорее всего халтура, оставшаяся со времен Windows XP».
Скорее даже с более раннего периоду, судя по фиксу:
-#define DOS_MOUNT_PREFIX DRIVER_STR("\\DosDevices\\")
+#define DOS_MOUNT_PREFIX DRIVER_STR("\\GLOBAL??\\") // Explicitely use Global MS-DOS device names to avoid security issues
...
+ NTSTATUS ntStatus;
...
- if (NT_SUCCESS (ZwOpenSymbolicLinkObject (&handle, GENERIC_READ, &objectAttributes)))
+ if (NT_SUCCESS (ntStatus = ZwOpenSymbolicLinkObject (&handle, GENERIC_READ, &objectAttributes)))
Тут привет Win9x во всей красе.
0
Sign up to leave a comment.
В криптософте TrueCrypt обнаружены критические уязвимости