The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Аудит VeraCrypt выявил 8 критических уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от opennews on 17-Окт-16, 21:53 
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал (https://ostif.org/the-veracrypt-audit-results/) результаты аудита безопасности проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит выполнен компанией QuarksLab на средства, пожертвованные проектами  DuckDuckGo и VikingVPN. В результате проверки обнаружено (https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit...) 36 уязвимостей, из которых 8 получили статус критических, 3 отнесены к категории умеренных и 15 отмечены как незначительные.  Большинство проблем затрагивают  UEFI-загрузчик VeraCrypt.


Одновременно сформирован релиз VeraCrypt 1.19 (https://veracrypt.codeplex.com/releases/view/629329), в котором устранено большинство проблемы, выявленных в процессе аудита. Исправления в VeraCrypt 1.19:


-  Полное удаление поддержки шифрования с использованием отечественного алгоритма GOST 28147-89 (https://ru.wikipedia.org/wiki/%D0%93%D0%...), так как применяемая в VeraCrypt реализация алгоритма отмечена как небезопасная. Поддержка расшифровки оставлена, но создать новые разделы с шифрованием  GOST 28147-89  теперь не получится;

-  Удалены XZip и XUnzip, которые заменены на более современную и защищённую библиотеку libzip;
-  Устранена уязвимость, позволяющая определить длину пароля в классическом загрузчике;
-  Устранена уязвимость, связанная с оставлением неочищенным буфера ввода после аутентификации в новом загрузчике;

-  Устранена уязвимость, связанная с отсутствием корректной очистки конфиденциальных данных в новом загрузчике;

-  Устранена уязвимость в новом загрузчике, которая может привести к повреждению содержимого памяти;

-  Устранена серия уязвимостей, связанных с разыменованием нулевого указателя в графической библиотеке, а также проблемами в функциях ConfigRead и EFIGetHandles.


URL: https://ostif.org/the-veracrypt-audit-results/
Новость: https://www.opennet.ru/opennews/art.shtml?num=45333

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –8 +/
Сообщение от Анонимус_б61 on 17-Окт-16, 21:53 
ГОСТ замахались расшифровывать в АНБ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Michael Shigorin email(ok) on 17-Окт-16, 22:04 
Вроде как даже старый: http://0x1.tv/201610018
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +3 +/
Сообщение от Ivan_83 email(ok) on 18-Окт-16, 02:40 
3DES тоже старый и хорошо изученный однако всё это помогло лишь незначительно сократить время брута, а вот развитие выч мощностей убило его.

Думаю что там какие то странные претензии к реализации XTS с блоками по 64 бита.
Раз им так старый гост не понравился могли бы добавить новый, там всё как в AES в плане размеров.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Аноним (??) on 18-Окт-16, 03:55 
> 3DES тоже старый и хорошо изученный однако всё это помогло лишь незначительно
> сократить время брута, а вот развитие выч мощностей убило его.

3des так вроде и не сломал никто при нормальных размерах ключа, но он медленный как черти-что, преимуществ не демонстрирует и к тому же схема с s-box которая уязвима к тайминг атакам, вот на него все и забили - по совокупности параметров он ни о чем.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +3 +/
Сообщение от Аноним (??) on 18-Окт-16, 13:09 
> Думаю что там какие то странные претензии к реализации XTS с блоками

никаких "претензий", просто оно с ними не работает, у нас "блок" равен размеру сектора.

> Раз им так старый гост не понравился могли бы добавить новый, там
> всё как в AES в плане размеров.

добавляй, разрешаю.
"им" не понравилось что имеющаяся реализация дырява, и герой, борющийся с NSA, и не использующий их проклятые вражеские шифры, наоборот, этой NSA в результате подставляется. Они сделали единственное, что можно сделать сразу - заблокировали ее использование, спасли героев.
Страдальцам за эрефию никто не мешает прислать pull request.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

61. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 21-Окт-16, 09:55 
>[оверквотинг удален]
> никаких "претензий", просто оно с ними не работает, у нас "блок" равен
> размеру сектора.
>> Раз им так старый гост не понравился могли бы добавить новый, там
>> всё как в AES в плане размеров.
> добавляй, разрешаю.
> "им" не понравилось что имеющаяся реализация дырява, и герой, борющийся с NSA,
> и не использующий их проклятые вражеские шифры, наоборот, этой NSA в
> результате подставляется. Они сделали единственное, что можно сделать сразу - заблокировали
> ее использование, спасли героев.
> Страдальцам за эрефию никто не мешает прислать pull request.

Про реализацию писал. ГОСТ89 это обычный алгоритм в режиме ECB. Проблема в том что не соответствует XTS.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

60. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Аноним (??) on 21-Окт-16, 09:48 
Я сделал загрузчик UEFI и реализацию ГОСТ89. Самый простой способ соответствовать XTS это шифровать два блока по 64 в режиме CBC, но это приводит к зависимости между частями из 128. при изменении второго блока открытого текста меняется только второй блок шифротекста, а не полностью 128 бит.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –3 +/
Сообщение от Аноним (??) on 18-Окт-16, 03:46 
очередная шигоринская агитка, стандартного шигоринского уровня. криптоанализа независимыми криптографами не будет, бенчмарков в сравнении с другими алгоритмами - тоже, и вообше интересные слайды: пруфцов не покажем, но вы там работайте и реализуйте, ни о чем не беспокойтесь. разрабатывается при участии сообщества, только вам мы его не покажем.

даже до всяких нистов доперло что так дела не делаются, и даже так им хватило всего одного провала с Dual EC DRBG чтобы полностью себя дискредитировать. а алгоритм на который даже криптоанализ ни один серьезный криптограф не делал и дискредитировать не требуется.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Аноним (??) on 18-Окт-16, 09:23 
Криптоанализ 28147 любой желающий может найти самостоятельно с помощью Гугола и аналогов. Все они, так или иначе, сводятся к заключению "если прокрутить не 32 цикла, а только 8, или взять тривиальную S-матрицу, то можно подобрать ключ не за миллиард, а всего за тысячу лет".
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Прост on 18-Окт-16, 08:03 
Миша,когда релиз?Четвёртый год как нет...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

47. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 22:30 
Проблема в длине блока, XTS требует 128 бит. Для того чтоб соответствовать, ГОСТ89 шифровал два блока по 64 бит в режиме CBC. Как результат блоки зависимы и изменение открытого текста второго блока меняет только шифротекст второго блока, а не 128 бит полностью
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +3 +/
Сообщение от XXXasd (ok) on 17-Окт-16, 22:04 
всегда знал что эта школоподелка (в отличии от качественной cryptsetup/luks) -- курам на смех.

достаточно почитать PDF (из новости) про их реализацию GOST 28147-89 и сразу станет ясно насколько там всё дилетантно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +3 +/
Сообщение от arzeth (ok) on 18-Окт-16, 03:05 
> качественной cryptsetup/luks

Удивительно, но ни одного аудита не нашёл: гуглил luks audit, dm-crypt audit, cryptsetup audit; по третьему запросу нашёл, что разработчик 7 месяцев назад написал, что аудит — дорого, поэтому его нет. А первый аудит часто что-нибудь да находит.

И этим пользуются миллионы людей много лет. 7 400 000 000 людей на Земле, и никто задонатил на аудит. Как страшно жить на этих решётах Шрёдингера.

Жалко нельзя сдирать (только кому и как?) каждый год (месяц? день?) по одной копейке с (либо каждый раз различного, либо золотого) миллиарда людей — они бы и не заметили, а мир стал бы лучше.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +7 +/
Сообщение от тоже Аноним (ok) on 17-Окт-16, 22:04 
Хочется отметить два пункта:
1. Дыры найдены именно в доделках поверх TrueCrypt.
2. Никакой насущной необходимости менять TrueCrypt на этот форк за прошедшее с закрытия TC время так и не появилось.
У меня все, пожалуй.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от XXXasd (ok) on 17-Окт-16, 22:07 
> 1. Дыры найдены именно в доделках поверх TrueCrypt.

стоит отметить что VeraCrypt это проект который закрывает ДЫРЫ в TrueCrypt.

например широченная дырень в PBKDF , зная о которой вообще не должно возникать желания использовать эти БлаблаCrypt

--------------------------------------------------

а тот факт что кроме закрытия TrueCrypt-дыр создаются и новые VeraCrypt-дыры -- тыг тут всё понятно: оба проекта школоподелки от игрунов-в-шпиёнов-от-мамы (какое может быть шифрование на венде и OS X ? и зачем кросплатформенность в ИМЕННО-ЭТОМ вопросе [кросплатформеннось в ущерб качеству], если всё-равно -- одно-шифрование-на-один-компьютер?).

программа для шифрования пирацкой копии контр-страйка и скаченного порно :-) , ну лол же!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +2 +/
Сообщение от Аноним (??) on 17-Окт-16, 22:33 
Можешь лучше - напиши. Крипто софта с двойным дном такого уровня больше нету, никто почему-то не взялся.
Хотя ошибки действительно детские. Подумать только -  банально обновить библиотеку в криптософте не додумались. Или специально?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +7 +/
Сообщение от Аноним (??) on 17-Окт-16, 23:14 
> стоит отметить что VeraCrypt это проект который закрывает ДЫРЫ в TrueCrypt.

Если бы вы почитали новость, то обнаружили бы упоминание о том, что большинство дыр найдено в EFI-загрузчике. Который является НОВОЙ фичей, реализованной лишь в этом году в прошлой версии. А если бы вы почитали официальный ченджлог, то даже нашли бы упоминание о дыре, которая досталась в наследство от TrueCrypt.

Но комменты писать интереснее, чем читать первоисточники, я понимаю.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

23. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +2 +/
Сообщение от Анонимко on 18-Окт-16, 08:17 
О, сэнсэй, укажи нам неразумным путь истинный на шифрование праведное, безбагное и достойное всяческого применения!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Владимир Путин on 17-Окт-16, 22:34 
2. Уязвимые алгоритмы шифрования и малое кол-во итераций pbkdf.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Ivan_83 email(ok) on 18-Окт-16, 02:37 
Малое количество итераций критично только для коротких паролей.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 17-Окт-16, 23:06 
Первый пункт не соответствует действительности, поскольку в TrueCrypt не было поддержки отечественных алгоритмов.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Аноним (??) on 17-Окт-16, 23:10 
Второй пункт тоже не соответствует действительности, поскольку TrueCrypt не может шифровать систему, установленную на GPT-разделе.

Продолжайте сидеть на железе 8-летней давности (на более новом уже EFI вместо BIOS, и по умолчанию системный раздел именно GPT), а для MBR надо танцевать с бубном.

У меня всё, пожалуй.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от тоже Аноним (ok) on 17-Окт-16, 23:34 
Вы первый пункт точно правильно прочитали? Разжевываю: имелось в виду, что ошибки не в коде, оставшемся от ТС, а в добавленном VC (в т.ч. тот самый ГОСТовский алгоритм).

Понимаете, какая штука. Я все-таки сужу со своей колокольни, а лично мне не требуется прятать от проверки ворованные винды с ворованными программами. Зачем еще может понадобиться шифровать систему - я не представляю. Линукс-систему шифровать вообще бессмысленно - в самой системе ничего, что стоило бы скрывать, просто нет.

А вот TC-контейнер, в котором хранится то, что мне постоянно нужно, но не должно попасть в чужие руки, я не вижу никакого резона перешифровывать под какие-то форки, добавляющие откровенные уязвимости под разглагольствование об устранении теоретических.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Аноним (??) on 18-Окт-16, 01:03 
Почему в контейнере ТС, а не в /home зашифрованной ОС или томе (контейнере) luks/dm-crypt?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Аноним (??) on 18-Окт-16, 03:18 
Потому что всё это требует пердолинга? Контейнер TC проще закинуть на флешку, в облако и т. п.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от тоже Аноним email(ok) on 18-Окт-16, 08:54 
Во-вторых, да.
Во-первых, мне совершенно нечего скрывать в /home рабочего компьютера - от кого бы то ни было.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от iPony on 18-Окт-16, 07:30 
> Понимаете, какая штука. Я все-таки сужу со своей колокольни, а лично мне не требуется прятать от проверки ворованные винды с ворованными программами. Зачем еще может понадобиться шифровать систему - я не представляю. Линукс-систему шифровать вообще бессмысленно - в самой системе ничего, что стоило бы скрывать, просто нет.

Ну вообще есть много мест, где можно найти много чего интересного. Например, своп/файл-подкачки.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от тоже Аноним email(ok) on 18-Окт-16, 08:55 
Если он, например, есть ;)
Ну, и поиски интересного могут, внезапно, оказаться потенциально дороже стоимости найденного. Если разбирать реальные случаи, а не теоретически возможные ситуации.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

51. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –2 +/
Сообщение от iPony on 19-Окт-16, 07:01 
Внезапно... При криминалистической экспертизе анализ свопа/файла подкачки - это стандартная и не сложная процедура.
И внезапно, зловредное ПО пишут не пони на радуге. А в Этой Стране уже и за это ответственность ввели. Раньше было только за распространение.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

53. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от тоже Аноним (ok) on 19-Окт-16, 08:05 
К счастью, у меня нет ни свопа, ни желания нарушать законы.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

20. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Меломан1 on 18-Окт-16, 07:47 
Вы не с колокольни рассуждаете, а из кроличьей норы. Т.к. не знаете, что криптоконтейнеры TC (в том числе VC) обнаруживаются и вскрываются, а в вашем хомяке содержится достаточно много интересного и для спецслужб и для посторонних людей в чьи руки попал ваш диск.
Так что продолжайте лелеять в себе надежду, что вас не схватят за задницу, т.е. ваш контейнер никто не найдет и не вскроет.
Зайчик вы наш...ути-пути.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +2 +/
Сообщение от тоже Аноним email(ok) on 18-Окт-16, 09:00 
Напомню, моя кроличья нора существует в реальности.
А ваш странный мир, где спецслужбы и мафия хором, забыв о простом и надежном методе ТРКА, постоянно взламывают криптоконтейнеры и наверняка прослушивают мою клавиатуру - существует только в вашем же воображении.
Особенно учитывая, что, увы, именно для вышеупомянутых страшных людей нет вот совершенно ничего интересного ни в моем "хомяке", ни в моем криптоконтейнере.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от Андрей (??) on 18-Окт-16, 09:42 
> Особенно учитывая, что, увы, именно для вышеупомянутых страшных людей нет вот совершенно ничего интересного

Про запас. То, что кажется неинтересным и мелочью сейчас, потом часто оказывается стоящей зацепкой.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 13:22 
> Вы первый пункт точно правильно прочитали? Разжевываю: имелось в виду, что ошибки
> не в коде, оставшемся от ТС, а в добавленном VC (в

а на деле - в том числе и в оставшемся от. Но вы ж не учили английский в достаточной степени.

> Понимаете, какая штука. Я все-таки сужу со своей колокольни, а лично мне

школьной, ага.

> не требуется прятать от проверки ворованные винды с ворованными программами. Зачем
> еще может понадобиться шифровать систему - я не представляю.

это недостатки вашего образования, и только. Читайте книжки, расширяйте свои представления, что мешает?

> Линукс-систему шифровать
> вообще бессмысленно - в самой системе ничего, что стоило бы скрывать,

действительно. Ни паролей (в том числе и cleartext для всяких chap auth) у школьника там нет, ни вероятность что в оставленном без присмотра линуксе ему просто подменят или добавят что-нибудь, что автоматически отправит его пароли куда-то еще, ему не грозит, соседний школьник не додумается, а додумается так кроме порнухи все равно ничего нет в том бережно хранимом "контейнере".

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

43. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от тоже Аноним email(ok) on 18-Окт-16, 15:24 
Знали бы вы, юноша, сколько вы о себе рассказываете своими предположениями - вряд ли были бы столь красноречивы :)

По той части, которая по делу. У меня, конечно, хранятся пароли в домашней папке. Но они делятся на те, которые не страшно упустить, и те, которые зашифрованы мастер-паролем браузера. Третья категория - ключи и пароли от редко используемых моих, а также от чужих аккаунтов - лежат в том самом криптоконтейнере, в частности. Зачем они мне в /home?

Ну, и на случай, если вы следующим номером собираетесь предположить, что мне лень набрать пароль, скажем, при подключении удаленных серверов и они у меня где-то в системе хранятся - вынужден вас расстроить...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

54. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от . on 19-Окт-16, 11:35 
> зашифрованы мастер-паролем браузера

ну то есть - либо подсовываем слегка модифицированный браузер, либо слегка некошерный экстеншн - и у нас не только все пароли, но и "мастер пароль" впридачу.
Не, незачем шифровать диски, я согласен - а то как я иначе буду эти пароли получать, я ж не фсбшник и не палач какой, да и палево этот ваш ректальный криптоанализ.

> Ну, и на случай, если вы следующим номером собираетесь предположить, что мне лень набрать
> пароль, скажем, при подключении удаленных серверов и они у меня где-то в системе хранятся

а, ну да, ну да, у школьника же феноменальная память (и "серверов" целый один, полагаю)

А вот кредитная карточка у него уже наверняка есть.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от тоже Аноним email(ok) on 19-Окт-16, 12:26 
> подсовываем слегка модифицированный браузер,

Господи! Зачем такие сложности? У меня в кабинете стеклянная дверь на балкон - достаточно просто раздобыть бинокль... Но учтите, что я в нее иногда выглядываю - маскировку не забудьте.

> А вот кредитная карточка у него уже наверняка есть.

Нет и не будет. Я и с дебетовками-то сразу пишу заявление об отключении овердрафта, если он там предполагается.
А платить в интернетах предпочитаю с виртуальной Визы Яндекс.Денег - с нее больше, чем я закинул, списать будет трудненько, хоть все пароли своруй.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

57. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от ну раздобыл ичо on 19-Окт-16, 17:26 
> Господи! Зачем такие сложности?

что сложного в задачке подсунуть троянца в незащищенную физически систему? Что сложного в найти в гугле готовые дамперы паролей уже в виде экстеншнов и слегка перелицевать чтоб не на экран их показывали (ну или прямо в код браузера воткнуть, тоже не бином ньютона, любой школьник справится)?

затем, что от твоего "мастер пароля" может и будет какая-то польза (хотя бы в плане оценки какие именно пароли ты используешь и сокращения области подбора), а от моего - ровно никакой, он выбран с пониманием, что неизбежно попадает в тысячи камер наблюдения, какой в задницу бинокль. Подсмотреть-то его можно, но все равно придется потом "на минуточку" конфисковать сам компьютер или диск, чтобы разжиться паролями от чего-то более интересного - они на экране не показываются и даже не всегда сторонний наблюдатель узнает, что там был "пароль".

А вот от "конфискованного", но залоченного или выключенного полностью зашифрованного диска - пользы ровно никакой, этот пароль просто некуда пока вводить. Пароль отпирающий это самое шифрование - разумеется, где попало не вводим, да и незачем это часто делать (полезно, разумеется, сочетать пин и биометрию или token, но это, увы, не к веракрипту, это к леново)

> Нет и не будет. Я и с дебетовками-то сразу пишу заявление об отключении овердрафта, если
> он там предполагается.

школьник, одно слово... и чего я на тебя время трачу.

Хочу разочаровать - разьве что unembossed cirrus застрахован от несанкционированного овердрафта, да кто ж его тебе нынче выдаст. А ты себе геройски отключаешь только и исключительно - санкционированный, то есть возможность хотя бы не сразу влететь на дикие штрафные проценты, если где-то что-то пошло не так. Назло маме уши отморожу.


Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –2 +/
Сообщение от тоже Аноним (ok) on 19-Окт-16, 18:16 
> что сложного в задачке подсунуть троянца в незащищенную физически систему?
> любой школьник справится)?

В данном конкретном случае главная сложность - в отсутствии такого школьника, которому впилось устраивать атаку на мою физически незащищенную систему.
Вы вот уже передумали тратить на меня время, так что причин для паранойи не вижу.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от ну раздобыл ичо on 19-Окт-16, 18:44 
> В данном конкретном случае главная сложность - в отсутствии такого школьника, которому

ну то есть тебе вообще никакая криптография "ненужно", об этом, собственно, и речь.
"мастер-пароль" наше всьо, как и "феноменальная память".

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

42. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 15:17 
А я не пользуюсь контейнерами. Но ведь не пишу, что "контейнеры не нужны".
Зато в рабочей ОС у меня есть кое-что. Из самого безобидного - исходники и наработки по реверсингу проприетарного софта. Не говоря уж об аккаунтах и логах, поскольку я всё это ещё и выкладываю в публичный доступ, а кое-что даже и продаю.

И мне не очень хочется потом иметь в качестве улик на себя весь этот материал.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

44. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от тоже Аноним email(ok) on 18-Окт-16, 15:30 
Не очень понятно, что вам мешает держать "весь этот материал" в контейнере.
Мне еще не встречалась IDE, которая была бы против того, что исходники лежат по указанному мной пути. Ну, и место для компилируемых файлов тоже обычно можно указать, если это С/С++. Так что снаружи - никаких следов...
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

68. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Anonplus on 27-Окт-16, 16:44 
> Не очень понятно, что вам мешает держать "весь этот материал" в контейнере.
> Мне еще не встречалась IDE, которая была бы против того, что исходники
> лежат по указанному мной пути. Ну, и место для компилируемых файлов
> тоже обычно можно указать, если это С/С++. Так что снаружи -
> никаких следов...

Windows оставляет в реестре массу следов о запускавшемся софте. Профиль браузера я перенесу, а вот кэш DNS и прочие следы - есть шанс что-то упустить. Проще всё зашифровать.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

69. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Led (ok) on 27-Окт-16, 20:49 
> Windows оставляет в реестре массу следов о запускавшемся софте. Профиль браузера я
> перенесу, а вот кэш DNS и прочие следы - есть шанс
> что-то упустить. Проще всё зашифровать.

Вендузятник должен страдать.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

55. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 19-Окт-16, 11:40 
> И мне не очень хочется потом иметь в качестве улик на себя
> весь этот материал.

imho, это как раз случай, когда криптоконтейнер лучше тотального шифрования - его могут просто не найти, или хотя бы найти не все, а вот пароль - попросят ввести, и хрен ведь откажешь хорошим людям (учитывая некоторую специфичность содержимого - аргументы тоже будут, хм, специфические).


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

67. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Anonplus on 27-Окт-16, 16:43 
Вы правы, поэтому в планах обеспечить такой сценарий, при котором я не буду знать пароль. Загрузка по ключевому файлу, файл, скажем, на SD-карточке - если её вовремя уничтожить, то расшифровать будет невозможно уже никому.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

21. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от бедный буратино (ok) on 18-Окт-16, 07:49 
все недостатки исправит NadezhdaCrypt. надеюсь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Анонимус_б6_выпуск_3 on 18-Окт-16, 08:58 
что это?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +4 +/
Сообщение от iCat (ok) on 18-Окт-16, 09:57 
Это предшественник LoveCrypt
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Анонимко on 18-Окт-16, 10:27 
И универсальную обертку подо все это дело - SexCrypt.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Аноним (??) on 18-Окт-16, 10:03 
Это то, от чего форкнется LubovCrypt
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 10:08 
> все недостатки исправит NadezhdaCrypt. надеюсь.

Все уже исправили в FsbCrypt

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

52. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 19-Окт-16, 07:10 
Ну а за NadezhdaCrypt - придёт и LubovCrypt
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +1 +/
Сообщение от АнОн on 18-Окт-16, 10:14 
Хорошо, что уязвимости нашли и исправили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Анонимс on 18-Окт-16, 22:48 
надеюсь не все, а то было бы печально; и что они всё патчат да патчат..
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 10:43 
А это по их мнению не уязвимость https://veracrypt.codeplex.com/workitem/186 ? Любой пользователь системы просто залогинившись имеет rw-доступ к контейнеру...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –4 +/
Сообщение от . on 18-Окт-16, 14:45 
> А это по их мнению не уязвимость

это, очевидно, не уязвимость, а особенность работы. По их мнению - имеющая отношение к безопасности, поэтому под нее открыт тикет, как-нибудь когда-нибудь что-нибудь подумать.

> https://veracrypt.codeplex.com/workitem/186 ? Любой пользователь
> системы просто залогинившись имеет rw-доступ к контейнеру...

какой ужас!

Если ты раскладываешь папочку с бумажными документами "ОВ" на лавочке в метро - вероятно да, "любой пользователь" (заодно с камерами пристального наблюдения и много чем еще) может, внезапно, сделаться за твой счет носителем гостайны.

Ну так не работай с такими документами на "terminal server" и вообще там где ходят посторонние граждане (они еще просто тебе в экран смотреть могут). Или хотя бы салфеточкой их прикрывай (там и написано, как, правда, посокрушавшись, что для среднего  юзера это слишком сложная задача)
Я бы на компьютере где может быть какой-то еще пользователь кроме меня, не тратил время ни на какие криптоконтейнеры, штатного шифрования операционной системы вполне достаточно для того, с чем на такой системе вообще можно работать.

P.S. странно что оно открыто как windows-специфичное - очевидно что у других все почти так же (ну, кроме отсутствия "оптимизации" directory traversal, которое и в винде отключается - зато наличия бесконтрольного доступа рута при любой разумной настройке)


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

62. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 21-Окт-16, 13:07 
> По их мнению

Этот тикет создал я, а они даже не удосужились ответить.

> на "terminal server"

На любой системе windows, TS лишь ярко выраженный случай.

> Если ты раскладываешь папочку с бумажными документами "ОВ" на лавочке в метро - вероятно да, "любой пользователь" (заодно с камерами пристального наблюдения и много чем еще) может, внезапно, сделаться за твой счет носителем гостайны.
>Ну так не работай с такими документами на "terminal server" и вообще там где ходят посторонние граждане (они еще просто тебе в экран смотреть могут). Или хотя бы салфеточкой их прикрывай (там и написано, как, правда, посокрушавшись, что для среднего  юзера это слишком сложная задача)
>Я бы на компьютере где может быть какой-то еще пользователь кроме меня, не тратил время ни на какие криптоконтейнеры, штатного шифрования операционной системы вполне достаточно для того, с чем на такой системе вообще можно работать.

Если ты пользователь компьютера в огранизации без единоличных админских прав, ты не защитишь информацию от админов. А вот от других пользователей защитить можно и нужно. Об этом тикет и есть - на windows при создании контейнера по честному нужно писать - "Вы можете безопасно создать контейнер, но не можете его безопасно использовать, другие пользователи будут иметь доступ к примонтированному контейнеру".

> P.S. странно что оно открыто как windows-специфичное - очевидно что у других все почти так же (ну, кроме отсутствия "оптимизации" directory traversal, которое и в винде отключается - зато наличия бесконтрольного доступа рута при любой разумной настройке)

Не соглашусь, поиметь данные пользователя будучи рутом и поиметь данные пользователя
будучи другим пользователем - это координально разные вещи. В linux TC контейнеры монтируются с правами 0700, что и является камнем преткновения в тикете.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

63. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от . on 21-Окт-16, 14:21 
> Этот тикет создал я, а они даже не удосужились ответить.

ну, отсутствие ответа "closed,wontwix" уже хорошо.

> На любой системе windows, TS лишь ярко выраженный случай.

на любойсистемеwindows нет шаредюзеров, это надо специально стараться.

> Если ты пользователь компьютера в огранизации без единоличных админских прав, ты не
> защитишь информацию от админов. А вот от других пользователей защитить можно

а от других - пусть админы защищают, ага. Им за это зарплату платят.
А уж они как-нибудь сообразят заставить тебя поменять права на корень шифродиска, если оно им надо, или сами поменять, если это их диск.

А если оно им не надо - см выше, не надо в таком месте работать с особо секретными вещами, это проходной двор. У меня вон какой-то троянец имени отдела безопасности непойми что в системе делает - и хорошо, если они хотя бы управлять им еще не разучились.

> создании контейнера по честному нужно писать - "Вы можете безопасно создать
> контейнер, но не можете его безопасно использовать, другие пользователи будут иметь
> доступ к примонтированному контейнеру".

честно говоря, я бы не стал заморачиваться никакими контейнерами ни на какой системе, где в принципе ходит кто-то кроме меня. Если он уже проломил защиту системы - просто сольешь ему еще и свой пароль от "контейнера".
А если еще нет и не собирается, "просто на всякий случай" есть более простые решения. В той же винде - одной галочкой. И админозащищенно (ну, как - влезть может, но не может беспалевно, твой пароль придется либо спереть, либо сбросить)

> Не соглашусь, поиметь данные пользователя будучи рутом и поиметь данные пользователя
> будучи другим пользователем - это координально разные вещи. В linux TC контейнеры

для пользователя - никакой разницы в итоге.
Одна ложная надежда на безопасность. Причем в винде лечится одной галочкой, а в линуксе в общем и целом - никак (MAC/selinux возвести так чтоб ничего не сломалось - это уж точно не для среднего юзверя)

> монтируются с правами 0700, что и является камнем преткновения в тикете.

гугли что такое traversal bypass в винде - поймешь, почему там недостаточно этой защиты.
Да, можно выключить, было, по крайней мере, но что при этом сломаешь - не угадать.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

64. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 22-Окт-16, 14:45 
Честно говоря, не понимаю зачем все эти разглогольствования. Есть факт - использование контейнера с настройками по умолчанию в windows в общем случае ПОНИЖАЕТ защищенность информации (без контейнера есть FS ACL, с контейнером нет). Об этом тикет. Тикету год, ответа нет - разработчки молчат. А аудиторы заморачиваются с аудитом кода вместо того, чтобы для начала обратить внимание разработчиков на очевидный существенный недостаток в дизайне работы приложения. Кто будет заморачиватся со взломом шифра ГОСТ, если можно и так получить все данные при разлоченном контейнере. Сделайте вменяемые настройки по умолчанию, а уже потом ищите целочисленные переполнения и т.п.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

36. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +4 +/
Сообщение от Я в теме on 18-Окт-16, 10:48 
Есть GnuPG! Остальное от нечистого!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от . on 18-Окт-16, 14:47 
> Есть GnuPG! Остальное от нечистого!

есть только pgp версии 1-mit, остальное - подстава АНБ и ведет к проклятию души!


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

45. "Аудит VeraCrypt выявил 8 критических уязвимостей"  –1 +/
Сообщение от Аноним (??) on 18-Окт-16, 17:03 
В курсе что такое pgp и gpg?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

70. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Samor on 28-Окт-16, 04:50 
А вы в курсе?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

37. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 11:33 
Ничего существенного там не было найдено. Отказ от ГОСТ89 - это больше вопрос веры т.к. реальной атаки не было.

Дыры в загрузчике, в ветке, которая не используются при простом вводе пароля. (есть проблема только при смене пароля, он в стеке остается)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "не великая беда"  –1 +/
Сообщение от Аноним (??) on 24-Окт-16, 11:17 
тк во первых gost89 - deprecated и в VeraCrypt - кузнечика с стрибогом запиливают на его замену. а во вторых - магму планируют вернуть, когда/если исправят(через рели-два, быть может?).
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

46. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 18-Окт-16, 20:14 
Про терморектальный криптоанализ в комментариях уже было?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +2 +/
Сообщение от Led (ok) on 18-Окт-16, 23:59 
> Про терморектальный криптоанализ в комментариях уже было?

Нет, ты первый пострадавший.

Рассказывай, как оно? правда ли что маководы лучше переносят его?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Вареник on 19-Окт-16, 00:30 
>> В результате проверки обнаружено 36 уязвимостей, специфичных для VeraCrypt

- Чего-то подобного стоило ожидать. Закрыли пару дыр, открыли десятки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Alex (??) on 24-Окт-16, 18:54 
Я так понимаю, из выявленных уязвимостей не было таких, которые находились бы в реализации создания и монтирования обычных зашифрованных контейнеров?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним email(??) on 30-Дек-16, 09:08 
Парни кто шарит скиньте на почту подробную инструкцию по установке верактипт с двойным дном + советы как лучше юзаь если не сложно artberry@tuta.io за ранее благодарен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Michael Shigorin email(ok) on 30-Дек-16, 11:43 
> Парни кто шарит

Зачем?  Разбирайтесь сами, иначе оно Вам незачем (и нет, это не издёвка).

А то бывают ещё парни с обострённым чувством юмора, которые троллят таких вот наивных юношей, засылая похожие на правду инструкции с эквивалентом патча Бармина, к примеру...

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

73. "Аудит VeraCrypt выявил 8 критических уязвимостей"  +/
Сообщение от Аноним (??) on 02-Июн-17, 10:30 
Ребята! Шифрование ОООООчень ВАЖНО!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру