בוקר שחור: TrueCrypt

מי שחובב אבטחת מידע והצפנה בצורה רצינית והתעורר הבוקר פה בישראל והתעדכן בחדשות, סביר להניח שהוא כעת בהלם או עם לסת שמוטה לרצפה.

פרויקט TrueCrypt, הפרויקט שאיפשר למשתמשים להצפין בצורה חזקה מאוד דיסקים ותכנים, הודיע לפתע כי יש בתוך הקוד מספר פריצות אבטחה שלא טופלו. בדרך כלל במקרים כאלו כל פרויקט שלוקח את עצמו ברצינות מפרסם הוראות מה ניתן לעשות בינתיים עד שחורי האבטחה יתוקנו בזמן שאותו ארגון/קבוצה מתקנים את חורי האבטחה.

לצערי זו עוד דוגמא רעה להתנהגות של קבוצות שמפתחות בקוד פתוח ויום אחד מישהו או כל הקבוצה מחליטים לשבור את הכלים ולשים פס גדול על כולם ופשוט לזרוק את הפרויקט לכל הרוחות ולעזאזל המשתמשים. אני תומך גדול בקוד פתוח, אבל לצערי ראיתי כבר מקרים כאלו בעבר. חלק מהחיים, אין מה לעשות (גם בקוד סגור קורים דברים כאלו שחברה נעלמת בלי להשאיר שום פתרון והסברים ללקוחות).

אז מה בעצם קורה פה? התשובה היא שכרגע .. אף אחד לא ממש יודע. הפרויקט TrueCrypt מצטיין גם באנונימיות של המפתחים. לא בטוויטר, לא בפייסבוק או גוגל+ – לא שומעים שום דבר מהקבוצה, מה קרה, איפה החורים ומדוע ההחלטה המפגרת הזו לנטוש פרויקט כה מוצלח ופופולרי.

כשבודקים את המפתחות שנחתמו איתם קבצי ה-Installer ל-Windows לדוגמא, מוצאים כי גירסת ה-EXE האחרונה ששוחררה לפני יומיים בלבד משתמשת באותו מפתח שאיתו נחתמה הגירסה מינואר. בדיקת WHOIS ובדיקת DNS מראה כי אין שינויים שבוצעו לאחרונה כך שעניין ההתפרקות הוא אותנטי. בבלוג Kerb On Security כותב הבלוג שופך אור יותר על העניין כולל ראיון קצרצר עם מי שעדיין בודק את הקוד לאחר שאנשים תרמו כסף לקמפיין לבדיקת הקוד אם הוא לא כולל חורים "תודות" ל-NSA ושאר גורמים שמעוניינים להיכנס לתכנים מוצפנים. אני ממליץ להיכנס ללינק ולקרוא שם, לאלו המתעניינים.

נעבור לתכל'ס: האם לפרק את ההצפנה מהדיסקים שמוצפנים ב-TrueCrypt? אני ממליץ לחשוב בהגיון: עדיין אין הוכחות שיש קוד שתול ומר גרין, הבחור שבודק את הקוד בעצמו טוען זאת (תסתכלו בלינק לעיל). אני בטוח שרבים יחשבו שאולי מישהו מהמפתחים נשבר והחליט להלשין שארגון כמו NSA שכר אותו לשתול הצפנה חלשה כדי שהם יוכלו לפרק את ההצפנה בקלות, אבל אני יכול להעלות תיאוריה אחרת: אולי מישהו מנסה לארגן הפחדה כדי שתעברו מהצפנה כמו של TrueCrypt להצפנה מסחרית של-NSA אולי יש לה מפתחות ופתרונות פירוק הצפנה? גם זה וגם זה – הם רק תאוריות.

לכן, ההמלצות שלי בשלב זה הן:

  1. לא להתקין את הגירסה שיצאה לפני יומיים. לאלו שיודעים לקרוא קוד, אפשר לראות את ה-DIFF כאן – הגירסה ששוחררה לפני יומיים, חלק גדול מהקוד של ההצפנה פשוט נעקר!
  2. לא להסיר את ההצפנות עדיין מהדיסקים. המצב מעורפל וישנם המוני מהנדסים ומפתחים שמשתמשים בהצפנות האלו, כך שאני די בטוח שיהיו קבוצה חדשה שיקחו את הקוד, ישנו את הרשיון ויוציאו גירסה חדשה. אני מהמר שבגוגל המהנדסים שם הבוקר גם כנראה יחליטו להתערב ולסייע היכן שניתן (הרבה מאוד מהנדסים בגוגל משתמשים בהצפנה עם האפליקציה הזו), כנ"ל לגבי פייסבוק ואפל.

אם יהיו עדכונים, אעדכן פוסט זה.