image

TrueCrypt waarschuwt gebruikers dat software onveilig is

donderdag 29 mei 2014, 09:40 door Redactie, 38 reacties
Laatst bijgewerkt: 29-05-2014, 10:40

Op de website van de populaire encryptiesoftware TrueCrypt is een waarschuwing verschenen waarin staat dat de software niet veilig is, omdat het ongepatchte beveiligingslekken bevat. TrueCrypt is een gratis programma voor het versleutelen van complete harde schijven en losse bestanden.

De ondersteuning van TrueCrypt zou in mei van dit jaar zijn gestaakt omdat Microsoft de ondersteuning van XP stopte. Het advies op de website stelt dat TrueCrypt-gebruikers op Windows Vista, Windows 7 en Windows 8 naar andere encryptieoplossingen moeten migreren, zoals BitLocker.

De waarschuwing als een grote verrassing. Onlangs werd er nog een via crowdfunding gefinancierd onderzoek naar TrueCrypt verricht om te kijken of de software geen backdoors bevatte. Hoewel er verschillende beveiligingsproblemen werden vastgesteld troffen de onderzoekers geen backdoors aan.

Opmerkelijk aan de situatie is dat de website TrueCrypt.org naar de SourceForge-pagina van TrueCrypt doorverwijst. SourceForge is een website voor programmeurs en softwareontwikkelaars. Deze pagina biedt een nieuwe versie van TrueCrypt aan, die volgens deze analyse veranderingen bevat waarin wordt gewaarschuwd dat de software onveilig is. Ook laat het programma gebruikers hun data ontsleutelen, maar niet versleutelen. De software is wel met de officiele TrueCrypt-sleutel gesigneerd.

Reactie

De makers van TrueCrypt zelf, waarvan het onbekend is wie het zijn, hebben nog niet gereageerd. Volgens IT-professor Matthew Green, die het crowdfunding-iniatief startte om TrueCrypt te laten onderzoeken, is het onwaarschijnlijk dat aanvallers erin zijn geslaagd om de signeer-sleutel van de TrueCrypt-ontwikkelaars te stelen en de website te hacken. Hij vermoedt dan ook niet dat het om een hoax gaat, maar het valt op dit moment ook niet uit te sluiten.

Ook wordt er met een scenario rekening gehouden waarbij de TrueCrypt-ontwikkelaars op zo'n manier zijn gecompromitteerd dat ze niet in staat zijn om gebruikers te waarschuwen dat het geen officiële waarschuwing betreft. Als de waarschuwing legitiem blijkt te zijn hoopt Green dat anderen het TrueCrypt-project zullen oppakken en een zogeheten 'fork' zullen maken, een afsplitsing van het programma die dezelfde functionaliteit biedt, maar nog wel wordt ondersteund.

Image

Reacties (38)
29-05-2014, 10:05 door Anoniem
Is bovenstaand bericht wel secure?

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff
"Latest working version is 7.1a. Version 7.2 is a hoax"
29-05-2014, 10:14 door AceHighness
typo in artikel
TrrueCrypt.org
29-05-2014, 10:18 door Anoniem
Mogelijk is truecrypt juist te goed en probeert men het nu "af te kraken", zodat mensen overgaan naar product van Microsoft, waar WEL een backdoor in zit...
29-05-2014, 10:43 door Anoniem
Door Anoniem: Is bovenstaand bericht wel secure?

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff
"Latest working version is 7.1a. Version 7.2 is a hoax"
Als je iets quote, quote dan wel de volledige context, dat is wel zo netjes naar de andere lezers.

Assumption #1 The website is presumed hacked, the keys are presumed compromised. Please do not download or run it. And please don't switch to bitlocker.

Assumption #2 Something bad happened to TrueCrypt developers (i.e. take down or death) or to TrueCrypt itself (i.e. found the worst vulnerability ever) which made them do such a thing. So this version is legit

Assumption #2 is more likely true than assumption #1. Sad but true.
29-05-2014, 10:52 door [Account Verwijderd] - Bijgewerkt: 29-05-2014, 13:23
[Verwijderd]
29-05-2014, 11:29 door Anoniem
Ik zou maar even afwachten, ik geloof dit niet zomaar!
29-05-2014, 11:34 door Anoniem
Maar, maar, maar, waar is er dan daadwerkelijk iets te vinden over de gesuggereerde kwetsbaarheden?

Als blijkt dat de NSA / FSB / Guó?nbù / Mossad etc. (volgens mij is er zojuist ergens een rood lampje gaan branden hahahahaha) TrueCrypt kan kraken als ze fysieke toegang en een supercomputer hebben is het helemaal niet insecure, simpelweg omdat dat geen realistische dreiging voor mij is. Als blijkt dat iedere script-kleuter op afstand misbruik kan maken van deze software (wat ik me echt niet kan voorstellen) is de situatie gelijk heel anders.
En waarom heeft Opstelten dan zoveel werk gemaakt van heel het afstaan-van-een-encryptie-sleutel-van-verdachten-gebeuren?


Leuk zo'n advies om over te stappen op iets anders, maar ik wil wel graag zelf even een gefundeerde afweging kunnen maken !!!


Door Peter V.: dus bij deze een oproep: wie wil een fork maken?. Het moet wel OpenSource blijven natuurlijk.
Dat wordt lastig als je niet weet welke code uit welke versies mogelijk gecompromitteerd is natuurlijk. Code schrijven is niet héél moeilijk, andermans code grondig onderzoeken naar mogelijke (wiskundige) kwetsbaarheden des te meer!
29-05-2014, 11:53 door Anoniem
Lijkt echt waar, zie:
* http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
* https://twitter.com/matthew_d_green
29-05-2014, 11:54 door Anoniem
Download mirrors for truecrypt-7.1a.tar.gz (1.86 MB)
http://www.filewatcher.com/m/truecrypt-7.1a.tar.gz.1949303-0.html
29-05-2014, 11:58 door Anoniem
Door Peter V.: Ik vond het een naar bericht om te horen.
Al gebruik ik het zelf niet: dit is behoorlijk schrikken. Eén van de mogelijke verklaringen voor deze bizarre manier van een einde aan TrueCrypt maken is dat de makers in een soortgelijke situatie zijn beland als LavaBit, daar niets over mogen zeggen, en op deze manier duidelijk maken dat er iets goed mis is. Dat is op dit moment niet meer dan speculatie, maar het is een enge gedachte.
Zelf gebruik ik TrueCrypt (op Linux) en "even" overstappen naar een ander product is lastig. Niet elk encryptieprogramma vertrouw ik (wegens NSA-gate), dus bij deze een oproep: wie wil een fork maken?. Het moet wel OpenSource blijven natuurlijk.
Ik vermoed dat TrueCrypt voor genoeg mensen belangrijk is om een fork redelijk waarschijnlijk te maken. Als ik het goed heb begrepen mag die alleen onder de TrueCrypt-licentie verspreid worden, dus de open-source-status zou niet moeten veranderen. Ik heb ook begrepen dat er qua openheid nogal wat op die licentie aan te merken is, en dat TrueCrypt daarom niet in de standaardrepositories van diverse Linux-distributies voorkomt.

Maar er bestaat al een alternatieve implementatie onder een BSD-licentie die op dm-crypt gebaseerd is. Ik heb er geen ervaring mee, maar wellicht is 'tcplay' precies wat je nodig hebt:
Description: Free and simple TrueCrypt Implementation based on dm-crypt
tcplay is a free (BSD-licensed), pretty much fully featured (including multiple keyfiles, cipher cascades, etc)
and stable TrueCrypt implementation.

This implementation supports mapping (opening) both system and normal TrueCrypt volumes, as well as opening
hidden volumes and opening an outer volume while protecting a hidden volume. There is also support to create
volumes, including hidden volumes, etc.

Since tcplay uses dm-crypt it makes full use of any available hardware encryption/decryption support once the
volume has been mapped.
Homepage: https://github.com/bwalex/tc-play
Debian heeft het in de repositories unstable, testing en backports zitten, de laatste maakt het ook in Debian stable beschikbaar.
29-05-2014, 12:04 door Anoniem
Dat ik dit moet lezen op Hemelvaartdag. Gaan we dan toch naar de hel?
29-05-2014, 12:10 door Markcortbass
Ik vindt dit een zeer raar bericht op de TrueCrypt website. En al helemaal dat ze Bitlocker (powered by NSA) aangeven als alternatief.
Wellicht heeft de Amerikaanse overheid ze geforceerd om te stoppen?
29-05-2014, 12:11 door Anoniem
Pfff is het al vrijdag?

Als de makers onbekend zijn en nog geen reactie hebben gegeven wat is de nieuwswaarde dan van dit verhaal?
29-05-2014, 12:15 door Erik van Straten - Bijgewerkt: 29-05-2014, 12:24
Door Redactie, laatst bijgewerkt 29 mei 2014 10:40: Op de website van de populaire encryptiesoftware TrueCrypt is een waarschuwing verschenen waarin staat dat de software niet veilig is, omdat het ongepatchte beveiligingslekken bevat.
1. Als je momenteel http://www.truecrypt.org/ opent vindt een redirect plaats naar een Sourceforge pagina. Te stellen dat http://truecrypt.sourceforge.net/ de website van de populaire encryptiesoftware TrueCrypt is, zou voorbarig kunnen blijken te zijn (maar het zou ook best de "nieuwe site" kunnen zijn). In het verleden had TrueCrypt (bij mijn weten) niets te maken met SourceForge, alle downloads, ook sources, vonden plaats vanaf www.truecrypt.org. Verderop in de tekst meldt de Redactie overigens wel: Opmerkelijk aan de situatie is dat de website TrueCrypt.org naar de SourceForge-pagina van TrueCrypt doorverwijst.

2. Belangrijker, de SourceForge pagina vermeldt niet: waarin staat dat de software niet veilig is, omdat het ongepatchte beveiligingslekken bevat maar Using TrueCrypt is not secure as it may contain unfixed security issues, d.w.z. zou kunnen bevatten, een opmerking die vooral op de toekomst lijkt te slaan. Anderszijds staat onderaan de SourceForge pagina, vreemd genoeg vlak boven de link naar TrueCrypt 7.2: "WARNING: Using TrueCrypt is not secure". Ik zou die 7.2 niet snel downloaden.

Hoewel het om een hoax zou kunnen gaan, ga ik er voorlopig vanuit dat de oorspronkelijke TrueCrypt ontwikkelaar(s) het product niet verder zullen onderhouden (het redirecten naar SourceForge kan suggereren dat de huidige eigenaar van www.truecrypt.org daar niet voor zal willen blijven betalen).

In plaats van "wegens persoonlijke omstandigheden" o.i.d. valt op dat er een merkwaardige reden voor het stoppen met TrueCrypt wordt gegeven: The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Echter, alleen uitgebreide en duurdere soorten van Windows Vista, 7 en 8 ondersteunen Bitlocker (zie http://en.wikipedia.org/wiki/BitLocker). Bovendien bood TrueCrypt portabilteit met andere platformen dan Microsoft.

Een reden om te stoppen zou politieke/juridische druk kunnen zijn, zoals Freeaqingme met een goed argument (Lavabit) suggereert op Tweakers (http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html?showReaction=6972129#r_6972129). Als dat klopt is een conclusie dat de USA erachter zit wellicht wat snel getrokken: overal ter wereld (ook Europa) wordt sterke encryptie gebruikt, en niet alleen door mensen met goede bedoelingen.

Op Tweakers meldt robvanwijk een aanwijzing (zie http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html?showReaction=6972260#r_6972260): "alle executables zijn gecompiled op een machine die op UTC+1 staat ingesteld".

Nb. het IP-adres van www.truecrypt.org is momenteel 72.233.34.82 (Texas), ik heb aanwijzingen dat dit ook zo was op 22 november 2013 en op 24 april 2014 (er lijkt dus geen sprake van een DNS wijziging).

Aanvulling 12:24: de SHA1Sum van "TrueCrypt Setup 7.1a.exe" (door mij gedownload op 2012-07-02 als http://www.truecrypt.org/download/transient/2db7987173/TrueCrypt%20Setup%207.1a.exe - ook die link redirect nu naar de SourceForge pagina) is: 7689d038c76bd1df695d295c026961e50e4a62ea. Zie https://www.virustotal.com/en/file/e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2/analysis/ voor andere hashes en dergelijke. Voor zover mij bekend is dit de laatste volledige versie van TrueCrypt.
29-05-2014, 12:49 door [Account Verwijderd] - Bijgewerkt: 29-05-2014, 13:08
[Verwijderd]
29-05-2014, 13:00 door Anoniem
Door Erik van Straten:

Aanvulling 12:24: de SHA1Sum van "TrueCrypt Setup 7.1a.exe" (door mij gedownload op 2012-07-02 als http://www.truecrypt.org/download/transient/2db7987173/TrueCrypt%20Setup%207.1a.exe - ook die link redirect nu naar de SourceForge pagina) is: 7689d038c76bd1df695d295c026961e50e4a62ea. Zie https://www.virustotal.com/en/file/e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2/analysis/ voor andere hashes en dergelijke. Voor zover mij bekend is dit de laatste volledige versie van TrueCrypt.

Op deze site (http://r000t.com/what-happened-to-truecrypt/) heeft een persoon versie 7.1a geshared en gelukkig komt die sha1-hash overeen met jouw hash hier (sha1sum gebruikt). Blij dat security.nl het meldt, ook al gebruikt ik TrueCrypt niet vaak, voor sommige oude backup bestanden heb ik het wel nodig.
29-05-2014, 13:08 door Anoniem
De voorgestelde migratie naar Bitlocker of MacOS varianten is vrij hilarisch. Het lijkt er op dat iemand e.e.a. iets te dik heeft aangezet. Jammer, te doorzichtig, anders was het een geslaagde poging.
29-05-2014, 15:00 door [Account Verwijderd] - Bijgewerkt: 29-05-2014, 15:18
[Verwijderd]
29-05-2014, 15:06 door Anoniem
Alle installatie bestanden:
http://cyberside.planet.ee/truecrypt/

Overzicht van hashes van de laatste versie (multi platform):
http://truecryptcheck.wordpress.com/
29-05-2014, 16:22 door Anoniem
In Tails wilden ze Truecrypt toch al verwijderen. Er zijn ook al implementaties van Truecrypt met een betere licentie (tc-play).

Zie: https://tails.boum.org/blueprint/replace_truecrypt/
29-05-2014, 17:39 door Anoniem
Door Markcortbass: Ik vindt dit een zeer raar bericht op de TrueCrypt website. En al helemaal dat ze Bitlocker (powered by NSA) aangeven als alternatief.
Wellicht heeft de Amerikaanse overheid ze geforceerd om te stoppen?

Misschien dat ze een "Lavabit" doen. Dat hoor ik op een paar sites. Dat dit hun manier is om te voorkomen dat ze verplicht worden om een backdoor in te bouwen (na de audit). Vandaar waarschijnlijk ook de hint naar Bitlocker: "This is where TrueCrypt was going if we didn't stop it."

Peter
29-05-2014, 19:45 door Erik van Straten
Door Anoniem: Vandaar waarschijnlijk ook de hint naar Bitlocker: "This is where TrueCrypt was going if we didn't stop it."

Peter
Waar heb je die tekst vandaan?
29-05-2014, 21:14 door Wadjinn
https://twitter.com/OpenCryptoAudit
29-05-2014, 22:21 door Anoniem
Ik vind het gebruikte "Engels" erg gebrekkig. Iets zegt me dat de zaak niet klopt en we beter even kunnen afwachten. Het zou me niets verbazen wanneer er Chinezen achter zitten en de zaak gewoon gecompromitteerd is.
29-05-2014, 23:29 door Anoniem
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

not secure as

Not Secure As

-------->NSA<------------
30-05-2014, 00:12 door Anoniem
Er zit ook een verborgen boodschap in deze zin: "Using TrueCrypt is not secure as it may contain unfixed security issues". Neem de eerste letters van woord 4, 5 en 6. "N"ot "S"ecure "A" of te wel NSA
30-05-2014, 01:47 door Anoniem
Door Anoniem: Er zit ook een verborgen boodschap in deze zin: "Using TrueCrypt is not secure as it may contain unfixed security issues". Neem de eerste letters van woord 4, 5 en 6. "N"ot "S"ecure "A" of te wel NSA

direct mijn eerste gedachte
30-05-2014, 05:24 door Anoniem
Aluhoedje op!
30-05-2014, 05:54 door Anoniem
Jammer van TrueCrypt, maar of speculaties nu waar of niet waar zijn, de naam is bevlekt en wat mij betreft gebruik ik het programma niet meer. DS-Crypt is geen alternatief omdat deze nauw verwant is met Truecrypt!
30-05-2014, 07:53 door Dick99999 - Bijgewerkt: 30-05-2014, 07:55
In de Engelse verslaggeving wordt gezegd dat de audit groep contact heeft (vai een tussenpersoon?) met de ontwikkelaar(s?). Ook zou de audit groep deze week een belangrijke mededeling doen: https://www.indiegogo.com/projects/the-truecrypt-audit#activity . Volledig speculatief van mijn kant denk ik dat ze TC op de een of andere manier zouden gaan onderhouden of geld zoeken om dat te doen. Dat vonden de ontwikkelaar(s) niet goed en hebben deze actie ondernomen.

De audit groep gaat ook door met de audit van TC omdat Matthew Green daarvoor nog $30.000 (crowdfunded) beschikbaar heeft. Vandaag komen ze bij een, misschien dat die belangrijke mededeling van de audit groep ook vandaag komt.
30-05-2014, 10:06 door Anoniem - Bijgewerkt: 30-05-2014, 10:08
Door Erik van Straten:

Op Tweakers meldt robvanwijk een aanwijzing (zie http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html?showReaction=6972260#r_6972260): "alle executables zijn gecompiled op een machine die op UTC+1 staat ingesteld".

Is dat zo? De compile timestamp in PE headers wordt als UTC opgeslagen. Tijdzones worden niet opgeslagen.

De vraag is dus waar hij dat uit opmaakt.
30-05-2014, 13:40 door johanw
Door Anoniem: Jammer van TrueCrypt, maar of speculaties nu waar of niet waar zijn, de naam is bevlekt en wat mij betreft gebruik ik het programma niet meer. DS-Crypt is geen alternatief omdat deze nauw verwant is met Truecrypt!
De source audit heeft in 7.1a geen rare dingen gevonden, ik blijf het gewoon gebruiken. Bovendien, alternatieven met dezelfde functionaliteit zijn er niet echt. Die werken of alleen onder windows of ondersteunen alleeen maar full-disk encryptie en geen containers.
30-05-2014, 14:23 door meh
Na alle crazy en paniek in een aantal reacties hierboven is het inderdaad tijd voor wat nuchtere kijk op de zaak, johanw.

Het lijkt er geenszins op dat TrueCrypt-gebruikers gevaar lopen met versie 7.1a. Die fork waar PeterV om roept (waarom maak je er zelf niet 1, Peter) is al gestart op www.truecrypt.tc. Daarnaast is iets forken niet zo eenvoudig, je moet pas met crypto-implementaties beginnen als je er genoeg van af weet.

Ik ben om andere redenen absoluut geen fan van Microsoft. Maar dan nog steeds denk ik dat je BitLocker best kan gebruiken mits je niet expliciet je spul voor geheime diensten c.q. politie aan het encrypten bent. Immers beschermt BitLocker je nog steeds tegen hackers en kwaadwillenden. En dat is in mijn optiek een veel reëelere toepassing.

Er wordt vaak gedaan alsof het enige doel van encryptie is om te vluchten voor de surveillancestaat, maar er zijn natuurlijk veel meer redenen om je data te beschermen. Wanneer je bijvoorbeeld je salarisadministratie op een cloud-service wil kunnen opslaan. Die encrypt je dan. Niet per se omdat de autoriteiten er niet bijmogen. Eerder omdat je andere risico's ermee wilt vermijden. Het gaat die cloud-service bijvoorbeeld niets aan. En mocht die cloud-service gehackt worden, dan hebben hackers er in elk geval geen toegang tot.

Dus dat geroep hierboven gaat mij wat te veel één richting op, een aantal reacties komen nogal stoned over. Misschien moeten een aantal mensen zich eens voornemen om eens wat minder te blowen, of zich in elk geval te realiseren dat jointjes de paranoia stimuleren.
30-05-2014, 16:12 door Anoniem
Door johanw:
Door Anoniem: Jammer van TrueCrypt, maar of speculaties nu waar of niet waar zijn, de naam is bevlekt en wat mij betreft gebruik ik het programma niet meer. DS-Crypt is geen alternatief omdat deze nauw verwant is met Truecrypt!
De source audit heeft in 7.1a geen rare dingen gevonden, ik blijf het gewoon gebruiken. Bovendien, alternatieven met dezelfde functionaliteit zijn er niet echt. Die werken of alleen onder windows of ondersteunen alleeen maar full-disk encryptie en geen containers.
Ik blijf het ook gewoon gebruiken , geloof er maar weinig van , ik wil echte feiten geen onzin!
30-05-2014, 20:13 door Eric-Jan H te D
Door Anoniem: En waarom heeft Opstelten dan zoveel werk gemaakt van heel het afstaan-van-een-encryptie-sleutel-van-verdachten-gebeuren?

Je bent nog niet doorgewinterd genoeg in complotdenken.

Opstelten doet dit om niet te verhullen dat de gebruikelijke crypto-oplossingen al lang door de geheime diensten zijn gekraakt of besmet.
31-05-2014, 07:06 door Eric-Jan H te D
Een mogelijkheid zou ook kunnen zijn dat het een geprogrammeerde dood is.

In het geval iemand iets wezenlijks als TrueCrypt anoniem aan het internet doneert is het bepaald niet onverstandig om je eigen dood op het internet te programmeren voor het geval je fysiek echt iets overkomt. Het doodscript gaat dan af op het moment dat de persoon zich niet binnen een bepaalde tijd heeft gemeld.

Deze mogelijkheid houdt in wezen ook in dat het onmogelijk is om de wereld er naderhand anoniem van te overtuigen dat men er weer is.

TrueCrypt zoals we het tot nu toe kenden is dus definitief dood.
31-05-2014, 09:36 door Anoniem
Door Anoniem: Aluhoedje op!

ID 10 T alarm
31-05-2014, 18:15 door Eric-Jan H te D
Door Anoniem:ID 10 T alarm

Leuk kende ik nog niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.