Codeby web-security - новый курс от Codeby Security School

Представляем вашему вниманию новый курс от команды The Codeby - "Тестирование Веб-Приложений на проникновение с нуля". Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...


Все мы помним эту странную историю с TrueCrypt — программой для шифрования данных. Авторы неожиданно для всех покинули своё детище. При этом на последок выпустили странную ограниченную версию своего программного продукта.

В 2013 году был начат сбор средств для аудита TrueCrypt. Разработчики оставили её как раз между первой и второй фазой аудита. Довольно быстро появились альтернативы в лице VeraCrypt и CipherShed.

До сегодняшнего момента аудит TrueCrypt не был завершён (была завершена только первая фаза). Команда исследований приняла решение продолжить аудит TrueCrypt 7.1a даже не смотря на тот факт, что в настоящее время разработчики покинули проект.

Вчера (2 апреля 2015 года) была завершена вторая фаза анализа TrueCrypt. Исследователи выгрузили конечный отчёт — PDF документ — на официальный сайт, с которого его можно скачать.

Всего было выявлено четыре уязвимости:


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


  • Смешение ключевых файлов не является cryptographically sound (низкий уровень).
  • Неидентифицируемый зашифрованный текст в заголовках тома (неопределённый уровень).
  • CryptAcquireContext может незаметно останавливаться в необычных сценариях (высокий уровень).
  • Реализация AES восприимчива к атаке на синхронизацию кэша (высокий уровень).

В отчёте детально разобрана каждая уязвимость, что должно помочь проектам, которые используют код TrueCrypt, устранить выявленные проблемы в следующих обновлениях.

Осталось ещё заметить, что проводился аудит не всего кода, а только функционала в довольно узкой сфере. Команда сконцентрировалась на важных частях TrueCrypt, в основном это были реализация и использование криптографии.

Следует напомнить, что первый аудит также выявил некие уязвимости. Но практически все они были отметены разработчиками TrueCrypt. Была частично признана только одна из уязвимостей. Нужно понимать, что совсем ничего не предъявить команда аудиторов не могла — были собраны значительные средства на аудит и за них нужно было как-то отчитываться. Я веду к тому, что сейчас, когда авторы TrueCrypt не могут оппонировать, трудно понять, что из вышеназванного является действительной уязвимостью, а что просто высосано из пальца для отчёта. Наверное, нужно опять собирать средства, чтобы провести аудит аудита.


Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices