Delší dobu jsem nic nepsal a vzhledem ke stávajícímu „projektovému plánu“ se k tomu asi ani v dohledné době nedostanu

Tím, co mě donutilo zase něco napsat je čerstvá zpráva, že „Bezpečnostní audit TrueCryptu neprokázal zadní vrátka v programu. Druhá fáze analýzy byla dokončena 13. března a zveřejněna až teď. Byli objeveny čtyři problémy, z toho dvě označené jako závažné. Žádná z nich však nenaznačuje, že by program za určitých okolností umožňoval přístup k datům. Pro spoustu lidí určitě dobrá zpráva.“ (root.cz, v originále např. tady).

Nevím, jestli si to pamatujete, ale přibližně před rokem byl kolem TrueCryptu velký humbuk – všude se tenkrát psalo, že byl tento nástroj prolomen, že jej nemá nikdo používat apod…. Je fakt, že už tenkrát jsem byl k těmhle závěrům dost skeptický a také jsem o tom tenkrát dost psal…

Zdá se ovšem, že padouchům se cílenou štvavou kampaní sice nepodařilo TrueCrypt zabít, ale přidusili ho dost. V mezičase se na jeho základě rozvíjí např. produkt VeraCrypt, který má hodně aktivní vývojáře a posunuje se mílovými kroky kupředu. Doporučuji…

Nejčtenější příspěvky

Kdo si chce připomenout první dva díly příběhu TrueCrypt, tak ten první je tady a druhý tady.

Dnes už je jasné, že:

1. Původní vývojáři TrueCryptu to „zabalili“ a předělali původní stránky TrueCryptu na tento nedůvěryhodný „bastl“. Navíc vytvořili velmi podivuhodnou verzi 7.2, která umí pouze dešifrovat a navíc neustále otravuje hláškami o nebezpečnosti TrueCryptu a doporučuje BitLocker, o kterém se ví, že není bezpečný. Důvodem tohoto chování byl pravděpodobně nějaký nátlak na vytvoření „zadních vrátek“ v tomto systému – a nebo cokoli jiného.
2. Pokud si ovšem kdokoli myslel, že tímhle TrueCrypt skončí, tak to podcenil možnosti open-source softwaru. Dva dny po „pokusu o zabití“ TrueCryptu se zformovala nová komunita vývojářů a s využitím původního zdrojového kódu reinkarnovala TrueCrypt na webu www.truecrypt.ch (žargonem open-source vytvořili „new fork“). Na tomhle webu jsou tedy k dispozici všechny aktuální informace i platné verze … a jede se dál.
3. Audit bezpečnosti, celkem šťavnatě spodporovaný sponzory, kteří TrueCrypt využívají a mají zájem na jeho další existenci, jede dál a doposud nenašel v TrueCryptu žádnou díru.

… a na závěr ty slíbené odkazy

Reinkarnovaný TrueCrypt žije na www.truecrypt.ch

Shrnutí podrobností a další archiv poslední korektní verze TrueCryptu

Report z první a již ukončené fáze auditu TrueCryptu

Průběžné info o stavu auditu TrueCryptu

Další články na téma bezpečnost

Nejčtenější příspěvky

Na základě toho chce Google zvýšit podíl šifrovaných e-mailů, a proto se rozhodl vytvořit rozšíření pro prohlížeč Chrome.

Rozšíření End-to-End je založeno na šifrovacím algoritmu Pretty Good Privacy (PGP) a používá nově vyvinutou šifrovací knihovnu na bázi JavaScriptu. End-to-End umožňuje kromě šifrování zpráv pochopitelně i jejich dešifrování a podporuje také digitální podpisy.

Google sice zveřejnil zdrojový kód rozšíření, ale zároveň upozornil, že se zatím jedná o testovací alfa verzi a nenajdete ji tedy v Chrome Web Store. To dá rozum, že před ostrým nasazením se musí ještě vychytat případné nedostatky či chyby. Googlu tak pomůže internetová komunita. Hlavním cílem rozšíření je dosáhnout takové úrovně, aby bylo možné šifrovat e-maily v prohlížeči bez ohledu na poskytovatele e-mailové schránky.

Další články na téma Google

Nejčtenější příspěvky

POZOR! Korektní verze TrueCryptu jsou ode dneška na www.truecrypt.ch !

Včera jsem informoval o panice, která vypukla kolem oblíbeného a odborníky oceňovaného programu TrueCrypt. V příspěvku jsem vyslovil také odvážnou teorii o tom, co se opravdu stalo. V průběhu dne se ukázalo, že v odborných kruzích nejsem zdaleka jediný, kdo nevěří tomu, že by byla v TrueCryptu objevena nějaká zranitelnost.

Jak tedy vypadá situace dnes ráno?

•  Je jisté, že se žádná zranitelnost nenašla!
• Jako nejpravděpodobnější scénář se jeví, že někdo z týmu vývojářů TrueCryptu byl donucen změnit stránky a vypublikovat velmi podezřelou verzi 7.2. Amatérský a podivný způsob, jakým to provedl, má být vodítkem, že něco není v pořádku. Ve zmínění Windows XP a BitLockeru je možná i nějaký skrytý význam …  ale to už je jen neprofesionální konspirace
• Komunita profesionálů, kteří jsou si jistí tím, že TrueCrypt je bezpečný šifrovací nástroj, vytvořila nové www stránky na švýcarské doméně. Na těchto stránkách jsou dostupné jak aktuální „informace z dění“, tak především správné verze všech instalačních souborů.

Vývoj situace hodně drsným způsobem ukazuje, jakou cenu dnes mají informace a kam až může zajít snaha o zlikvidování nástroje pro jejich bezpečné uchovávání. Vím, vypadá to jako scéna z „béčkového“ filmu … ale je to skutečnost

Další články na téma bezpečnost

Nejčtenější příspěvky

BACHA! Do doby , než se vše níže uvedené potvrdí nebo vyvrátí, nepoužívejte TrueCrypt ve verzi 7.2.. Zdá se totiž, že jde o podvrh, a že poslední „opravdová“ verze je 7.1a 

Dnes jsou všechna česká i zahraniční média (a také Twitter) plná zpráv o náhlém a nečekaném ukončení vývoje šifrovacího programu TrueCrypt. Pro spoustu IT profesionálů i běžných uživatelů to je obrovský šok. A dá se říct, že téměř nic nenasvědčuje tomu, že to není pravda, protože:

• oficiální webová stránka TrueCryptu jasně hovoří o ukončení vývoje, a to především z důvodu nalezení zranitelnosti použitých metod.
• všude se o tom píše

Ovšem aby si člověk udělal střízlivý a profesionální názor na věc, je potřeba si uvědomit následující fakta:

• Na základě odhalení praktik NSA Edwardem Snowdenem nalili sponzoři TrueCryptu značné množství financí do otestování jeho bezpečnosti. Minulý měsíc skončila první fáze tohoto auditu: VŠE JE OK, ŽÁDNÁ ZADNÍ DVÍŘKA NEBO ZRANITELNOSTI. Pro zájemce popis v angličtině.
• TrueCrypt je dlouhou dobu jedničkou pro profesionály v oblasti bezpečnosti právě díky jeho open-source vývoji, který značně eliminuje možnost existence zadních vrátek nebo prolomitelných algoritmů.

Takže já si myslím, že Projekt TrueCrypt (ne samotný program!) se stal terčem velmi sofistikovaného útoku hackerů!

A proč si to myslím? Mám tyhle důvody:

• Web www.truecrypt.org jakoby neexistuje a pouze přesměrovává na truecrypt.sourceforge.net, kde nalezneme výše zmíněné podivné oznámení.
• Na webu s oznámením o konci vývoje doporučují přechod na Bitlocker jako jedinou možnost. Existují přitom i jiné alternativy, navíc BitLocker je pouze pro Windows, a to ještě jen pro některé verze, takže naprosto nepokrývá „území“ pokryté TrueCryptem.
• Na stránkách vývojářů spojených s truecryptem se mluví o podvržených verzích a kontrolních součtech, podpisech aplikací atd.
• Ve velmi nedávné době se objevilo několik zmínek o tom, že právě s disky zašifrovanými TrueCryptem si ani NSA ani naše policie tak nějak neví rady (pokud majitel disků použil dostatečně dlouhou šifrovací frázi, samozřejmě).

Co mi z toho všeho vyplývá?

Mám dost odvážnou teorii: To, že se NSA nerozpakuje používat hackerské techniky, víme už z případu HeartBleed. Takže já by řekl, že NSA použila své experty (nebo si někoho najali, rozpočet mají dostatečný), aby zdiskreditovali projekt TrueCrypt, který je jim trnem v oku. Budoucnost ukáže, jestli a jak moc se pletu…

Další články na téma bezpečnost

Nejčtenější příspěvky

Nejvyužívanějším úložištěm zůstávají síťové disky. Na ty zálohuje svá data až 90 % firem. Lokální média jako CD, DVD média či USB paměti jsou využívány k zálohování na 49 % a pásková média využívá asi 39 % firem. Narůstá podíl českých společností, které zálohují do cloudu, tedy zálohují online. Aktuálně je takovýchto firem 12 %, to je ale v porovnání se západní Evropou nebo Spojenými státy, kde využívá online zálohování třetina firem, stále málo.

Zálohování online má mnoho výhod – především je to vysoký uživatelský komfort, rychlost při zálohování i obnově dat a oproti zálohování na síťové disky umožňuje chránit data před nejnovějšími viry typu Cryptolocker – ty zašifrují obsah pevných disků (včetně síťových) a odšifrují je až po zaplacení výkupného.

85% podniků se setkalo s tím, že využívali obnovu dat kvůli ztracenému nebo omylem smazanému souboru. 42% podniků obnovovalo smazené e-maily a až na pátém místě (12%) je kompletní obnova po havárii.

Aby vaše data nebyla nenávratně ztracena a tím ohrožen chod firmy, je důležité tomu předcházet kvalitním řešením pro zálohování, o kterém se dozvíte více na našem webu. S touto problematikou vaší firmě rádi pomůžeme. Kontaktujte nás!

Další příspěvky na téma bezpečnost

Nejčtenější příspěvky

První notebook s integrovaným bezpečnostním systémem PalmSecure disponuje infračerveným emitorem, který ozáří dlaň uživatele, pomocí infrakamery si systém prohlédne systém žil, který má každý člověk unikátní, a porovná s uloženým a zašifrovaným vzorem. Pokud porovnání odpovídá, totožnost je potvrzena.

Systém PalmSecure se využívá především k zabezpečení pracovišť nebo jako autentifikace v některých japonských bankách. To by se ale podle jeho tvůrce mohlo změnit. Současnou verzi systému analytici Fujitsu Laboratories podrobili intenzivnímu testování na databázi deseti milionů (virtuálních) uživatelů. Díky kombinaci s technologií snímání otisků prstů (tří najednou) se rychlost odezvy, tedy úspěšné autentifikace, zkrátila na max. 2s.

Systém by se tak mohl využívat i mimo tyto korporace, např. na úřadech místo občanského nebo řidičského průkazu, u lékaře místo karty zdravotní pojišťovny a v obchodech u terminálů místo platebních karet.

A funguje to následovně: Odkysličená krev (deoxyhemoglobin, což je hemoglobin bez kyslíku) pohlcuje infračervené záření. Oproti tomu jej okysličená krev ve vénách odráží. Žíly jsou tedy na dlani jasně vidět jako tmavé trasy.

Současná generace čipu se vejde do notebooku, tabletu i phabletu, a tak nic nebrání tomu, aby vznikly mobilní kontrolní PalmSecure terminály třeba pro policii nebo revizory v hromadných dopravních prostředcích.

Klíčovou vlastností pro to, aby se PalmSecure stalo univerzálním řešením, které bude možné používat u více provozovatelů služeb najednou, je možnost vytvořit z jedné dlaně velké množství unikátních kontrolních vzorů. V případě (teoretického) úspěšného kyberútoku by nebyla „zkompromitována“ celá dlaň, ale jen jeden ze vzorů a ten by pak nemusel být měněn u všech používaných služeb.

Pro správnou funkci PalmSecure je nutné, aby v žilách proudila krev. Takže pokud někdo bude mávat s useknutou rukou nad skenerem, má „smolíka“. Funkce PalmSecure je nezávislá na okolních podmínkách a zdravotním stavu uživatele. Takže funkci neohrozí ani horečka ani prochladlá ruka.

Zajímavé řešení vzniklo i v kombinaci se systémem rozpoznávání obrazu, kterou už Fujitsu komerčně nabízí například obchodům, na sportovní akce nebo třeba letištím. Nová generace PalmSecure nepotřebuje asistenta pro správné přiložení ruky. Stačí ji jen pomalu přiblížit ke snímači. Systém po autentifikaci pomocí PalmSecure rozpozná, která postava v záběru kamery je autorizovaný uživatel, a dokáže jej sledovat i při dalším pohybu. Toho se využívá i pro zvýšení zabezpečení. Systém ohlídá, jestli s vámi do zabezpečeného prostoru nevchází i někdo další bez oprávnění nebo jestli jste do chráněných míst nepustili někoho jiného a sami zůstali venku.

Zda se ale takového využití PalmSecure dočká, je zatím ve hvězdách. Nasadit takové řešení ještě nemají odvahu ani v Japonsku. A co vy? Nechali byste si ze své dlaně udělat autentizační prostředek?

Další články na téma technologie

Nejčtenější příspěvky

Podle nejnovějších informací se burza Mt. Gox vzdala plánu na obnovení svých aktivit a požádala tokijský soud, aby schválil její likvidaci. Informoval o tom list The Wall Street Journal s odvoláním na zdroje obeznámené se situací.

Co je to bitcoin?

• Definice z wikipedie: Bitcoin je digitální měna, kterou roku 2009 vytvořil Satoshi Nakamoto. Název též označuje Open source software a stejnojmennou peer-to-peer síť. Na rozdíl od většiny měn bitcoin není závislý na důvěře v jejího vydavatele. Pro provádění transakcí se využívá distribuovaná databáze napříč body peer-to-peer sítě. K zabezpečení sítě je využita kryptografie, umožňující používat pouze peníze, které vlastním a zabraňující opakovanému využití již utracených peněz.

Bitcoin je v mnoha zemích brán velmi vážně

• V roce 2013 Německo bitcoin uznalo jako oficiální virtuální měnu, zisky z transakcí se daní standardní sazbou daně z příjmu fyzické osoby. Zdaněny jsou také transakce mezi bitcoinem a altcoiny, kdy se hodnota transakce převádí na aktuální kurz v euru.
• V prosinci 2013 Čínská lidová banka zakázala finančním institucím používat bitcoin, zatímco jeho používání veřejností povolila.
• I v Česku je už přes 40 míst, kde lze platit bitcoinem.
• Minimálně jedna česká firma vyplácí zaměstnancům na jejich vlastní žádost část mzdy v bitcoinech.

Aktuální hodnota bitcoinu je kolem 10000,- Kč.

Zdroj: E15.cz

Šifrovaným údajem je například komunikace občanů s bankami přes internetbanking, zašifrovaný e-mail, komunikace na sociálních sítích apod.

Tento zásah do soukromí má umožnit nový zákon o zpravodajských službách, který bude nařizovat firmám, aby poskytovaly tzv. klíče potřebné k rozšifrování dat.

Jak upozornil Viliam Karas server Novinky.cz: „Tento návrh je vážným zásahem do volného pohybu zboží, ale i do práva na soukromí.“ Ustanovení by se mohlo dostat do nesouladu s pravidly Evropské unie, které garantují volný pohyb zboží v unii.

Tajná služba přišla s návrhem, že výrobce nebo distributor „zboží, umožňující utajování přenosu nebo uchovávání informací nebo jiných údajů včetně kódování, šifrování a komprese“, musí poskytnout policii a SIS srozumitelný návod, aby mohla údaje dešifrovat.

• Společnost CloudFlare, zabývající se počítačovou bezpečností, se rozhodla otestovat reálnou nebezpečnost HeartBleedu. Prví sami podle svých analýz usoudili, že nebezpečí sice existuje, ale jeho zneužití vyžaduje velmi sofistikovaný přístup. Aby si ale byli úplně jistí, vytvořili testovací server s ještě nezaplátovanou verzí OpenSSL knihovny (přesně Nginx-1.5.13 Web server s OpenSSL 1.0.1.f na Ubuntu 13.10 x86_64), vystavili jej na internet a vyzvali komunitu bezpečnostních geeků, aby jim ten server zkusil „hacknout“ – tedy abych byl přesný, zadání bylo: „Využít chyby v OpenSSL k získání privátního klíče serveru“. A co myslíte, jak to dopadlo? Během pár hodin se to jednotlivě podařilo čtyřem specialistům z různých částí světa, přičemž první byl Fedor Indutny z Moskvy. Já osobně tenhle výsledek považuji spíš za dobrou zprávu, protože
  1. se to podařilo JEN čtyřem extraspecialistům
  2. navíc i ten nejlepší na to potřeboval několik hodin
  3. bylo jasné zadání, vědělo se, že server je napadnutelný a byla jasná jeho adresa
  4. vědělo se, JAKOU NAPADNUTELNOST server obsahuje
  5. humbuk posledních dnů kolem HeartBleed bugu určitě donutil specialisty o tom něco nastudovat.
• DELL, HP, IBM a další výrobci HW už vydali opravené verze HW a SW nástrojů, obsahujících napadnutelnou OpenSSL knihovnu.
• Americký prezident, pan Obama, se vyjádřil ke svému předešlému vyjádření, ve kterém tvrdil, že je v pořádku, když NSA zamlčuje zjištěné bezpečnostní chyby a využívá je k získávání informací. Nyní prohlásil, že americká administrativa upřednostňuje zveřejnění zjištěných potenciálních hrozeb s výjimkou případů, kdy nezveřejnění je v zájmu národní bezpečnosti. Mně teda připadá, že řekl to samé jinými slovy – třeba se ale pletu, protože tohle už je umění politiků, kterému my, ajťáci, moc nerozumíme.