Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил (https://ostif.org/we-have-come-to-an-agreement-to-get-veracr.../) о соглашении по предоставлению финансирования для проведения полного аудита безопасности проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается (https://www.opennet.dev/opennews/art.shtml?num=43871) форк системы шифрования дисковых разделов TrueCrypt. Средства для аудита переданы компаниями DuckDuckGo и VikingVPN. В качестве исполнителя работы по глубокому анализу кода и выявлению уязвимостей нанята компания QuarksLab. Работу планируется завершить в середине сентября.
Для предотвращения утечки выявленных в процессе аудита проблем между OSTIF, QuarksLab и лидером VeraCrypt налажен обмен шифрованными почтовыми сообщениями (используется PGP), позволяющий оперативно устранять найденные проблемы. Интересно, что вскоре после организации обмена сообщениями
всплыли (https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../) неоднократные и наблюдаемые для разных участников дискуссии подозрительные потери писем. По мнению OSTIF, подобный эффект может быть связан с попыткой наладить третьими лицами перехват почтового трафика с обсуждением хода аудита.Из других открытых проектов, которые ранее были профинансированы (https://ostif.org/ostif-supported-projects/) для аудита отмечены OpenSSL, OpenVPN, GnuPG и OTR (Off the Record Messaging). Из претендентов на проведение аудита в будущем упомянуты nginx, Tor, NoScript, Signal/Textsecure, Tails и Tunnelblick.
URL: https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=44965
Так если им выделили денег -- пускай бы собрались в одном офисе и сделали аудит, не было бы никаких потерь писем. думаю это самый быстрый и безопасный вариант для такого типа продуктов.
Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что их продукты не содержат изъянов, но независимый аудит кода произвести вам не даст. Доверяй, но проверяй!
> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
> их продукты не содержат изъянов, но независимый аудит кода произвести вам
> не даст. Доверяй, но проверяй!ну вот пусть аудиторов и посадят в коворкинг, в перерывах между смузи и проведут аудит. и не будет ни единого разрыва
> Аудит подразумевает - независимую проверку со стороны.Оно то да, однако в свое время была версия, что (по косвенным данным) для аудита TrueCrypt собрали бóльшую сумму, чем задонатили разработчикам за все время существования проекта.
А это, в свою очередь, очень нехило ударило по их мотивации.
В этом случае их в чем-то можно было бы понять — годами писали, поддерживали...
И тут на тебе — кто-то "левый" получает за проверку твоей работы неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно "фиксить" и поддерживать в свое свободное время. Притом что при наличии определленной суммы ты вполне возможно мог бы выделять проекту и больше времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr...
Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да тра*сь вы сами дальше, 'кушайте' альтернативы от МСца или пишите дрова под очередную версию их 'инноваций'"Но это просто одна их многих версий.
Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет увеличивать количество итераций шифрования.
> Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC
> уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные
> MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет
> увеличивать количество итераций шифрования.если бы оно так не лагало как LUKS на убунте...но я чет не готов жертвовать I/O который и без того на хардах убог ради псевдо защиты, да и мне прятать там нечего.
> да и мне прятать там нечегос этого и надо было начинать
Поэтому разработчики трукрипта бросили проект и основали компанию по аудиту кода, затем форкнули трукрипт под видом третьих лиц и даже его развивают, но собираются дропать и форкать каждый год с целью повторения аудита.
Профит.
В этом случае потеря писем была в переписке с самими собой. Хороший ход для отвода подозрений)
>[оверквотинг удален]
> И тут на тебе — кто-то "левый" получает за проверку твоей работы
> неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно
> "фиксить" и поддерживать в свое свободное время. Притом что при наличии
> определленной суммы ты вполне возможно мог бы выделять проекту и больше
> времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще
> и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr...
> Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да
> тра*сь вы сами дальше, 'кушайте' альтернативы от МСца или пишите
> дрова под очередную версию их 'инноваций'"
> Но это просто одна их многих версий.я думаю вот это вот ближе к истине...а то что там ниже мол они под маской крокодила пишут верку это бред...скорей всего они просто забили болт на все и правильно сделали ;). нафиг нервы трепать себе этими повальными трэндами а-ля libressl vs openssl и прочих fork кастратов.
> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
> их продукты не содержат изъянов, но независимый аудит кода произвести вам
> не даст. Доверяй, но проверяй!размечтался, они ни одной конторе свой код не отдадут и не покажут это в опенсурсе можно взять сабж, расковырять и делай с ним что хошь.
Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то тысячи специалистов просматривали их код и ничего не обнаружили. Естественно, условия были такими, что о найденном говорить нельзя.
"Поскольку об уязвимостях, грязных хаках, откровенных ошибках и говнокоде говорить нельзя, резюме будет кратким: мы ничего не обнаружили".
> Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то
> тысячи специалистов просматривали их код и ничего не обнаружили.На опеннет чтоль выкладывали? )
> Так если им выделили денег -- пускай бы собрались в одном офисе
> и сделали аудит, не было бы никаких потерь писем. думаю это
> самый быстрый и безопасный вариант для такого типа продуктов.нет, им нужно нагнетать FUD страх неуверенность ложь ;)
Ох и исследователи - гоняют письма через гугл, они б еще веракрипт на го предложили переписать
Ты хотя бы прочитал про PGP для начала
ну гугл и так уже дропает аттачи с архивами, что ему мешает начать дропать письма с "непонятным" контентом?
> Ох и исследователи - гоняют письма через гугл, они б еще веракрипт
> на го предложили переписатьА через что гонять? Через Инет может?! >:-)
Они там кстати жалуются, что письма исчезли как-то совсем бесследно. Даже из их любимых (локальных?) так сказать папок "отправленных". Спрашивается, не следует считать, что они являются представителями разных сексуальных ориентаций? И если нет, то что это значит??
Опять аудит?
Наш независимый аудит - самый независимый аудит в мире!
ну ну бабки от DuckDuckGo и VikingVPN для этих двух это чистой воды пиар...
так а че они денег на хлебушек закинули этому иксу из верыкрипта и все довольны...мыла там у них пропадают, та кому они нафиг нужны? 2 раза в жизни пользовался true crypt, один раз LUKS на убунту...и ни разу не кончил ;) не понравилось...фу...ну их...
> VeraCrypt
> Codeplex
> Codeplexэто единственная претензия по существу
ну логично что у них письма пролпадали ) они-ж гугльмэйлом пользоваться пытались а се - крупнейший подрядчик ЦРУ(по добыванию, перебаотке, анализированию и хранению и доставке развединформации и оперативному обеспечению операций) и крупнейший фронт энд для тайных операций в том числе(революции-малюции итп :).