Загадочный слив проекта TrueCrypt
Программное обеспечение для шифрования пользовательских файлов – TrueCrypt – всегда было окружено таинственностью и вместе с тем считалось надежным инструментом. Таинственностью – потому что авторы шифровальщика совершенно анонимны, надежным TrueCrypt считали потому что он никогда не давал повода в этом усомниться. Даже первая «волна» аудита кода подтвердила, что никаких закладок и дыр в безопасности нет.
Но тут внезапно идиллия была нарушена совершенно странным событием – с официального сайта TrueCrypt был установлен редирект на страничку проекта на Sourceforge, где появилась новая версия программы (7.2) и предупреждение, написанное большими красными буквами — WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues («ВНИМАНИЕ: Испльзование TrueCrypt небезопасно, так как он может содержать открытые уязвимости»). После предупреждения авторы посоветовали прекратить пользоваться TC и перейти на Microsoft BitLocker (что еще прибавляет странности происходящему).
Помимо странных сообщений появилась информация о прекращении разработки ПО с мая текущего года (то есть уже) — отчасти это связано, якобы, с прекращением поддержки Windows XP, не имевшей встроенных функций шифрования файлов.
Выложенный финальный релиз TrueCrypt 7.2 (подписанный официальным личным ключом авторов проекта) же отличается от предыдущей версии удаленным кодом для шифрования информации (можно только расшифровать уже имеющиеся контейнеры) и выводом сообщения о небезопасности использования. Новую версию рекомендуется использовать для перехода на аналогичные продукты.
Пользователям Linux авторы TrueCrypt дают еще более странные рекомендации по миграции на аналоги – предлагается удалить TC и поискать в репозитории пакеты, содержащие в названии слова «encryption» или «crypt».
Увы, код TrueCrypt распространяется под собственной лицензией TrueCrypt License и не является свободным, то есть, сообщество разработчиков свободного ПО не может использовать этот код и сделать ответвление проекта, продолжая его развитие.
У сообщества, в связи с «таинственным сливом» появилось несколько версий и догадок, приведем их ниже:
- Все это время автором TrueCrypt являлось АНБ, оно и поддерживало проект до того момента, как второй раунд аудита кода добрался до «самого интересного». Тут и настало время прикрыть все по-тихому, чтобы не создавать скандала.
- Анонимных авторов нашли спецслужбы и попытались надавить на них, чтобы те обеспечили постановку закладок в коде и всяческих бэкдоров. Авторы решили, пока есть время, быстро оповестить сообщество и раскрыть угрозу информационной безопасности (причем в стиле т.н. "свидетельства канарейки").
- Авторам просто надоело поддерживать проект и они решили «уйти красиво».
- Авторов «вежливо попросили» внедрить в код закладку, они отказались. Спецслужбы решили надавить на них и прикрыть неудобный проект во что бы то ни стало.
- Спецслужбы предложили деньги, от которых просто невозможно было отказаться. И проект прикрыли.
- Произведен хитрый дефейс сайта, похищен приватный ключ разработчиков. Вскоре нормальная работа проекта будет восстановлена.