The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Инициирован аудит безопасности проекта VeraCrypt "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инициирован аудит безопасности проекта VeraCrypt "  +1 +/
Сообщение от opennews (??) on 15-Авг-16, 13:16 
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил (https://ostif.org/we-have-come-to-an-agreement-to-get-veracr.../)  о соглашении по предоставлению финансирования для проведения полного аудита  безопасности  проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается (https://www.opennet.dev/opennews/art.shtml?num=43871) форк  системы шифрования дисковых разделов TrueCrypt. Средства для аудита переданы компаниями DuckDuckGo и VikingVPN. В качестве исполнителя работы по глубокому анализу кода и выявлению уязвимостей нанята компания QuarksLab. Работу планируется завершить в середине сентября.


Для предотвращения утечки выявленных в процессе аудита проблем между OSTIF, QuarksLab и лидером VeraCrypt налажен обмен шифрованными почтовыми сообщениями (используется PGP), позволяющий оперативно устранять найденные проблемы. Интересно, что вскоре после организации обмена сообщениями
всплыли (https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../) неоднократные и наблюдаемые для разных участников дискуссии подозрительные потери писем. По мнению OSTIF, подобный эффект может быть связан с попыткой наладить третьими лицами перехват почтового трафика с обсуждением хода аудита.

Из других открытых проектов, которые ранее были профинансированы (https://ostif.org/ostif-supported-projects/) для аудита отмечены OpenSSL, OpenVPN, GnuPG и OTR (Off the Record Messaging). Из претендентов на проведение аудита в будущем упомянуты nginx, Tor, NoScript, Signal/Textsecure, Tails и Tunnelblick.


URL: https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=44965

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Инициирован аудит безопасности проекта VeraCrypt "  +1 +/
Сообщение от Аноним (??) on 15-Авг-16, 13:16 
Так если им выделили денег -- пускай бы собрались в одном офисе и сделали аудит, не было бы никаких потерь писем. думаю это самый быстрый и безопасный вариант для такого типа продуктов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Инициирован аудит безопасности проекта VeraCrypt "  +9 +/
Сообщение от Ydro on 15-Авг-16, 13:40 
Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что их продукты не содержат изъянов, но независимый аудит кода произвести вам не даст. Доверяй, но проверяй!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Аноним (??) on 15-Авг-16, 14:30 
> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
> их продукты не содержат изъянов, но независимый аудит кода произвести вам
> не даст. Доверяй, но проверяй!

ну вот пусть аудиторов и посадят в коворкинг, в перерывах между смузи и проведут аудит. и не будет ни единого разрыва

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Инициирован аудит безопасности проекта VeraCrypt "  +7 +/
Сообщение от Аноним84701 on 15-Авг-16, 14:42 
> Аудит подразумевает - независимую проверку со стороны.

Оно то да, однако в свое время была версия, что  (по косвенным данным) для аудита TrueCrypt собрали бóльшую сумму, чем задонатили разработчикам за все время существования проекта.
А это, в свою очередь, очень нехило ударило по их мотивации.
В этом случае их в чем-то можно было бы понять — годами писали, поддерживали...
И тут на тебе — кто-то "левый" получает за проверку твоей работы неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно "фиксить" и поддерживать в свое свободное время. Притом что при наличии определленной суммы ты вполне возможно мог бы выделять проекту и больше времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr...
Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите дрова под очередную версию их 'инноваций'"

Но это просто одна их многих версий.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Инициирован аудит безопасности проекта VeraCrypt "  +2 +/
Сообщение от Anonplus on 15-Авг-16, 15:00 
Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет увеличивать количество итераций шифрования.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Инициирован аудит безопасности проекта VeraCrypt "  –1 +/
Сообщение от nononoon on 15-Авг-16, 20:20 
> Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC
> уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные
> MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет
> увеличивать количество итераций шифрования.

если бы оно так не лагало как LUKS на убунте...но я чет не готов жертвовать I/O который и без того на хардах убог ради псевдо защиты, да и мне прятать там нечего.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Инициирован аудит безопасности проекта VeraCrypt "  +2 +/
Сообщение от Аноним (??) on 16-Авг-16, 09:16 
> да и мне прятать там нечего

с этого и надо было начинать

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

12. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Анис on 15-Авг-16, 19:10 
Поэтому разработчики трукрипта бросили проект и основали компанию по аудиту кода, затем форкнули трукрипт под видом третьих лиц и даже его развивают, но собираются дропать и форкать каждый год с целью повторения аудита.
Профит.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Kostya (??) on 17-Авг-16, 10:11 
В этом случае потеря писем была в переписке с самими собой. Хороший ход для отвода подозрений)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от nononoon on 15-Авг-16, 20:22 
>[оверквотинг удален]
> И тут на тебе — кто-то "левый" получает за проверку твоей работы
> неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно
> "фиксить" и поддерживать в свое свободное время. Притом что при наличии
> определленной суммы ты вполне возможно мог бы выделять проекту и больше
> времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще
> и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr...
> Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да
> тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите
> дрова под очередную версию их 'инноваций'"
> Но это просто одна их многих версий.

я думаю вот это вот ближе к истине...а то что там ниже мол они под маской крокодила пишут верку это бред...скорей всего они просто забили болт на все и правильно сделали ;). нафиг нервы трепать себе этими повальными трэндами а-ля libressl vs openssl и прочих fork кастратов.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Инициирован аудит безопасности проекта VeraCrypt "  –2 +/
Сообщение от nononoon on 15-Авг-16, 20:26 
> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
> их продукты не содержат изъянов, но независимый аудит кода произвести вам
> не даст. Доверяй, но проверяй!

размечтался, они ни одной конторе свой код не отдадут и не покажут это в опенсурсе можно взять сабж, расковырять и делай с ним что хошь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Аноним (??) on 16-Авг-16, 15:35 
Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то тысячи специалистов просматривали их код и ничего не обнаружили. Естественно, условия были такими, что о найденном говорить нельзя.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от тоже Аноним email(ok) on 16-Авг-16, 16:06 
"Поскольку об уязвимостях, грязных хаках, откровенных ошибках и говнокоде говорить нельзя, резюме будет кратким: мы ничего не обнаружили".
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Аноним (??) on 16-Авг-16, 20:29 
> Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то
> тысячи специалистов просматривали их код и ничего не обнаружили.

На опеннет чтоль выкладывали? )


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

20. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от nononoon on 15-Авг-16, 20:42 
> Так если им выделили денег -- пускай бы собрались в одном офисе
> и сделали аудит, не было бы никаких потерь писем. думаю это
> самый быстрый и безопасный вариант для такого типа продуктов.

нет, им нужно нагнетать FUD страх неуверенность ложь ;)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Инициирован аудит безопасности проекта VeraCrypt "  –8 +/
Сообщение от Аноним (??) on 15-Авг-16, 13:21 
Ох и исследователи - гоняют письма через гугл, они б еще веракрипт на го предложили переписать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Инициирован аудит безопасности проекта VeraCrypt "  +3 +/
Сообщение от Я. Р. Ош on 15-Авг-16, 13:42 
Ты хотя бы прочитал про PGP для начала
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Инициирован аудит безопасности проекта VeraCrypt "  –1 +/
Сообщение от Аноним (??) on 15-Авг-16, 14:29 
ну гугл и так уже дропает аттачи с архивами, что ему мешает начать дропать письма с "непонятным" контентом?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

29. "Инициирован аудит безопасности проекта VeraCrypt"  +/
Сообщение от Анонимный Б. on 17-Авг-16, 14:58 
> Ох и исследователи - гоняют письма через гугл, они б еще веракрипт
> на го предложили переписать

А через что гонять? Через Инет может?! >:-)

Они там кстати жалуются, что письма исчезли как-то совсем бесследно. Даже из их любимых (локальных?) так сказать папок "отправленных". Спрашивается, не следует считать, что они являются представителями разных сексуальных ориентаций? И если нет, то что это значит??

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Инициирован аудит безопасности проекта VeraCrypt "  +1 +/
Сообщение от pavlikvk on 15-Авг-16, 13:58 
Опять аудит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Аноним (??) on 15-Авг-16, 20:10 
Наш независимый аудит - самый независимый аудит в мире!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Инициирован аудит безопасности проекта VeraCrypt "  –2 +/
Сообщение от nononoon on 15-Авг-16, 20:15 
ну ну бабки от DuckDuckGo и VikingVPN для этих двух это чистой воды пиар...
так а че они денег на хлебушек закинули этому иксу из верыкрипта и все довольны...мыла там у них пропадают, та кому они нафиг нужны? 2 раза в жизни пользовался true crypt, один раз LUKS на убунту...и ни разу не кончил ;) не понравилось...фу...ну их...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Инициирован аудит безопасности проекта VeraCrypt "  +/
Сообщение от Аноним (??) on 16-Авг-16, 00:33 
> VeraCrypt
> Codeplex
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Инициирован аудит безопасности проекта VeraCrypt "  +2 +/
Сообщение от Аноним (??) on 16-Авг-16, 09:19 
> Codeplex

это единственная претензия по существу

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Инициирован аудит безопасности проекта VeraCrypt "  +1 +/
Сообщение от Аноним (??) on 16-Авг-16, 11:22 
ну логично что у них письма пролпадали ) они-ж гугльмэйлом пользоваться пытались а се - крупнейший подрядчик ЦРУ(по добыванию, перебаотке, анализированию и хранению и доставке развединформации и оперативному обеспечению операций) и крупнейший фронт энд для тайных операций в том числе(революции-малюции итп :).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру