Názory k článku Bezpečnostní střípky: TrueCrypt je možno jednoduše překonat

wow, joanna stravi 3+ mesice crackovanim OS kodu, kompletni fix na jeji ficuru bude behem par chvil. to musi byt velice zajimava zena :))

jen tak fyi je to chlap

LOL. Kdyz uz neco komentujes, tak si zjisti fakta. At nevypadas jak trotl. http://www.flickr.com/…e/206241643/

Ve skutecnosti vypada o neco lip, nez na ty fotce. A s chlapem by si ji fakt nespletl ani slepy!

byl… ;)

To překonání TrueCryptu snad nemyslejí vážně – s odchyceným heslem se dá přece překonat jakákoliv kryptografie…

+1 Naozaj trapne…

navic to bude pravdepodobne win-only zalezitost, predpokladam ;)

Ne jedná se o cracknutí loaderu, pokud používáš šifrování celého disku, tak tenhle postup lze použít vždy, bezohledu na systém, protože bios TrueCrypt nepodporuje, aby z něj mohl bootovat.

Myslejí to vážně, tady nejde o to, že je heslo ukradeno, ale o to, že byl napaden TrueCrypt loader.
Nicméně celý proces je řešen naprosto snadně → Boot z HDD a heslo pro Bios startup. Toto dělají i lidé, kteří nešifrují disk, natož lidé paranoidní ;)

Pane Pinkavo, takový nadpis jste si mohl opravdu odpustit. Pokud jste jej myslel ironicky pak by mu slušel nějaký pěkný smajlík. Pokud jej myslíte vážně, tak nechápu redakci rootu a nebo vlastně ano jde asi jen o přilákání čtenářů. Pravda nalákali jste i mne, ale po přečtení tohoto článku mažu root.cz ze záložek. Mějte se dobře a přeji Vám mnoho spokojených čtenářů.

No, z oblíbených si Root mazat nebudu, ale pan Pinkava jde na seznam mediálních mrdek.

Tak seriál je super, už od dob na interval.cz. Ale takovej lživej nadpis si fakt mohli odpustit.

Jak už psal VM, takhle jde překonat cokoliv, s TrueCryptem to nemá nic společnýho.

Jenže nejde o útok na Truecrypt to je útok na polointeligentního uživatele. Truecrypt samozřejmě nemůže takovému útoku odolat, protože nejde o útok ale o standardní zadání hesla, které debil uživatel zpřístupnil uklízečce.

Problém je trochu jinde, slovo překonat (šlo také použít slovo obejít) je ve vztahu k šifrovacímu algoritmu něco jiného než když hovoříme o rozbití tohoto algoritmu. Nechci tady do široka rozvádět kryptografické poučky, ale když hovoříme o bezpečné implementaci kryptografického schématu, je toto chápáno v celé komplexnosti, tj. netýká se to pouze matematického algoritmu.
V dané situaci se implementace TrueCrypt (anebo PGP) ukazuje jako
nedostatečná. Nikoliv však díky matematickému algoritmu, ale díky celkovému pojetí.

Právě naopak, slovo překonat se běžně nepoužívá jako náhrada slova obejít a zvláště ve vztahu k šifrování je chápaný rozdíl výrazný. (Nemluvím o faktickém významu slova)

Nejde o lež, jde o bulvárnost – skutečný fakt není nijak překvapivý, nicméně redakce se snaží vyvolat dojem senzačního odhalení. FUJ.

jako bych slysel Cunka, Paroubka ci Dalika… Lziveho asi nic, jestli vas tato odpoved potesi… ;-)

priznam se, ze jsem jiz hodne dlouho nemel cas si z google readeru odskocit na root.cz, timto titulkem jste me dostali dokonce i do diskuse.

jestli pak to, co pisete vyse a nize berete jako svou obhajobu, tak popremyslim, proc v RSS nemam novinky.cz, blesk.cz, osud.cz a podobne blbiny a smazu rovnez root.cz.

mimochodem, zminovana „bulvarizace“ zacala davno, prakticky hned po „akvizici“ iinfo.cz, „jednoduche prekonani TC“ je rozhodne perla… ;-)

tak (doufam na dlouho) zbohem!

Pekny den,

kazde pondeli – drive na Interval.cz, nyni na root.cz se tesim na pokracovani tydenniku Bezpecnostnich stripku. Obvykle nekoukam na titulek, protoze dulezitejsi je pro me obsah – stejne jako tento tyden. Prosim – pokuste se nekdo jiny vytrvat tak dlouho jako pan Pinkava a psat kazdy tyden Security Digest. Kdyz vydrzite rok, budete skveli!

Pane Pinkavo – drzim palce.

P.S. nechcete nekdo – klidne z rad rejpalu – udelat z tydenniho prehledu PodCast? Docela by se mi to hodilo ;-)

Pan Pinkava má samozřejmě i své zásluhy, ale určitě není pro ROOT dobré sem zatahovat bulvární praktiky.

Musim se dnes pripojit. Bezpecnostni stripky jsou jeden ze serialu, ktere ctu vzdy a na ktere se moc tesim.

Diky moc za pekny serial.

Titulek tohoto článku byl původně jiný, změnila ho redakce.
Každopádně ale i svou nespokojenost lze vyjádřit kulturnější cestou.

Obhajujte se s chutí, máte na to právo. Článek je v pořádku, to nadpis je učebnicový bulvár. Wikipedia charakterizuje bulvár mimo jiné navozováním paniky. Zde forma sdělení jasně zvítězila nad obsahem, došlo (pravděpodobně) k záměrnému překroucení informace a na mě reakce rozhořčených čtenářů zase až tak nekulturně nepůsobí. Nejen na bezpečnost, ale také na publicistiku musíte pohlížet komplexně. Podle většiny lidí tyto „novinářské“ praktiky na do technicky orientovaného magazínu nepatří. ;-)

P.S. Redakce by se raději měla věnovat své skutečné práci, taková korektura například není úplně od věci. Řekněte sám, skutečně považujete „Nedostatečné ověřování“ nebo „Nebezpečnou konfiguraci“ mezi nejlepší postupy pro zabezpečení Web 2.0? (přesně to se v článku píše) :-)

… „root.cz“ odstranene z morning coffee addonu, na bulvar mozem chodit inam…

Uživateli je možné podstrčit i jiný notebook (stejný) , že? A proč je uveden TrueCrypt a ne PGP? Protože je to komerční SW a někdo by redakci zažaloval??? Fakt zajímavé praktiky. Pamatuji už před 30 lety, že studenti nechávali spuštěný program, který např. simuloval přihlašovací obrazovku systému a tak mohli získat účet a heslo od nepozorného uživatele.
Ach jo.

V článku popsaný problém s TrueCryptem je pro mně právě teď aktuální. Polocie mi při domovní prohlídce zabavila počítače a poslala je na expertizu. Disky jsou zašifrovány právě TrueCryptem (whole drive encryption). Až (jestli) dostanu počítače zpět, jak můžu zjistit (a případně eliminovat) nežádoucí kód přidaný do bootstrap kódu? Drastická metoda s přeformátováním nebo wipe disku je mi jasná, ale rád bych našel něco mírnějšího.

Policie, ne polocie, takhle to vypadá jako kdyby mne přepadla horda zvlčilých Poláků.

Tak boot lze sandno vyresit bootem z jineho (overeneho) media a prepisem MBR, ale vzhledem ke schopnostem PCR bych se prepisu nebal, nemluve o tom ze by se tim dopustili hnedle nekolika trestnych cinu.

BTW: AZ nebo neco lepsiho ?

no podle data a článků v novinách by mohlo jít o něco mnohem horšího, ale nechci soudit.

truecrypt je nejen mezi priznivci DP popularni (ten link uz jsem tu uz kdysi daval)
samozrejme by me ale zajimalo, co panu gangstovi reknou, az zjisti, ze jsou bezradni a maji v ruce „jen“ logy od ISP… mozna by se mohl podelit o sve zkusenosti :)

no co by, nechaji si ten HW co nejdyl, kdyz uz maji platit soudni nahrady, tak uz je to jedno :) ve VB (Velke Britanii) maji natolik zvracenou legislativu, ze pokud nesdelis heslo k TC, tak se to bere, ze te usvedcili. nekde o tom byl kdysi clanek. to je potom presumpce neviny jako stehno. ted by si na mne smlsli. zapomnel jsem heslo na TC pro externi HDD a uz se na nej snazim mesic prijit :((((

Podělit se klidně můžu, s tím problémy nemám, ale až to bude uzavřeno. Teď se válí počítače u experta, prý tak do měsíce mi dají vědět.

Jen obyč DC

Cely clanok od zaciatku az po koniec, vratane nadpisu aj originalu je ZUMPA. Zbytocne stresujete ludi.

Vás to stresuje? Co vám brání to nečíst?

Já děkuji autorovi za jeho práci.

jeden kus PC, jeden kus komplet sifrovaneho disku resp. rozdeleneho na viac sifrovanych particii, jedno LIVE CD. Ak by som vychadzal z toho ze zatial nikto neprelomil samotny TC je to celkom bezpecna cesta ako uzivat vyhradne sifrovane data, nie?

Respektive, co tak TC pouzivany napr vo virtualnom prostredi?

a čo tak TC vo virtuálnom prostredí s VM uloženou na inom TC? ;-)

sem myslel, ze to sou jenom konspiracni teorie, ze zadnej web 2.0 neexistuje…

Ak ste v lepsom hoteli, ochranit vas pre zakernou Joannou prezlecenou za uklizecku moze hotelovy sejf…

hackeři? ..