Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties
Submitter: contrast

Een onderzoeker van Google publiceert binnenkort een kritiek lek in TrueCrypt. Daarmee kunnen aanvallers een exploit maken, waardoor aanvallers de rechten van beheerders kunnen krijgen op de pc. Er komt geen patch voor het versleutelingsprogramma.

De onderzoeker zegt op Twitter dat hij zeven dagen wacht nadat een ontwikkelaar een patch heeft uitgebracht om details naar buiten te brengen, om zo de kans op een exploit van het lek te verminderen. Omdat fork VeraCrypt de patch afgelopen zaterdag uitbracht, zet hij de details vermoedelijk komend weekeinde online. Gebruikers van TrueCrypt kunnen zich niet beschermen tegen een exploit van het lek, omdat de ontwikkelaars enige tijd geleden zijn gestopt met het updaten van TrueCrypt.

Het kritieke lek zit samen met een ander, minder kritiek lek in de driver die TrueCrypt en VeraCrypt installeren op Windows-machines, meldt ITWorld. Door het lek kan een aanvaller meer beheerrechten krijgen op een account die dat van zichzelf niet heeft. Het lek maakt gebruik van de toewijzing van letters aan schijven.

Het lijkt erop dat het lek niets van doen heeft met al versleutelde schijven. Wel is het met admin-rechten mogelijk om andere software te installeren die ervoor zorgt dat nieuwe data niet meer wordt versleuteld.

TrueCrypt zal niet meer worden bijgewerkt. De ontwikkelaars, die nog altijd anoniem zijn, waarschuwden anderhalf jaar geleden om de software niet meer te gebruiken en kondigden aan om te stoppen met het gebruiken van het programma, waarmee gebruikers delen van de harde schijf op Windows-pc's kunnen versleutelen. Sindsdien zijn er diverse audits geweest om te zoeken naar eventuele achterdeurtjes in de software, maar die leverden niets op.

VeraCrypt is de officieuze opvolger van TrueCrypt en heeft het lek inmiddels wel gedicht. De ontwikkelaars van dat programma brengen wel geregeld updates met fixes uit. De lekken die de Google-onderzoeker vond, zullen online verschijnen als CVE-2015-7358 en CVE-2015-7359.

Moderatie-faq Wijzig weergave

Reacties (92)

Dit artikel is aardig gefocust op Windows maar TrueCrypt werkt net zo goed op Linux. Zit de betreffende exploit ook in de driver op Linux? Volgens mij gaat dat sowieso al via fuse / userland waarmee het risico op privilege escalation minimaal is aangezien de driver zelf ook geen root-rechten heeft?

Indien dit niet opgaat voor de Linux-versie blijf ik nog lekker bij TrueCrypt. Die is ge-audit, VeraCrypt niet en wie weet onder welke druk die developers staan vanuit de NSA en consorten.

[update]
Eens even op de pagina van VeraCrypt zitten te kijken. De links naar de CVE's betreffende de twee bugs in TrueCrypt zijn afgeschermd, ik krijg een 403 Forbidden op https://code.google.com/p...arch/issues/detail?id=538

Echter, ook VeraCrypt heeft het uitsluitend over Windows, dus ik neem aan dat de Linux versie wat dit betreft nog veilig is.

Vraag me sowieso af bij welk proces het foutgaat op Windows. Is alleen de aanwezigheid van de driver in de kernel al voldoende om dit te misbruiken?
[/update]

[Reactie gewijzigd door MadEgg op 30 september 2015 09:20]

Het hele fenomeen 'gebruiker is admin' bestaat op Linux niet. Daar zijn rechten veel explicieter afgeschermd. Dus ook privileges jatten van een account met meer rechten gaat daar niet (zo maar c.q. afgezien van linux specifieke exploits) tenzij jij default als root inlogged.

Of de Linux versie veilig is, weet je pas als er geen bugs in zitten. Dat laatste is zeer onwaarschijnlijk :-).

Overigens zie je op Linux varianten ook steeds meer beperkingen voor root. Met SeLinux, ACLs etc kun je wel root zijn, maar dan nog mag je niet overal bij. De tijd dat user root alles kon, wordt ook op Linux ingeperkt (en terecht, bijv. security tokens van andere gebruikers hoeft ook een root user niet te zien).
Het hele fenomeen 'gebruiker is admin' bestaat op Linux niet. Daar zijn rechten veel explicieter afgeschermd. Dus ook privileges jatten van een account met meer rechten gaat daar niet (zo maar c.q. afgezien van linux specifieke exploits) tenzij jij default als root inlogged.
Er zijn wel diverse exploits gepubliceerd in Linux in het verleden die wel degelijk privilege escalation betroffen. Door een bepaalde serie commando's te geven kon je jezelf root maken, zonder dat je het wachtwoord had.
Of de Linux versie veilig is, weet je pas als er geen bugs in zitten. Dat laatste is zeer onwaarschijnlijk :-).
Ik zei ook: "veilig wat dit betreft". Deze bug gaat niet op voor de Linux-versie voor zover ik kan zien. Aangezien de versie al heel wat jaren meegaat en dit de eerste exploits zijn heb ik er wel vertrouwen in dat het niveau van de code zeer hoog is. Bugs zullen er ongetwijfeld inzitten, maar zolang die bij niemand bekend zijn zit je nog veilig.
Overigens zie je op Linux varianten ook steeds meer beperkingen voor root. Met SeLinux, ACLs etc kun je wel root zijn, maar dan nog mag je niet overal bij. De tijd dat user root alles kon, wordt ook op Linux ingeperkt (en terecht, bijv. security tokens van andere gebruikers hoeft ook een root user niet te zien).
Zeker. En ook de andere kant op: het is ook mogelijk om gebruikers of specifieke binaries bepaalde privileges te geven, met behulp van setcap Ideaal voor binaries die bepaalde zaken moeten uitvoeren die normaal gesproken alleen door root gedaan kunnen worden, maar weinig reden hebben om volledige root-rechten te krijgen.
Het hele fenomeen 'gebruiker is admin' bestaat op Linux niet.
Dat is er wel "root user", dat is de directe tegenhanger.
Op Windows log je doorgaans in met je eigen gebruikersnaam en heb je administrative privileges. Juist omdat heel veel gebruikers admin-user privileges hebben, mogen ze zoveel. Dat is een gebruik dat om diverse redenen zo gegroeid is. Kenmerk van privileges is dat je onder je eigen identiteit blijft werken, maar hoger in de rechtenboom komt. Met daarbij de aantekening dat drivers bijna altijd erg hoog in de rechten/privileges boom op Windows zitten.

Als je de root user wilt vergelijken met een windows user, dan zou ik dat vergelijken met het lokale Administrator account.

Op Unix en Linux is altijd het uitgangspunt geweest dat een gebruiker met zo weinig mogelijk rechten werkt. Je kunt wel (bijv. via sudo) root worden, maar dan werk je dus even onder een andere identiteit.

Er zijn inderdaad exploits bekend waardoor je als gewone gebruiker via een proces dat draait onder root rechten (of setuid rechten) als root kunt gaan draaien. Maar dat soort gevallen kwam m.i. minder voor op Windows, omdat omschakelen naar een andere identiteit moeilijker is dan omschakelen naar meer privileges (voor een gebruiker die toch al admin rechten had). Om dat te gemakkelijk omschakelen naar meer privileges te voorkomen is vanaf Windows Vista UAC verzonnen (omdat gebruikers nog steeds admin rechten hadden. Die praktijk is ook lastig uit te roeien).

Op zich zou in dit geval via de TrueCrypt driver, als deze op Linux als root of kernel onderdeel draait, een achterdeur kunnen zijn.
Dat kan en hangt van de gebruiker af, Windows heeft zins Vista minstens een even uitgebreid al dan niet uitgebreider beheersysteem dan Linux, is maar net hoe je het instelt. En zijn ook linux distributies waar je direct root toegang hebt bij de installatie.

[Reactie gewijzigd door mad_max234 op 30 september 2015 13:03]

Sterker nog, vrijwel alle Linux-systemen hebben een oppermachtige root-account. Het bestaan van zo'n account is ťťn ding maar er actief gebruik van maken is weer iets anders. Ik ken geen enkele general-purpose Linux-distributie die stimuleert dat je je desktop als root draait. Als je dat zelf graag wil dan kan het maar het is niet de bedoeling.

Wat kdekker bedoelt is volgens mij dat het onder Windows wťl gebruikelijk is dat mensen inloggen met een account die Adminstrator-rechten heeft. Het hoeft niet maar het is volgens mij wel de standaard.

Linux: standaard geen root-rechten, maar het kan wel
Windows: standaard wel administrator-rechten, maar het hoeft niet

Beide systemen kunnen op beide manieren gebruikt worden maar de standaard is anders.
Ik ken geen enkele general-purpose Linux-distributie die stimuleert dat je je desktop als root draait.
Puppy Linux? Zie deze uitleg.
En zijn ook linux distributies waar je direct root toegang hebt bij de installatie.
Dat ben ik in al die jaren nog niet tegengekomen. 20 jaar geleden moest je nog wel vaak even inloggen als root om de systeemconfiguratie aan te passen (inmiddels heb je daar PolicyKit voor), maar het is naar mijn weten altijd al standard practice geweest om voor dagelijks gebruik een unprivileged user te gebruiken.
Het hele fenomeen 'gebruiker is admin' bestaat op Linux niet.
Zet maar eens de gebruikersnaam in /etc/sudoers zonder dat bij het gebruik van sudo een wachtwoord opgegeven moet worden. En ja, er zijn Linux gebruikers die dit doen...

[Reactie gewijzigd door The Zep Man op 30 september 2015 13:14]

Misschien dat je de NSA noemt als symbool voor "algemeen evil op het internet", maar ik vind het echt enorm grappig dat de NSA wordt genoemd als een partij die TrueCrypt zou willen infiltreren. TrueCrypt zal nooit een probleem zijn voor de NSA in de praktijk. Hun surveilliance en infiltratietechnieken beslaan voornamelijk machines die *aan* staan (waar TrueCrypt dus geen zin heeft). Als ze TrueCrypt-apparaten targeten zijn zij juist een van de zeldzame organisaties die rustig kan wachten tot je je wachtwoord in typt. Het is ongeveer de minst logische organisatie die zou proberen TrueCrypt te beinvloeden, zeker niet in een codebase die wordt gebruikt door een van de meest alerte groep gebruikers.

De primaire reden dat je full disk encryption zou moeten gebruiken is dat je niet wil dat iemand niet zomaar je computer/externe drive kan stelen of in beslag kan nemen en dan je gegevens bekijken. Full disk encryption zal nimmer beschermen bieden tegen gerichte aanvallen of surveillance van systemen systemen die al aan staan - en die laatste twee dingen zijn precies de dingen die de NSA doet!

Met deze reactie wil ik niet zeggen TrueCrypt niet veilig moet zijn. Inbrekers en politie moeten niet zonder meer bij je bestanden kunnen. Wel wil ik aangeven dat dit soort reacties aangeven dat veel mensen eigenlijk niet weten tegen welke aanvallers ze zichzelf aan het beschermen zijn.

[Reactie gewijzigd door DCK op 30 september 2015 13:54]

Als je hier boven goed leest, zie je dat het probleem in het toewijzen van drive-letters ligt.... Dat gebeurt voor zover ik weet alleen op msDos, msWindows en VMS machines, maar never-nooit-niet op linux en andere unix afgeleidde os-en.
Volgens mij is de titel behoorlijk misleidend aangezien het artikel helemaal niks zegt over het onveilig worden van disks/containers die zijn geencrypt met TrueCript.

Via dit lek kan je, voor zover ik het begrijp, alleen maar de rechten van een account aanpassen. Dat heeft A. dus helemaal geen effect op de data die je hebt geencrypt, die is nogsteeds veilig. B. Hoeveel mensen met windows gebruiken een account dat geen admin account is? Ik ken er geen. C. Bedrijven zullen dan wel geen admin accounts aan hun users geven maar ik acht de kans dat een user op zijn werk TrueCrypt gebruikt minimaal.

In andere worden; een hoop paniek om niks. Je data is nogsteeds veilig en aangezien 99,99% van de gebruikers toch al standaard met een admin account werkt hoef je je daar geen zorgen meer over te maken als je als indringer al toegang hebt tot een systeem ;)
De titel is helemaal niet misleidend. Waarom zijn er zoveel mensen hier dit lichtzinnig doen over local privilege escalation bugs?
Een gebruiker die zichzelf admin maakt zou daarna 1) een keylogger of ander ongein installeren en dan 2) de voorheen versleutelde bestanden uitlezen. De encryptie is niet gebroken, maar de vertrouwelijkheid is wel gebroken.

Denk bij "gebruiker" niet alleen aan "Ingelogde" gebruikers, maar ook aan een gastaccount, of een lokale webserver/database die als een aparte gebruiker draait met restricties.
Als je het via een webserver doet wordt de aanval in ieder geval een stuk complexer: je moet dan eerst de webserver zover krijgen om de exploit te misbruiken. Dat vereist al een tweede bug in de webserver waardoor je die toegang krijgt. Gebaseerd op een aanname overigens: ik kan de details van de exploit niet lezen dus ik weet niet wat je precies moet doen om privilege escalation te krijgen, maar vermoedelijk is dat niet zo eenvoudig dat een webserver dat standaard gaat doen.
Het is een lek in de driver die TrueCrypt gebruikt, niet in de encryptie van TrueCrypt, iets wat men wel degelijk zou vermoeden met een titel als: "Google-onderzoeker publiceert binnenkort kritiek lek in TrueCrypt".

Ja, het is een bug, maar tenzij je verder leest zou je denken dat er een 0-day in Treucrypt zit waardoor de encryptie is gebroken.
Des te meer reden dat je niet alleen koppen zou moeten lezen.
Dat is dan jouw persoonlijke aanname. Er staat niet "kritiek lek in Truecrypt-algoritme". Tweakers heeft veel clickbait titels maar in deze lijkt me de titel wel degelijk de lading te dekken (bug ivm local privilege escalation).
Via dit lek kan je, voor zover ik het begrijp, alleen maar de rechten van een account aanpassen.
Dat haal ik er ook uit. En je hebt gelijk. Als dit het is, dan is het niet 'kritiek'. Immers moet een aanvaller al (beperkte) toegang hebben tot de betreffende PC. Al heb je die initiŽle toegang, dan is er altijd wel een bug of exploit die je kan misbruiken om van een restricted account een elevated account te maken.

Dit is dus niet kritiek, en de titel is een beetje sensationeel. Er is niet plots meer te vrezen m.b.t. de encryptie en opslag.
Het is wel degelijk een kritiek lek. Als deze bug in Adobe Acrobat of Firefox zou zitten, dan werd het ook als kritiek bestempeld. Het doet niets af aan de core functionaliteit van True/Veracrypt, dat klopt, maar om nou te zeggen dat een driver bug die privilege escalation toelaat niet kritiek is, dat vind ik de boel toch wel wat bagataliseren.
Het is wel degelijk een kritiek lek. Als deze bug in Adobe Acrobat of Firefox zou zitten, dan werd het ook als kritiek bestempeld.
Appels en peren. Acrobat en Firefox draaien in user-mode. Drivers draaien (o.a.) op kernel niveau. Bovendien worden beiden blootgesteld aan netwerkactiviteit, en kunnen ze daardoor direct extern aangevallen worden.

TC zelf heeft geen netwerkcode. Er moet dus via een andere applicatie initiŽle toegang verkregen worden.
Ik zou zeggen dat een proces dat in kernel space draait alleen maar kritieker is dan iets dat in user space draait. Verder klopt het dat initiele toegang noodzakelijk is, maar dat hoeft natuurlijk niet per se via een netwerk te verlopen. Als bij een bedrijf True/Veracrypt gebruikt wordt om bestanden te versleutelen, dan kan ik me voorstellen dat het bijzonder ongewenst is als een medewerker of buitenstaande doormiddel van dit lek zichzelf admin rechten kan geven, om vervolgens door te gaan met achterdeuren open zetten, of keyloggers te installeren.
.edit: dit was een reactie op The Zep Man
Acrobat en Firefox draaien in user-mode
Na het gebruiken van deze exploit dus niet meer, dat is nou net het hele punt. Als je deze exploit combineert met eentje die je in staat stelt om custom code te runnen, zoals wel vaker voorkomt in de Java of Flash plugins, dan kun je dus gewoon via een website malware serveren en dingen onder Administrator privileges uitvoeren zonder dat de gebruiker dat doorheeft. Het is dan nog een kwestie van tijd voor je ook de geencrypte data van de TrueCrypt schijf kunt achterhalen - de gebruiker zal toch ooit zijn sleutel moeten invoeren, dus dat kun je gewoon in de gaten houden.

[Reactie gewijzigd door .oisyn op 30 september 2015 10:52]

Als je deze exploit combineert met eentje die je in staat stelt om custom code te runnen, zoals wel vaker voorkomt in de Java of Flash plugins, dan kun je dus gewoon via een website malware serveren en dingen onder Administrator privileges uitvoeren zonder dat de gebruiker dat doorheeft.
Als je de TC exploit al lokaal op een machine kan draaien, dan kan je met dezelfde payload ook gewoon de rest van de malware binnenhalen.

Het blijft niet interessant, omdat het nog steeds om een lokale exploit gaat. Als het niet via TC gaat, dan gaat het wel via iets anders. In Windows zijn er te veel (0-day) gaten die het toestaan om elevated privileges te krijgen. Als er dus al een footprint is op een apparaat door malware (bijvoorbeeld door malware die in user-mode draait), dan moet het betreffende apparaat al beschouwd worden als verloren.

Je kan dus wel de TC driver patchen, maar het probleem ('er draait lokaal software die alles kan registreren wat ik op mijn PC doe, inclusief het invullen van mijn TC wachtwoord') los je er niet mee op.

Moet het lek opgelost worden en is het 'kritiek' net als elk ander Windows intern lek? Zeker. Is het echter zo 'kritiek' als de titel suggereert ('kritiek lek in TrueCrypt', zonder verdere context)? Nee.

[edit]
Het lek is overigens niet in TrueCrypt als geheel, maar in de Windows driver die gebruikt wordt om schijfletters te koppelen. Dat is een heel specifiek component dat niets met de inhoudelijke werking van TrueCrypt te maken heeft. Immers is TrueCrypt er ook voor Linux, wat geen last zal hebben van deze exploit.

[Reactie gewijzigd door The Zep Man op 30 september 2015 13:04]

Dit is wel degelijk een kritiek lek, alleen niet voor iedereen. Niet voor de mensen voor wie een encrypted Zip ook voldoende zou zijn, maar het hip vinden om TrueCrypt te gebruiken. Fysieke toegang krijgen tot een PC is vaak niet ingewikkelder dan een pand binnenlopen al dan niet na sluitingstijd of gewoon iemand beroven. Hoe belangrijker de data, hoe meer risico bepaalde mensen willen nemen om het in handen te krijgen. Hoe zal de data op laptops, USB sticks en HDD's van o.a. ministers geencrypt zijn als ze op reis zijn? Deels zal dat bijvoorbeeld BitLocker zijn, maar ik weet ook dat bepaalde bedrijven/instanties TrueCrypt gebruiken.
Fysieke toegang krijgen tot een PC is vaak niet ingewikkelder dan een pand binnenlopen al dan niet na sluitingstijd of gewoon iemand beroven.
Dit heeft niets met fysieke toegang te maken. Al heeft een aanvaller fysieke toegang en de PC staat aan of in 'sleep', dan is de situatie al verloren. Daar verandert de driver exploit niets aan.

Het kan malware helpen bij het verder verkrijgen van toegang tot een systeem als er al initiŽle toegang is. Maar als je al malware hebt met beperkte rechten, dan kan deze sowieso al TC containers uitlezen als deze gekoppeld zijn door dezelfde gebruiker. Mogelijk dat TC een scheiding maakt wanneer meerdere gebruikers in hetzelfde systeem werken, en dat zou gecompromitteerd worden door deze kwetsbaarheid. Maar zoals ik al eerder zei: al is malware al binnen, dan heb je ook al verloren.

Wat niet verloren is, is als malware binnen raakt en de TC container is niet gekoppeld. In dat geval is de confidentialiteit van de data beveiligd totdat de gebruiker de container koppelt of de malware verwijderd.
Daar verandert de driver exploit niets aan.
Onzin, iedere exploit is er 1 te veel. Het argument "dan kunnen ook andere exploits gebruikt worden" is dan ook een complete dooddoener, dan zou geen enkele exploit in niet-netwerk applicaties meer kritiek zijn.
Wel is het met admin-rechten mogelijk om andere software te installeren die ervoor zorgt dat nieuwe data niet meer wordt versleuteld.

Denk dat dat voor zich spreekt. Nee de encryptie heeft geen achterdeurtjes maar je kan een keylogger erop zetten, bestanden stoppen te coderen terwijl jij denkt dat ze wel gecodeerd zijn of nog leuker de bestanden met een andere sleutel coderen. Jij denk dan niet meer leesbaar, software vraagt om de sleutel, jij geeft de juiste sleutel en de keylogger pakt dat op, op die manier heeft een aanvaller dan jou sleutel en toegang tot de gecodeerde bestanden.

Wat wel apart blijft is dat de audit deze bug niet heeft ontdekt. Het zegt dus eigenlijk dat de audit ook weinig waarde heeft en er dus nog steeds achterdeurtjes in kunnen zitten die nog niet ontdekt zijn.
Zoals ik in mijn eerste post al zij, hoeveel Windows gebruikers ken jij die standaard geen account met admin rechten gebruiken? Aagezien de overgrote meerderheid standaard een admin account gebruikt zal een aanvaller die toegang krijgt tot een system in de meeste gevallen toch al admin rechten hebben.
Zakelijke window gebruiker beschikken juist vaak niet over een admin account , die is voor de admin en niet voor de gebruiker.

Neemt niet weg dat er dus een bug is ondanks de audits. Dit zegt dus genoeg dat audits geen garantie zijn dat er alsnog bugs of achterdeurtjes zijn.
Alles heeft te maken met de kennis van de auditors op dat moment.
De audit heeft gekeken naar de container en de ver-/ontsleuteling ervan. Ik vermoed dat de drivers niet bekeken zijn.
Err... alle? Gelukkig is dat sinds Windows Vista op de schop genomen waardoor gebruikers standaard geen admin zijn. Ze hebben wel de mogelijkheid om admin-rechten te krijgen met behulp van UAC.

Dat betekent dus dat als je iets "kwaads" zou willen doen wat admin-rechten nodig heeft, de gebruiker op zijn minst een popup krijgt met de vraag of de betreffende actie uitgevoerd mag worden.
Sinds Vista is het niet meer mogelijk om als volwaardige admin in te loggen. Het enige verschil tussen een gewone gebruiker en admin gebruik is dat de UAC waarschuwing een wachtwoord vraagt of niet (tenzij je nog eens met de UAC instellingen begint te spelen ook, maar dan ben je zelf schuldig aan het onveilig maken van je systeem). Indien door deze bug het mogelijk word om administratieve taken uit te voeren zonder de UAC prompt dan heb je een verdomd groot probleem.
Als je altijd met beheersrechten werkt ben je gewoon stom bezig. Dan vraag je om problemen, dan is het raak bij elke besmette webpagina die je bezoekt. Je kunt prima zonder beheersrechten werken zolang je geen software hoeft te installeren of te updaten. En software die niet zonder beheersrechten werkt is per definitie rotzooi en komt er bij mij niet op.
Dat lijkt me een prima toevoeging, ik heb een alinea ingevoegd erover. Ondanks dat de versleuteling zelf niet lijkt te zijn aangetast, kun je met admin-rechten wel leuke dingen doen :)
De titel klopt, maar ik snap de verwarring :)
Niet dat ik op een verandernig uit was, maar ik ben blij dat ik na meer dan een decennia op tweakers eindelijk eens een minimale bijdrage heb kunnen leveren :P
Juist op het werk gebruiken mensen TruCrypt lijkt me?
Mijn werk laptop heeft TrueCrypt bijvoorbeeld.
Ik ben dan wel admin, maar bij veel bedrijven zullen de werknemers zelf geen admin zijn.
Inderdaad geen effect op je geŽncrypteerde data, maar privilege escalation is ernstig omdat het een aanvaller de mogelijkheid geeft om je systeem over te nemen. Wat je tegenwoordig vaak ziet, is dat bijvoorbeeld door ťťn of andere fout of combinatie ervan een exploit kan ontsnappen uit de sandbox van de webbrowser en daarna een privilege escalation bug in Windows gebruikt om SYSTEM of admin rechten te krijgen, waardoor dan weer een root kit, keylogger, of RAT (Remote Administration Tool) geÔnstalleerd kan worden waarmee de gebruiker langdurig in het oog kan gehouden worden (stelen andere credentials, kredietkaart data, data exfiltration).

Dat de TrueCrypt driver zo'n fout bevat, geeft aanvallers weer een extra optie, zeker gezien TrueCrypt geen updates meer krijgt en nog vele mensen dit gebruiken.

Het toont nog maar eens aan dat drivers schrijven geen evidente zaak is, zeker niet als die moeten interageren met gebruikers (met beperkte rechten).

In het verleden is zo bijvoorbeeld een driver van CloneCD misbruikt op deze manier en ook het recent uitschakelen van de SecuROM/SafeDISC DRM-driver zal hiermee wel te maken hebben.

Overigens: op elk toestel dat ik moest installeren (vrienden, familie, mezelf :-)) is de normale gebruikersaccount geen admin. Dat lukt perfect vanaf Windows Vista en helpt om een hoop miserie af te wenden. Als m'n moeder een UAC prompt krijgt, dan denkt ze wel twee keer na of dat nu wel echt nodig was.
Mooi dat we natuurlijk lekken vinden in software. Ik vraag mij alleen wel af het nou handig is om bij een applicatie die veel gebruikt wordt + geen updates meer krijgt dit een goede zet is. Natuurlijk waarschuwde de maker van de software hier ook voor dat het niet veilig is. Maar moet het dan op deze manier dan nog onveiliger gemaakt worden.
Het wordt per definitie niet onveiliger. Of veiliger. Het programma wordt niet meer doorontwikkeld, dus kan het moeilijk veiliger of onveiliger worden.

Het feit dat er gebreken publiek worden gemaakt geeft alleen maar aan dat je het niet meer moet gebruiken. Niet dat dat gebrek niet al werd misbruikt in het wild. Normaal is dit het teken om een update te installeren, maar dat is geen optie meer.
Ik begrijp je redenering maar (on)veiliger worden, hangt ook af van de context. En die context veranderde door aan te geven dat (en waar) er een bug zit in de software. Waar het eerst nog niet of heel erg beperkt gekend was, kan nu/binnenkort elke scriptkiddie de bug misbruiken.
Het programma wordt niet onveiliger, het gebruik van het programma wordt onveiliger. Inderdaad een slordige formulering, maar als je het zo leest onmiddelijk begrijpelijk.
Onveiliger wordt het niet per definitie. Als een Google medewerker dit kan vinden, kan iemand met minder goede bedoelingen dat ook. Of misschien is dat al lang het geval en hebben wij daar geen weet van.

Aangeven TrueCrypt geen updates meer zal krijgen is dit de beste manier om gebruikers aan te sporen over te stappen.
Als een Google medewerker dit kan vinden, kan iemand met minder goede bedoelingen dat ook.
Het klinkt me meer vanuit Google als een promo om hun eigen "kennis" te laten zien.

Simpel gedacht: Veracrypt heeft een patch. Daar horen files & release-notes bij. Ga je die files vergelijken met de vorige versie, dan heb je "het verschil" en dus mogelijk (veel) meer aanknopingspunten. Door die info dan tegen de laatst bekende source-code van TrueCrypt te houden, lijkt het me niet ondenkelijk dat je relatief eenvoudig dus het issue kan vinden.

Ik vind het dus erg lastig om inderdaad in te schatten of & hoe lang het issue al misbruikt kon worden; nieuws: TrueCrypt-website adviseert gebruikers software niet langer te gebruiken laat zien dat TrueCrypt dus al anderhalf jaar geen updates had gekregen en "dus" de flaw ligt al anderhalf jaar op de plank.

Doet me dus alleen maar meer vermoeden dat Google nu probeert mee te liften op het succes van patchen door VeryCrypt.
Ik snap je gedachtengang, maar aan de andere kant: elke publicatie dat TrueCrypt echt niet meer van deze tijd is, is meegenomen en hopelijk een signaal voor degene die het nog gebruikt om te switchen. Als de onderzoeker niets zegt kun je bij het bericht dat VeraCrypt is gepatched ook denken "ik gebruik het niet, ik gebruik TrueCrypt".

Wat je zelf al aangeeft: de info over waar het lek zit is al terug te halen uit de VeraCrypt patches, dus die info is al beschikbaar. En volgens mij had ik ook al ergens gelezen dat die patch gekomen is door een ontdekking van een Google medewerker. De enige nog toegevoegde waarde van publiceren is dus in mijn ogen alleen nog een signaalwerking.
Nou, is dat niet een beetje het olifant en de muis verhaal?
Wat is het alternatief? Zwijgen? Hoeveel mensen zijn er niet die dat verhaal van de TrueCrypt developer niet geloven? En is het niet belangrijk dat systeembeheerders weet hebben van een mogelijke exploit waarmee een gebruiker zijn rechten kan verhogen? Of steek je liever je kop in het zand?
Jazeker, Truecrypt is een doorn in het oog van menig opsporings en aftap instantie.
Ja het is handig.

De software is onveilig. Als een onderzoeker van Google er achter kan komen, dan kan iemand met slechtere bedoelingen er ook achter komen.
Met full disclosure weet je zeker dat men het weet.
Op deze manier kan je niet meer je kop in het zand steken ("Als ik niet weet dat het onveilig is, dan weet niemand het").

Er is ook een goed alternatief, waar dit probleem ook nog eens gepatched is, dus je zit niet gelijk in de problemen. (En Veracrypt kan sinds kort ook Truecrypt containers lezen, dus overzetten is niet echt moeilijk AFAIK)
De belangen van mensen die TrueCrypt gebruiken kunnen heel erg groot zijn. Het is tot nu toe de enige encryptie oplossing waarvan meerdere audits hebben aangetoond dat het veilige encryptie aanbiedt. Mocht blijken dat dit niet meer zo is, dan wil je dit als potentiŽel high risk target zeker wel weten, omdat je dan je encryptie methode kan wijzingen of desnoods bestanden kan vernietigen. Ga er maar vanuit dat als een Google onderzoeker een fout vind, de NSA ook allang op de hoogte is. Door het publiceren van deze fouten heb je tenminste een keus dan in een schijnveiligheid te leven.

Als jij TrueCrypt gebruikt om je porno veilig te stellen, dan zou ik me nergens druk om maken. Behalve als het hier natuurlijke kinderporno betreft.
De NSA wil dat je bitlocker gebruikt ;)
Als je software gebruikt om je wachtwoorden te beschermen, hoort dat het niet meer veilig is en toch doorgaat met gebruiken, dan sla je de plank mis.
Als gewone run of the mill ik-gebruik-mijn-pc-voor-spellekes-en-sex-filmpkes. Hebben niets te vrezen of niet? Of zit dit standaard in Windows?

EDIT: hoezo is dit off-topic/irrelevant? sorry als ik mij niet aan de geldende sociale regels houd. Maar het is terdegelijk wel een valide vraag.

[Reactie gewijzigd door Splitinfinitive op 30 september 2015 08:36]

Het gaat er vooral om dat je denkt een versleuteld/veilig bestand gemaakt te hebben maar wegens het lek toch niet zo veilig lijkt te zijn en de inhoud wellicht beschikbaar gemaakt kan worden voor partijen die er niet over mogen beschikken.

[edit]
" Door het lek kan een aanvaller meer beheerrechten krijgen op een account die dat van zichzelf niet heeft"
Ik was idd zelf een beetje snel klaar met diagonaal te lezen. Croga heeft het bij het rechte eind.

In elk geval, als jij deze software niet gebruikt, heb jij op jouw machine ook niet het lek.

[Reactie gewijzigd door FireFly op 30 september 2015 09:49]

Daar heeft het dus juist helemaal niets mee te maken.....

Het lek zit niet in het en-/decryptie deel van de software. Het lek zit in een driver die door de software geÔnstaleerd wordt. Misbruik van deze driver kan zorgen dat iemand een "user" account admin rechten kan toekennen op Windows.

Het "lek" staat dus volledig los van de versleuteling van je bestanden.
Als jouw partner al moeite heeft om files of folders dieper dan de desktop en photo's te vinden, dan ben je veilig ....

Maar dan heb je Truecrypt of soortgelijk niet nodig, dan is dit een betere oplossing.
Als jouw partner al moeite heeft om files of folders dieper dan de desktop en photo's te vinden, dan ben je veilig ....

Maar dan heb je Truecrypt of soortgelijk niet nodig, dan is dit een betere oplossing.
Nou nee, dat is zeker geen "betere" oplossing. En daarnaast, TrueCrypt werkt ook voor mensen die wel door al je files en folder heen kunnen searchen. Dit lek doet daar, voor zover nu uit de beschrijving op te maken, niks aan af.

[Reactie gewijzigd door kumquat op 30 september 2015 08:59]

Tot dat je partner gewoon een search doet op *.avi..........

ai, was als reactie bedoelt op freshmaker......

[Reactie gewijzigd door Akemi op 30 september 2015 09:24]

Ach, de mensen die niet verder komen dan 'mijn documenten' en 'desktop' weten die zoekknop al niet te vinden.

Die zijn al verdwaald als het facebook-icoontje niet in "start" staat, en snappen nog steeds niet dat je gewoon een deel van de naam kan beginnen te typen, om te starten.
Inderdaad, dan heb je niks te vrezen.

Je moet alleen je computer niet laten infecteren met malware, maar dat moet toch al niet.
Als jij al een malware infectie hebt, die evt foto's of documenten versleuteld, dat doet die dat als de container is gelinkt, dus zelfs zonder het lek is dat geen optie.
Uhhh wat? Ik begrijp je zin niet helemaal :?

Ik doelde op potentiŽle malware die dit TrueCrypt lek kon misbruiken. Splitinfinitive impliceerde de vraag of hij als normale user iets te vrezen had voor de encryptie van zijn warez en pron. Nou nee, de encryptie van TrueCrypt staat niet in het geding.

Randomware staat er los van, die versleutelt inderdaad gegevens als je TrueCrypt container is geopend, maar heeft verder niks met het lek uit dit artikel te maken, dus vandaar dat ik zei "maar dat moet toch al niet". Volgens mij bedoelde jij dat ook, dus dan zijn we het eens :)
Natuurlijk zijn we het eens, alleen ging je te serieus in op mijn reactie.

We weten niet hoe slim zijn wederhelft is in het vinden van zijn stash ;)
Nee, niet standaard in windows. In windows heb je bitlocker voor bepaalde versies
Wat heeft deze exploit nou te maken de encryptie zelf? Ik lees alleen dat een user admin rechten kan krijgen, ja dus? Daarmee is nog niet de encryptie gebroken?
Niets dus, en inderderdaad: daarmee is de encryptie nog niet gebroken. Het is geen gevalletje privilage escalation. Waard om te fixen, maar ook weer niet zo heel spannend lijkt me.
Anders dan dat je data volledig open en bloot ligt als het vanaf afstand is te misbruiken, en anders is het met social engineering nog wel te volbrengen.

Scenario 1:
"Hey, open dit.. hmm, hey je hebt truecrypt, bam, exploit, muhahaha nu ben ik een lokal admin. Even netcat opstarten, ping back naar m'n control server. Bot erbij, en al je data ligt open en bloot want je bent al ingelogd".

Scenario 2:
Hallo klant met best wel wat bedrijfsgeheimen! Hi ja, wil je deze presentatie van concurrerend bedrijf eens bekijken? *klik* *truecrypt exploit deployed*" en al je bedrijfsgeheimen liggen op straat.

Bye bye security.
Ja. Precies zoals met elke andere privilage escalation exploit dus. Daar zijn er vele van geweest. Dus inderdaad waard om te fixen, maar geen bom onder het principe van TrueCrypt/VeraCrypt op zichzelf. Dit is niet de reden dat TrueCrypt gestopt is, daar is het gewoon niet ernstig genoeg voor en te eenvoudig te fixen.
Truecrypt is nu ook weer niet dermate laagdrempelend dat dat gaat werken, hoop ik. Het is sowieso iets wat gevorderde gebruikers gebruiken, anders zaten ze wel op BitLocker oid. En dat betekent dus ook dat ze een stuk minder vatbaar voor social engineering zijn zoals in de voorbeelden die je schetst.

De exploit is wel een kwalijke zaak, dat zeker. Maar het maakt TrueCrypt dus niet inherent onveilig, het maakt enkel de Windows-driver die het in het systeem hangt onveilig.
Zoals ik het lees is er niks veranderd aan de veiligheid van je TrueCrypt Containers of Full Disk Encryptie. Pas wanneer je je TrueCrypt container probeert te mounten kan het lek worden misbruikt. Echter, zodra je data tijdelijk open staat (doormiddel van bijvoorbeeld het mounten van je TrueCrypt container) is je data net zo kwetsbaar voor welk ander virus of ransomware dan ook. Daar is dus niks aan veranderd.

Als je dus TrueCrypt gebruikt voor bestands en schijf encryptie dan lijkt er niks aan de hand te zijn. Als je met TrueCrypt zeker wilt zijn dat niemand met fysieke toegang tot je computer zichzelf admin kan maken, dan moet je oppassen.
Maar met admin rechten kun je veel. Bijvoorbeeld TrueCrypt patchen. Alle nieuwe content wordt bijv. niet meer geŽncrypt en alle data die je accessed (en dus decrypt) wordt unencrypted weer teruggeschreven.
In hoeverre kan dit nu een "kritiek lek" zijn?
Zoals ik het lees moet de aanvaller al fysiek toegang hebben tot een account op de betreffende pc/laptop om het lek te kunnen misbruiken.
Aangezien de meeste gebruikers TrueCrypt zullen gebruiken voor full disk encryption zal dit hen niet raken als de pc/laptop niet opgestart is.
Ik ken toch diverse werkstations, die een TC container hebben / hadden waarin databestanden met wachtwoorden of bedrijfsinformatie staan, en deze werkstations staan ( weliswaar in het bedrijf ) verder relatief open en bloot voor iedereen.
Een schoonmaker kan makkelijk bij die pc, en heeft in zijn avonduren tijd te over om de bruteforce uit te voeren, of de containers te kopiŽren naar een harddrive

* FreshMaker heeft ook geen full disk, alleen containers met verschillende categorieen aan files
En dan? enige wat die schoonmaker nu kan is op dat werkstation vanuit een lokale account zijn privileges uitbreiden (als hij al een account heeft) hij zal dan nog steeds via bijvoorbeeld een keylogger de wachtwoorden voor die TC containers moeten proberen te sniffen, niet onmogelijk maar zeker een stuk lastiger.

[Reactie gewijzigd door blouweKip op 30 september 2015 17:39]

Zover ik begrijp is de encryptie gewoon nog veilig*. Het is echter een opening om malware los te kunnen laten op systemen die doorgaans wel dichtgetimmerd zijn (zakelijke omgevingen etc). Elke random malware kan na installatie wachten tot er een driveletter bij komt en de data doorsluizen.

Dus sowieso moet je zorgen dat je machine schoon is voordat je iets doet met gevoelige gegevens, vooral als je de moeite neemt om deze gegevens extra te beschermen. Daar veranderd dit "lek" niets aan.

* niet bewezen onveilig.
"Elke random malware kan na installatie wachten tot er een driveletter bij komt en de data doorsluizen."

volgens mij gaat het hier specifiek om de driver die bij truecrypt geleverd wordt en behoud je dus wel een backdoor welke er normaal niet in zit wanneer je geen truecrypt gebruikt.

En toch heb ik het idee dat een unsupported truevrypt wel eens veiliger kan zijn als veracrypt of een van de andere alternatieven..
Dat laatste denk ik ook. Het stoppen van truecrypt stinkt een beetje, het blijft raar. Misschien een te goede tool, waar "men" liever niet heeft dat je dit gebruikt.
Een privilege escalation via de truecrypt client system driver, truecrypt containers zijn en blijven dus nog atlijd veilig! Kortom redelijk tendentieuze titel.

[Reactie gewijzigd door KeiFront op 30 september 2015 10:12]

Sindsdien zijn er diverse audits geweest om te zoeken naar eventuele achterdeurtjes in de software, maar die leverden niets op.
Ah dat blijft me weer verbazen.
Audits, audits, audits en alsnog wordt er een groot lek gevonden na een tijdje, terwijl daarvoor niemand wat had gevonden.

Dat bewijst wederom: wees altijd op je hoede, en zelfs als software ge-audit is moet je er rekening mee houden dat er iets mis kan zijn. En als 't nu niet is: dan wellicht wel in de toekomst als de werking van een ander component wijzigt.

Let that be a lesson! ;)
het ging mij er vooral over dat als mijn laptop gestolen werd , hij niet gewoon leesbaar is voor anderen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True