форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Инициирован аудит безопасности проекта VeraCrypt "	+1 +/–
Сообщение от opennews (??) on 15-Авг-16, 13:16
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил (https://ostif.org/we-have-come-to-an-agreement-to-get-veracr.../)  о соглашении по предоставлению финансирования для проведения полного аудита  безопасности  проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается (https://www.opennet.ru/opennews/art.shtml?num=43871) форк  системы шифрования дисковых разделов TrueCrypt. Средства для аудита переданы компаниями DuckDuckGo и VikingVPN. В качестве исполнителя работы по глубокому анализу кода и выявлению уязвимостей нанята компания QuarksLab. Работу планируется завершить в середине сентября. Для предотвращения утечки выявленных в процессе аудита проблем между OSTIF, QuarksLab и лидером VeraCrypt налажен обмен шифрованными почтовыми сообщениями (используется PGP), позволяющий оперативно устранять найденные проблемы. Интересно, что вскоре после организации обмена сообщениями всплыли (https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../) неоднократные и наблюдаемые для разных участников дискуссии подозрительные потери писем. По мнению OSTIF, подобный эффект может быть связан с попыткой наладить третьими лицами перехват почтового трафика с обсуждением хода аудита. Из других открытых проектов, которые ранее были профинансированы (https://ostif.org/ostif-supported-projects/) для аудита отмечены OpenSSL, OpenVPN, GnuPG и OTR (Off the Record Messaging). Из претендентов на проведение аудита в будущем упомянуты nginx, Tor, NoScript, Signal/Textsecure, Tails и Tunnelblick. URL: https://ostif.org/ostif-quarklab-and-veracrypt-e-mails-are-b.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=44965
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Инициирован аудит безопасности проекта VeraCrypt "	+1 +/–
Сообщение от Аноним (??) on 15-Авг-16, 13:16
Так если им выделили денег -- пускай бы собрались в одном офисе и сделали аудит, не было бы никаких потерь писем. думаю это самый быстрый и безопасный вариант для такого типа продуктов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Инициирован аудит безопасности проекта VeraCrypt "	+9 +/–
	Сообщение от Ydro on 15-Авг-16, 13:40
	Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что их продукты не содержат изъянов, но независимый аудит кода произвести вам не даст. Доверяй, но проверяй!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Аноним (??) on 15-Авг-16, 14:30
	> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что > их продукты не содержат изъянов, но независимый аудит кода произвести вам > не даст. Доверяй, но проверяй! ну вот пусть аудиторов и посадят в коворкинг, в перерывах между смузи и проведут аудит. и не будет ни единого разрыва
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Инициирован аудит безопасности проекта VeraCrypt "	+7 +/–
	Сообщение от Аноним84701 on 15-Авг-16, 14:42
	> Аудит подразумевает - независимую проверку со стороны. Оно то да, однако в свое время была версия, что  (по косвенным данным) для аудита TrueCrypt собрали бóльшую сумму, чем задонатили разработчикам за все время существования проекта. А это, в свою очередь, очень нехило ударило по их мотивации. В этом случае их в чем-то можно было бы понять — годами писали, поддерживали... И тут на тебе — кто-то "левый" получает за проверку твоей работы неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно "фиксить" и поддерживать в свое свободное время. Притом что при наличии определленной суммы ты вполне возможно мог бы выделять проекту и больше времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr... Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите дрова под очередную версию их 'инноваций'" Но это просто одна их многих версий.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	11. "Инициирован аудит безопасности проекта VeraCrypt "	+2 +/–
	Сообщение от Anonplus on 15-Авг-16, 15:00
	Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет увеличивать количество итераций шифрования.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	17. "Инициирован аудит безопасности проекта VeraCrypt "	–1 +/–
	Сообщение от nononoon on 15-Авг-16, 20:20
	> Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC > уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные > MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет > увеличивать количество итераций шифрования. если бы оно так не лагало как LUKS на убунте...но я чет не готов жертвовать I/O который и без того на хардах убог ради псевдо защиты, да и мне прятать там нечего.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	22. "Инициирован аудит безопасности проекта VeraCrypt "	+2 +/–
	Сообщение от Аноним (??) on 16-Авг-16, 09:16
	> да и мне прятать там нечего с этого и надо было начинать
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	12. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Анис on 15-Авг-16, 19:10
	Поэтому разработчики трукрипта бросили проект и основали компанию по аудиту кода, затем форкнули трукрипт под видом третьих лиц и даже его развивают, но собираются дропать и форкать каждый год с целью повторения аудита. Профит.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	28. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Kostya (??) on 17-Авг-16, 10:11
	В этом случае потеря писем была в переписке с самими собой. Хороший ход для отвода подозрений)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	18. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от nononoon on 15-Авг-16, 20:22
	>[оверквотинг удален] > И тут на тебе — кто-то "левый" получает за проверку твоей работы > неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно > "фиксить" и поддерживать в свое свободное время. Притом что при наличии > определленной суммы ты вполне возможно мог бы выделять проекту и больше > времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще > и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-tr... > Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да > тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите > дрова под очередную версию их 'инноваций'" > Но это просто одна их многих версий. я думаю вот это вот ближе к истине...а то что там ниже мол они под маской крокодила пишут верку это бред...скорей всего они просто забили болт на все и правильно сделали ;). нафиг нервы трепать себе этими повальными трэндами а-ля libressl vs openssl и прочих fork кастратов.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	19. "Инициирован аудит безопасности проекта VeraCrypt "	–2 +/–
	Сообщение от nononoon on 15-Авг-16, 20:26
	> Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что > их продукты не содержат изъянов, но независимый аудит кода произвести вам > не даст. Доверяй, но проверяй! размечтался, они ни одной конторе свой код не отдадут и не покажут это в опенсурсе можно взять сабж, расковырять и делай с ним что хошь.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	25. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Аноним (??) on 16-Авг-16, 15:35
	Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то тысячи специалистов просматривали их код и ничего не обнаружили. Естественно, условия были такими, что о найденном говорить нельзя.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	26. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от тоже Аноним (ok) on 16-Авг-16, 16:06
	"Поскольку об уязвимостях, грязных хаках, откровенных ошибках и говнокоде говорить нельзя, резюме будет кратким: мы ничего не обнаружили".
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	27. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Аноним (??) on 16-Авг-16, 20:29
	> Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то > тысячи специалистов просматривали их код и ничего не обнаружили. На опеннет чтоль выкладывали? )
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	20. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от nononoon on 15-Авг-16, 20:42
	> Так если им выделили денег -- пускай бы собрались в одном офисе > и сделали аудит, не было бы никаких потерь писем. думаю это > самый быстрый и безопасный вариант для такого типа продуктов. нет, им нужно нагнетать FUD страх неуверенность ложь ;)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Инициирован аудит безопасности проекта VeraCrypt "	–8 +/–
Сообщение от Аноним (??) on 15-Авг-16, 13:21
Ох и исследователи - гоняют письма через гугл, они б еще веракрипт на го предложили переписать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Инициирован аудит безопасности проекта VeraCrypt "	+3 +/–
	Сообщение от Я. Р. Ош on 15-Авг-16, 13:42
	Ты хотя бы прочитал про PGP для начала
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Инициирован аудит безопасности проекта VeraCrypt "	–1 +/–
	Сообщение от Аноним (??) on 15-Авг-16, 14:29
	ну гугл и так уже дропает аттачи с архивами, что ему мешает начать дропать письма с "непонятным" контентом?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	29. "Инициирован аудит безопасности проекта VeraCrypt"	+/–
	Сообщение от Анонимный Б. on 17-Авг-16, 14:58
	> Ох и исследователи - гоняют письма через гугл, они б еще веракрипт > на го предложили переписать А через что гонять? Через Инет может?! >:-) Они там кстати жалуются, что письма исчезли как-то совсем бесследно. Даже из их любимых (локальных?) так сказать папок "отправленных". Спрашивается, не следует считать, что они являются представителями разных сексуальных ориентаций? И если нет, то что это значит??
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Инициирован аудит безопасности проекта VeraCrypt "	+1 +/–
Сообщение от pavlikvk on 15-Авг-16, 13:58
Опять аудит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
	Сообщение от Аноним (??) on 15-Авг-16, 20:10
	Наш независимый аудит - самый независимый аудит в мире!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Инициирован аудит безопасности проекта VeraCrypt "	–2 +/–
Сообщение от nononoon on 15-Авг-16, 20:15
ну ну бабки от DuckDuckGo и VikingVPN для этих двух это чистой воды пиар... так а че они денег на хлебушек закинули этому иксу из верыкрипта и все довольны...мыла там у них пропадают, та кому они нафиг нужны? 2 раза в жизни пользовался true crypt, один раз LUKS на убунту...и ни разу не кончил ;) не понравилось...фу...ну их...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Инициирован аудит безопасности проекта VeraCrypt "	+/–
Сообщение от Аноним (??) on 16-Авг-16, 00:33
> VeraCrypt > Codeplex
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Инициирован аудит безопасности проекта VeraCrypt "	+2 +/–
	Сообщение от Аноним (??) on 16-Авг-16, 09:19
	> Codeplex это единственная претензия по существу
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Инициирован аудит безопасности проекта VeraCrypt "	+1 +/–
Сообщение от Аноним (??) on 16-Авг-16, 11:22
ну логично что у них письма пролпадали ) они-ж гугльмэйлом пользоваться пытались а се - крупнейший подрядчик ЦРУ(по добыванию, перебаотке, анализированию и хранению и доставке развединформации и оперативному обеспечению операций) и крупнейший фронт энд для тайных операций в том числе(революции-малюции итп :).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема