Discussioni sulla computer security
 

VULN: TrueCrypt driver bugs

ObiWan 30 Set 2015 08:52
Se per caso usate TC per conservare dati crittati, credo sia il caso di
valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
altro bug in TC che permette di fare privilege escalation e prendere il
controllo del sistema; per maggiori info sul bug

http://www.itworld.com/article/2987438/newly-found-truecrypt-flaw-allows-full-system-compromise.html

per info su veracrypt e per il *******
https://en.wikipedia.org/wiki/VeraCrypt

https://veracrypt.codeplex.com/

da notare che l'ultima versione di veracrypt (che dopotutto è un fork
di TC) include le patches necessarie a risolvere il problema
edevils 30 Set 2015 10:40
On 30/09/2015 08:52, ObiWan wrote:
>
> Se per caso usate TC per conservare dati crittati, credo sia il caso di
> valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
> altro bug in TC che permette di fare privilege escalation e prendere il
> controllo del sistema; per maggiori info sul bug
>
>
http://www.itworld.com/article/2987438/newly-found-truecrypt-flaw-allows-full-system-compromise.html

Anche se l'escalation dei privilegi è una minaccia ulteriore, una volta
che gli attaccanti hanno già accesso al tuo user account in ogni caso
sono già signori e padroni dei tuoi dati, anche a prescindere dalla
vulnerabilità scoperta, correggetemi se sbaglio.

> per info su veracrypt e per il ******* >
> https://en.wikipedia.org/wiki/VeraCrypt
>
> https://veracrypt.codeplex.com/
>
> da notare che l'ultima versione di veracrypt (che dopotutto è un fork
> di TC) include le patches necessarie a risolvere il problema


Ciò detto, forse hai ragione che è ormai giunta l'ora di provare VC :)
Ironside 30 Set 2015 10:50
Il 30/09/15 08:52, ObiWan ha scritto:
>
> Se per caso usate TC per conservare dati crittati, credo sia il caso di
> valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
> altro bug in TC che permette di fare privilege escalation e prendere il
> controllo del sistema; per maggiori info sul bug

scusa la domanda da novellino, cio' comunque non inficia la riservatezza
dei dati crittati, giusto?
Cioe' se mi rubano il portatile con un container truecrypt criptato,
quel bug e' irrilevante alla fine del decriptaggio dei miei dati?
edevils 30 Set 2015 11:21
On 30/09/2015 10:50, Ironside wrote:
> Il 30/09/15 08:52, ObiWan ha scritto:
>>
>> Se per caso usate TC per conservare dati crittati, credo sia il caso di
>> valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
>> altro bug in TC che permette di fare privilege escalation e prendere il
>> controllo del sistema; per maggiori info sul bug
>
> scusa la domanda da novellino, cio' comunque non inficia la riservatezza
> dei dati crittati, giusto?
> Cioe' se mi rubano il portatile con un container truecrypt criptato,
> quel bug e' irrilevante alla fine del decriptaggio dei miei dati?

Se l'attaccante ha già accesso al tuo account utente, cosa gli impedisce
di installare un bel keylogger per carpire le password che usi in TC?

Grazie alla vulnerabilità scoperta, potrà installare il keylogger a
livello di sistema, quindi anche per altri eventuali utenti della stessa
macchina. Se ben capisco.


"The flaws, which were apparently missed in an earlier independent audit
of the TrueCrypt source code, could allow attackers to obtain elevated
privileges on a system if they have access to a limited user account"
edevils 30 Set 2015 23:02
On 30/09/2015 10:40, edevils wrote:
>
> Ciò detto, forse hai ragione che è ormai giunta l'ora di provare VC :)

E però, sarei curioso di sapere se Gibson la pensa ancora così:

...snip...
Steve: I guess my sense is, I mean, I'm sure VeraCrypt is fine. But
TrueCrypt is bulletproof. And my recommendation would be, if it works -
but you know me. I'm still sitting - I'm sitting in front of XP, Leo, so
I'm really - I'm a bit of a skewed sample. But my sense is, if it works,
use that one. It's been really just pounded to death by hundreds of
thousands of people, that is, the original TrueCrypt 7.1a. But at some
point it won't work for you because your system will no longer be
compatible, in which case you'll want to go explore the forks of
TrueCrypt. That would be my strategy, I think. There's nothing that they
have done that makes theirs superior to what TrueCrypt was because there
was just nothing wrong with it the way it was.
...

This is Security Now! with Steve Gibson, Episode 504, recorded Tuesday,
April 21st, 2015:
https://www.grc.com/sn/sn-504.htm
ObiWan 1 Ott 2015 15:17
:: On Wed, 30 Sep 2015 23:02:06 +0200
:: (it.comp.sicurezza.varie)
:: <muhikc$det$1@speranza.aioe.org>
:: edevils <use_replyto_address@devils.com> wrote:

> On 30/09/2015 10:40, edevils wrote:
>>
>> Ciò detto, forse hai ragione che è ormai giunta l'ora di provare
>> VC :)

> E però, sarei curioso di sapere se Gibson la pensa ancora così:

puoi chiederglielo, di solito risponde.
edevils 1 Ott 2015 20:55
On 01/10/2015 15:17, ObiWan wrote:
> :: On Wed, 30 Sep 2015 23:02:06 +0200
> :: (it.comp.sicurezza.varie)
> :: <muhikc$det$1@speranza.aioe.org>
> :: edevils <use_replyto_address@devils.com> wrote:
>
>> On 30/09/2015 10:40, edevils wrote:
>>>
>>> Ciò detto, forse hai ragione che è ormai giunta l'ora di provare
>>> VC :)
>
>> E però, sarei curioso di sapere se Gibson la pensa ancora così:
>
> puoi chiederglielo, di solito risponde.

OK.

Comunque il clamore sulla vulnerabilità di TC mi pare un tantino
esagerato, visto che si parla di possibile escalation in un computer
GIA' compromesso. Come dire che si allarga il buco in un secchio... già
*******

Però grazie della segnalazione, e VC lo provo :)
Ironside 5 Ott 2015 11:26
Il 30/09/15 11.21, edevils ha scritto:
> On 30/09/2015 10:50, Ironside wrote:
>> Il 30/09/15 08:52, ObiWan ha scritto:
>>>
>>> Se per caso usate TC per conservare dati crittati, credo sia il caso di
>>> valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
>>> altro bug in TC che permette di fare privilege escalation e prendere il
>>> controllo del sistema; per maggiori info sul bug
>>
>> scusa la domanda da novellino, cio' comunque non inficia la riservatezza
>> dei dati crittati, giusto?
>> Cioe' se mi rubano il portatile con un container truecrypt criptato,
>> quel bug e' irrilevante alla fine del decriptaggio dei miei dati?
>
> Se l'attaccante ha già accesso al tuo account utente, cosa gli impedisce
> di installare un bel keylogger per carpire le password che usi in TC?

"se ha l'accesso al mio account utente"

>
> Grazie alla vulnerabilità scoperta, potrà installare il keylogger a
> livello di sistema, quindi anche per altri eventuali utenti della stessa
> macchina. Se ben capisco.

Il che per me è un livello di paranoia superiore alla preziosità delle
informazioni che possiedo. Chi è in grado da remoto ad accedere al mio
account utente non ruba le mie informazioni, si rivolge a vittime piu'
importanti.
Il mio problema è solo se mi rubano il portatile dall'auto e dentro
trovano le mie varie email con password varie o documenti personali che
NON devono poter decrittare. Tutto qui.
edevils 6 Ott 2015 10:47
On 05/10/2015 11:26, Ironside wrote:
> Il 30/09/15 11.21, edevils ha scritto:
>> On 30/09/2015 10:50, Ironside wrote:
>>> Il 30/09/15 08:52, ObiWan ha scritto:
>>>>
>>>> Se per caso usate TC per conservare dati crittati, credo sia il caso di
>>>> valutare l'idea di migrare a "veracrypt" dato che è stato scoperto un
>>>> altro bug in TC che permette di fare privilege escalation e prendere il
>>>> controllo del sistema; per maggiori info sul bug
>>>
>>> scusa la domanda da novellino, cio' comunque non inficia la riservatezza
>>> dei dati crittati, giusto?
>>> Cioe' se mi rubano il portatile con un container truecrypt criptato,
>>> quel bug e' irrilevante alla fine del decriptaggio dei miei dati?
>>
>> Se l'attaccante ha già accesso al tuo account utente, cosa gli impedisce
>> di installare un bel keylogger per carpire le password che usi in TC?
>
> "se ha l'accesso al mio account utente"

E' la condizione ipotizzata nell'articolo affinché qualcuno possa
sfruttare la vulnerabilità in questione.


>> Grazie alla vulnerabilità scoperta, potrà installare il keylogger a
>> livello di sistema, quindi anche per altri eventuali utenti della stessa
>> macchina. Se ben capisco.
>
> Il che per me è un livello di paranoia superiore alla preziosità delle
> informazioni che possiedo. Chi è in grado da remoto ad accedere al mio
> account utente non ruba le mie informazioni, si rivolge a vittime piu'
> importanti.

Probabile, ma sempre meglio non rischiare. :)

> Il mio problema è solo se mi rubano il portatile dall'auto e dentro
> trovano le mie varie email con password varie o documenti personali che
> NON devono poter decrittare. Tutto qui.


In quel direi che puoi stare relativamente tranquillo, AFAIK.
Bernardo Rossi 6 Ott 2015 10:51
On Mon, 05 Oct 2015 11:26:01 +0200, Ironside <ironside@invalid.it>
wrote:

>Il che per me è un livello di paranoia superiore alla preziosità delle
>informazioni che possiedo. Chi è in grado da remoto ad accedere al mio
>account utente non ruba le mie informazioni, si rivolge a vittime piu'
>importanti.

Mi pare *****ogo a quella che lascia la borsa in bella vista sul sedile
dell'auto "tanto non c'e' nulla di interessante dentro".
Pero' questo il ladro non lo sa a priori, e quindi il finestrino
spaccato ci stara' comunque.
E poi scoprira' che dentro non c'e' nulla, e magari si arrabbia pure.

--

Byebye from Verona, Italy

Bernardo Rossi
sunoz 7 Ott 2015 23:27
Ironside <ironside@invalid.it> wrote:
> Chi è in grado da remoto ad accedere al mio
> account utente non ruba le mie informazioni, si rivolge a vittime piu'
> importanti.

Chi è in grado di accedere AD UN ACCOUNT UTENTE, se ne sbatte se sei o no
importante. Ci prova e basta!
E se quel che trova gli interessa, lo usa e lo abusa a suo insindacabile
giudizio.
Tutto fa brodo!
La tua mail? Ottima per spam, finchè dura.
Vediamo i contatti... Bene aggiungiamo alla lista dei sicuri.
Hai un conto in banca ? In qualche recondito ******* ci hai messo la password ?
MMMHHH! Interessante!

No, credimi, chi va a pesca a strascico nella rete in cerca di pesci, non gli
interessa se sei un vip o una ***** (scusa, non offenderti).
Pesca e basta.

Ed è proprio tra quelli che si sentono sicuri "tanto non ho nulla di
interessante"
che la pesca frutta meglio, perchè non sono paranoici, non controllano...

Ciao.

--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
Ironside 8 Ott 2015 10:22
Il 07/10/15 23.27, sunoz ha scritto:

>
> No, credimi, chi va a pesca a strascico nella rete in cerca di pesci, non gli
> interessa se sei un vip o una ***** (scusa, non offenderti).
> Pesca e basta.
>
> Ed è proprio tra quelli che si sentono sicuri "tanto non ho nulla di
interessante"
> che la pesca frutta meglio, perchè non sono paranoici, non controllano...
>

Eh allora sai prima di truecrypt quante vulnerabilità ci sono nei pc
della gente....
sunoz 8 Ott 2015 13:36
Ironside <ironside@invalid.it> wrote:
> Eh allora sai prima di truecrypt quante vulnerabilità ci sono nei pc
> della gente....

Vulnerabilità conosciute e... sconosciute (al grande pubblico). :)
Però...
"has recently discovered two vulnerabilities in the driver that
TrueCrypt installs on Windows systems"
^^^^^^^^^^^^^^^
Gli altri sistemi direi che siano presumibilmente sicuri...


--
Una password si puo' cambiare.
Un dato biometrico e' rubato per sempre!
Medita!
edevils 8 Ott 2015 13:50
On 08/10/2015 13:36, sunoz wrote:
> Ironside <ironside@invalid.it> wrote:
>> Eh allora sai prima di truecrypt quante vulnerabilità ci sono nei pc
>> della gente....
>
> Vulnerabilità conosciute e... sconosciute (al grande pubblico). :)
> Però...
> "has recently discovered two vulnerabilities in the driver that
> TrueCrypt installs on Windows systems"
> ^^^^^^^^^^^^^^^
> Gli altri sistemi direi che siano presumibilmente sicuri...


Ma in Linux (a differenza di Windows che almeno prova a isolare la
finestra UAC), una volta che l'attaccante avesse accesso user, potrebbe
comunque carpire la password root, se è ancora vero quanto si legge in

http://theinvisiblethings.blogspot.it/2011/04/linux-security-circus-on-gui-isolation.html
Ironside 10 Ott 2015 20:18
Il 08/10/15 13.50, edevils ha scritto:
> On 08/10/2015 13:36, sunoz wrote:
>> Ironside <ironside@invalid.it> wrote:
>>> Eh allora sai prima di truecrypt quante vulnerabilità ci sono nei pc
>>> della gente....
>>
>> Vulnerabilità conosciute e... sconosciute (al grande pubblico). :)
>> Però...
>> "has recently discovered two vulnerabilities in the driver that
>> TrueCrypt installs on Windows systems"
>> ^^^^^^^^^^^^^^^
>> Gli altri sistemi direi che siano presumibilmente sicuri...
>
>
> Ma in Linux (a differenza di Windows che almeno prova a isolare la
> finestra UAC), una volta che l'attaccante avesse accesso user, potrebbe
> comunque carpire la password root, se è ancora vero quanto si legge in
>
>
http://theinvisiblethings.blogspot.it/2011/04/linux-security-circus-on-gui-isolation.html

Se ho capito bene:
il bug di truecrypt permette ad un *****er che ha compromesso un account
utente di diventare root, è così?
Nel mio caso, nel mio mac (a proposito, il bug funziona anche su osx?) i
miei files da rubare sono sotto il mio utente, quindi una volta che un
*****er da remoto accede con accesso come mio utente sono già spacciato.
Se diventa root non ruba di piu' di quanto non possa rubare con la mia
utenza.

Per rubarmi la roba criptata poi dipende: se mi entra nel computer
quando il ******* container è montato, se la ruba direttamente senza dover
usare truecrypt, se il ******* container non è montato, ce lo voglio vedere
a scaricarsi un ******* da 10 gb dal mio computer
edevils 10 Ott 2015 21:25
On 10/10/2015 20:18, Ironside wrote:
> Il 08/10/15 13.50, edevils ha scritto:
>> On 08/10/2015 13:36, sunoz wrote:
>>> Ironside <ironside@invalid.it> wrote:
>>>> Eh allora sai prima di truecrypt quante vulnerabilità ci sono nei pc
>>>> della gente....
>>>
>>> Vulnerabilità conosciute e... sconosciute (al grande pubblico). :)
>>> Però...
>>> "has recently discovered two vulnerabilities in the driver that
>>> TrueCrypt installs on Windows systems"
>>> ^^^^^^^^^^^^^^^
>>> Gli altri sistemi direi che siano presumibilmente sicuri...
>>
>>
>> Ma in Linux (a differenza di Windows che almeno prova a isolare la
>> finestra UAC), una volta che l'attaccante avesse accesso user, potrebbe
>> comunque carpire la password root, se è ancora vero quanto si legge in
>>
>>
http://theinvisiblethings.blogspot.it/2011/04/linux-security-circus-on-gui-isolation.html
>>
>
> Se ho capito bene:
> il bug di truecrypt permette ad un *****er che ha compromesso un account
> utente di diventare root, è così?

Così è scritto nell'articolo di itworld

"could allow attackers to obtain elevated privileges on a system if they
have access to a limited user account."

> Nel mio caso, nel mio mac (a proposito, il bug funziona anche su osx?)

L'articolo parla solo di Win.

> i
> miei files da rubare sono sotto il mio utente, quindi una volta che un
> *****er da remoto accede con accesso come mio utente sono già spacciato.

Infatti, quello che dicevo anch'io.

> Se diventa root non ruba di piu' di quanto non possa rubare con la mia
> utenza.
>
> Per rubarmi la roba criptata poi dipende: se mi entra nel computer
> quando il ******* container è montato, se la ruba direttamente senza dover
> usare truecrypt, se il ******* container non è montato, ce lo voglio vedere
> a scaricarsi un ******* da 10 gb dal mio computer
edevils 10 Ott 2015 23:00
On 30/09/2015 11:21, edevils wrote:
...
> Se l'attaccante ha già accesso al tuo account utente, cosa gli impedisce
> di installare un bel keylogger per carpire le password che usi in TC?
...
Fatto la prova, installato tspion come utente (senza che fosse richiesta
la password di amministratore), per simulare un'eventuale compromissione
dell'account utente.

Il programmillo spione logga tutto quello che scrivo dall'account
utente, però, giustamente, non logga quello che scrivo come admin
(finestra UAC, programmi eseguiti come amministratore...).

Di conseguenza, per quanto riguarda le password che inserisco in TC, le
logga se TC è installato (quindi utilizzabile come user) ma *non* le
logga se TC non è installato e usato come portable app da chiavetta.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sulla computer security | Tutti i gruppi | it.comp.sicurezza.varie | Notizie e discussioni sicurezza varie | Sicurezza varie Mobile | Servizio di consultazione news.