首页 > 安全 > 网络安全 >

4封邮件神秘失踪,谁在利用磁盘加密软件VeraCrypt监视研究人员?

2016-08-29

加密软件TrueCrypt停止开发之后,VeraCrypt就一跃成为最受欢迎的开源磁盘加密软件,尤其受到政治活动家、记者和隐私保密人员的欢迎。4封邮件神秘失踪,谁在利用磁盘加密软件VeraCrypt监视研究人员?

加密软件TrueCrypt停止开发之后,VeraCrypt就一跃成为最受欢迎的开源磁盘加密软件,尤其受到政治活动家、记者和隐私保密人员的欢迎。

关于VeraCrypt

VeraCrypt 是TrueCrypt的分支,于2013年6月发布,法国安全顾问MounirIdrassi是项目的主要开发者。VeraCryp下载地址: https://veracrypt.codeplex.com/

由于VeraCrypt的大受欢迎,OSTIF(开源技术改进基金)的安全研究员在本月初(2016年8月)宣布将独立审查VeraCrypt。

八月初,OSTIC宣布利用DuckDuckGo(互联网搜索引擎)和VikingVPN提供的资金,雇佣来自QuarksLab的漏洞研究人员负责此次审查,旨在从VeraCrypt代码中寻找 0 day 漏洞和其他安全漏洞。

PGP加密通信被拦截

现在,出现了令人困扰的大问题:随着安全审计的进行,8月13日,OSTIF在其博客中证实,怀疑存在第三方截取了OSTIF,VeraCrypt 团队以及QuarksLab之间的邮件。随后,于今日,OSTIF宣布其关于VeraCrypt的安全审查出了意外,QuarkLab的PGP加密通信协议被秘密拦截了。

OSTIF 发言人表示:

“基于众多独立送信者的反馈,目前我们共有4封邮件消失无踪。不仅没收到邮件,在原本的已发送文件夹里也毫无痕迹。在OSTIF的研究中,这些消失无踪的邮件出现在Gmail的谷歌应用程序的版本中。”

VeraCrypt安全审查的信息保密级别可谓相当高,OSTIF要求QuarksLab研究团队使用重重加密的通讯方式,将一切关于审查的结果直接发送给VeraCrypt的主要人员。

这一严格的要求在项目开始之初就已被提出,以防0day漏洞落入不法之徒手中。因为一个VeraCrypt零日漏洞不仅对于国家是非常有价值的,对于零日漏洞市场亦如是。如果VeraCrypt零日漏洞流入黑市,任何一个网络安全监控厂商就可以从中获取任何他们感兴趣的信息。

安全审计小组的研究人员希望,在向VeraCrypt开发者上报发现的所有漏洞并进行修补之后,能在九月中旬对外公布他们的调查成果。在此之前,所有VeraCrypt审查项目的参与者都被要求保密。

然而4封PGP加密的电子邮件突然消失,每一封都由参与此项目的人员发送。而此次事件也引起大家对保密信息泄露的担忧,包括VeraCrypt中发现的漏洞。

OSTIF怀疑一些外部人员意图窃听或干扰VeraCrypt安全审查过程。OSTIF总结道:

“如果国家对于我们在做的事情感兴趣,我们一定在做一些正确的事。”

现在,OSTIF已经使用另一种替代(未公布)的加密通讯频道,进一步推进VeraCrypt审查项目。

相关文章
最新文章
热点推荐