OSTIF معتقد است که تعدادی از افراد خارج از پروژه ممیزی امنیتی VeraCrypt در تلاش برای استراق سمع و یا ایجاد اختلال در فرایند ممیزی هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،OSTIF روز شنبه، ۱۴ آگوست، اعلام کرد که مکالماتش با QuarkLabs بر سر ممیزی امنیتی VeraCrypt، اگرچه با نرمافزار PGP رمزنگاری شدهبودند اما بهنحو مرموزی رهگیری شدهاند.
آنها میگویند: «چهار مورد از پیامهای ایمیل رد و بدل شده بین ما که از چهار فرستنده مختلف ارسال شده بودند بدون برجای گذاشتن ردی ناپدید شدهاند. نهتنها ایمیلها به مقصد نرسیدهاند بلکه حتی ردی هم از خود در پوشه «ارسال شده» به جای نگذاشتهاند. در حالی خبری از این پیامها نیست که ما از نسخه کاری Google Apps سرویس Gmail استفاده میکنیم.»
اطلاعات مربوط به ممیزی امنیتی VeraCrypt آنقدر محرمانه است که OSTIF از تیم تحقیق QuarksLab خواسته است هرگونه نتیجه بهدست آمده را مستقیماً برای توسعهدهنده ارشد VeraCrypt آن هم از طریق یک ارتباط رمزنگاری شده ارسال کنند. این دستورالعمل سختگیرانه آن هم در ابتدای پروژه از آن جهت است که آسیبپذیریهای zero-day به دست تبهکاران و هکرهای سایبری نیفتد.
تیم محققان فعال در این ممیزی امیدوارند که بعد از کشف همه آسیبپذیریهای احتمالی، گزارش آن را تا اوسط سپتامبر برای وصله به اطلاع VeraCrypt برسانند. البته تا آن زمان از همه شرکتکنندگان در این پروژه خواسته شدهاست اصل محرمانگی را بهخوبی رعایت کنند. با این حال ناپدید شدن ناگهانی ۴ پیام ایمیل، نگرانی هایی را در مورد احتمال نشت دادههای محرمانه از جمله نقاط ضعف VeraCrypt بهوجود آورده است.
بعد از آنکه TrueCrypt بهطرز مرموزی از ادامه فعالیت خود دست کشید، VeraCrypt به معروفترین نرمافزار منبعباز رمزنگاری دیسک تبدیل شد که فعالان، اهالی مطبوعات و افراد دارای دغدغه حریم خصوصی از آن استفاده میکنند.
بهدلیل محبوبیت و استقبال بینظیر از VeraCrypt، محققان امنیتی OSTIF (صندوق بهسازی فناوری مبنعباز) در آغاز این ماه از موافقت خود برای ممیزی مستقل از VeraCrypt خبر دادند.
برای سرپرستی این ممیزی، OSTIF با استفاده از بودجه اهدایی از سوی DuckDuckGo و VikingVPN محققانی از شرکت QuarksLab را استخدام کرد و از آنها خواست بهدنبال آسیبپذیریهای zero-day و سایر حفرههای امنیتی در کد VeraCrypt بگردند.
OSTIF معتقد است که تعدادی از افراد خارج از این پروژه در تلاش برای استراق سمع و یا ایجاد اختلال در فرایند ممیزی هستند.
برای پیشگیری از هرگونه رخنه و یا لو رفتن اطلاعات و برای پیش بردن پروژه، OSTIF فرایند ارتباطی رمزنگاری شده دیگری را جایگزین روش فعلی کردهاست که البته سری است.