جاسوسی از محققان پروژه ممیزی امنیتی VeraCrypt

OSTIF معتقد است که تعدادی از افراد خارج از پروژه ممیزی امنیتی VeraCrypt در تلاش برای استراق سمع و یا ایجاد اختلال در فرایند ممیزی هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،OSTIF روز شنبه، ۱۴ آگوست، اعلام کرد که مکالماتش با QuarkLabs بر سر ممیزی امنیتی VeraCrypt، اگرچه با نرم‌افزار PGP رمزنگاری شده‌بودند اما به‌نحو مرموزی رهگیری شده‌اند. 

آنها می‌گویند: «چهار مورد از پیام‌های ایمیل رد و بدل شده بین ما که از چهار فرستنده مختلف ارسال شده بودند بدون برجای گذاشتن ردی ناپدید شده‌اند. نه‌تنها ایمیل‌ها به مقصد نرسیده‌اند بلکه حتی ردی هم از خود در پوشه «ارسال شده» به جای نگذاشته‌اند. در حالی خبری از این پیام‌ها نیست که ما از نسخه کاری Google Apps سرویس Gmail استفاده می‌کنیم.»

اطلاعات مربوط به ممیزی امنیتی VeraCrypt آن‌قدر محرمانه است که OSTIF از تیم تحقیق QuarksLab خواسته است هرگونه نتیجه به‌دست آمده را مستقیماً برای توسعه‌دهنده ارشد VeraCrypt آن هم از طریق یک ارتباط رمزنگاری شده ارسال کنند. این دستورالعمل سختگیرانه آن هم در ابتدای پروژه از آن جهت است که آسیب‌پذیری‌های zero-day به دست تبهکاران و هکرهای سایبری نیفتد.

تیم محققان فعال در این ممیزی امیدوارند که بعد از کشف همه آسیب‌پذیری‌های احتمالی، گزارش آن را تا اوسط سپتامبر برای وصله به اطلاع VeraCrypt برسانند. البته تا آن زمان از همه شرکت‌کنندگان در این پروژه خواسته شده‌است اصل محرمانگی را به‌خوبی رعایت کنند. با این حال ناپدید شدن ناگهانی ۴ پیام ایمیل، نگرانی هایی را در مورد احتمال نشت داده‌های محرمانه از جمله نقاط ضعف VeraCrypt به‌وجود آورده است. 

بعد از آنکه TrueCrypt به‌طرز مرموزی از ادامه فعالیت خود دست کشید، VeraCrypt به معروف‌ترین نرم‌افزار منبع‌باز رمزنگاری دیسک تبدیل شد که فعالان، اهالی مطبوعات و افراد دارای دغدغه حریم خصوصی از آن استفاده می‌کنند.

به‌دلیل محبوبیت و استقبال بی‌نظیر از VeraCrypt، محققان امنیتی OSTIF (صندوق به‌سازی فناوری مبنع‌باز) در آغاز این ماه از موافقت خود برای ممیزی مستقل از VeraCrypt خبر دادند.

برای سرپرستی این ممیزی، OSTIF با استفاده از بودجه اهدایی از سوی DuckDuckGo و VikingVPN محققانی از شرکت QuarksLab را استخدام کرد و از آنها خواست به‌دنبال آسیب‌پذیری‌های zero-day و سایر حفره‌های امنیتی در کد VeraCrypt بگردند.

OSTIF معتقد است که تعدادی از افراد خارج از این پروژه در تلاش برای استراق سمع و یا ایجاد اختلال در فرایند ممیزی هستند.

برای پیشگیری از هرگونه رخنه و یا لو رفتن اطلاعات و برای پیش بردن پروژه، OSTIF فرایند ارتباطی رمزنگاری شده دیگری را جایگزین روش فعلی کرده‌است که البته سری است.