Publicados los resultados de la auditoría a VeraCrypt
Por otro lado, ya sabéis que una vez discontinuado Truecrypt (2014) quizás la mejor o una de las mejores alternativas es el fork Veracrypt de IDRIX, desde el 28 de junio de 2015 bajo licencia Apache License 2.0.
Como no podía ser de otra manera y de forma similar a como se hizo con Truecrypt, la auditoría se hizo casi obligatoria para disipar cualquier suspicacia. Y para ello QuarksLab inició hace 2 meses una revisión de la versión 1.18 de Veracrypt y sus bootloaders que finalizó ayer con los siguientes resultados:
- 8 vulnerabilidades críticas
- 3 vulnerabilidades medias
- 15 vulnerabilidades bajas o informativas / preocupaciones
- Eliminación de la opción del cifrado GOST 28147-89: su implementación no es segura. Permanece la funcionalidad para descifrar volúmenes que usan este cifrado pero no se podrá volver a crear volúmenes nuevos con este cifrado.
- Eliminación de XZip y XUnzip: que han sido reemplazados por librerías zip más modernas y seguras (libzip).
- Corrección de la vulnerabilidad descrita en la sección 5.1 (la longitud de la password puede definirse en el bootloader clásico).
- Corrección de la vulnerabilidad descrita en la sección 7.1 en el nuevo bootloader. (keystrokes no son borrados después de la autenticación)
- Corrección de la vulnerabilidad descrita en la sección 7.2 en el nuevo bootloader. (los datos sensibles no son borrados correctamente)
- Corrección de la vulnerabilidad descrita en la sección 7.3 en el nuevo bootloader. (corrupción de memoria)
- Corrección de la vulnerabilidad descrita en la sección 7.4 en el nuevo bootloader. (null pointer, dead code, datos inconsistentes leídos por ConfigRead, puntero erróneo en EFIGetHandles, dereferencia de puntero nulo en la librería gráfica.)
Fuente: Hackplayers | OSTIF
Es VeraCrypt en el titulo, saludos.
ResponderBorrar