¿TrueCrypt es entonces seguro o no? Liberado el primer informe de #IsTrueCryptAuditedYet

Si os acordáis hace unos meses os hablamos de un proyecto (#IsTrueCryptAuditedYet) que buscaba financiación colectiva para auditar el código de Truecrypt y verificar que no existe ningún backdoor o código malintencionado que pudiera comprometer la seguridad de los datos de los usuarios.

El 21 de enero de 2014 se anunció que iSec Research Lab ayudaría a revisar algunas partes de la versión 7.1a del popular software de cifrado. Esto incluía la revisión del bootloader y del driver de kernel de Windows en busca de posibles backdoors del sistema y otros fallos de seguridad.

Básicamente llevaron a cabo una revisión del código disponible públicamente (http://www.truecrypt.org/downloads2) e hicieron algo de fuzzing en diversos interfaces.

El 14 de abril se liberó el informe cuyos resultados muestran un total de 11 vulnerabilidades (4 medias, 4 bajas y 3 informativas):

1. Weak Volume Header key derivation algorithm
2. Sensitive information might be paged out from kernel stacks
3. Multiple issues in the bootloader decompressor
4. Windows kernel driver uses memset() to clear sensitive data
5. TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure
6. IOCTL_DISK_VERIFY integer overflow
7. TC_IOCTL_OPEN_TEST multiple issues
8. MainThreadProc() integer overflow
9. MountVolume() device check bypass
10. GetWipePassCount() / WipeBuffer() can cause BSOD
11. EncryptDataUnits() lacks error handling

Eso sí, iSEC no encontró evidencia de backdoors o código malicioso intencionado en ninguna parte. Las vulnerabilidades eran debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

Ahora a esperar a la II fase de criptoanálisis...

3 comentarios :

  1. Un alivio q a priori parece q no hay ninguna puerta trasera..

    ResponderEliminar
  2. Leed esta notica del SANS:

    http://isc.sans.org/forums/diary/True+Crypt+Compromised+Removed+/18177

    ResponderEliminar
  3. Mas info:

    http://blog.segu-info.com.ar/2014/05/desaparecio-truecrypt-mas-preguntas-que.html

    ResponderEliminar