Resultados de la auditoría realizada a VeraCrypt

Mucho se especuló acerca de si Truecrypt tenía bugs intencionados o puertas traseras que permitieran a un oscuro tercero (aka NSA) acceder a cualquier contenedor cifrado. Para comprobarlo se llevó a cabo una campaña de crowdfunding para realizar una auditoría exhaustiva del popular software de código abierto y el resultado del proyecto llamado Open Crypto Alliance fueron algunos fallos no demasiados serios y, sobretodo, nada plausible en cuanto a malintencionado.

Por otro lado, ya sabéis que una vez discontinuado Truecrypt (2014) quizás la mejor o una de las mejores alternativas es el fork Veracrypt de IDRIX, desde el 28 de junio de 2015 bajo licencia Apache License 2.0.

Como no podía ser de otra manera y de forma similar a como se hizo con Truecrypt, la auditoría se hizo casi obligatoria para disipar cualquier suspicacia. Y para ello QuarksLab inició hace 2 meses una revisión de la versión 1.18 de Veracrypt y sus bootloaders que finalizó ayer con los siguientes resultados:

- 8 vulnerabilidades críticas
- 3 vulnerabilidades medias
- 15 vulnerabilidades bajas o informativas / preocupaciones

En el momento de la publicación de estas vulnerabilidades VeraCrypt ha lanzado la versión 1.19 que corrige la mayoría de ellas, y decimos la mayoría porque algunas todavía no he han corregido completamente debido a la complejidad de la implementación del parche correspondiente, si bien se presentan en la documentación los workarounds temporales correspondientes. Las correcciones son:

- Eliminación de la opción del cifrado GOST 28147-89: su implementación no es segura. Permanece la funcionalidad para descifrar volúmenes que usan este cifrado pero no se podrá volver a crear volúmenes nuevos con este cifrado.
- Eliminación de XZip y XUnzip: que han sido reemplazados por librerías zip más modernas y seguras (libzip).
- Corrección de la vulnerabilidad descrita en la sección 5.1 (la longitud de la password puede definirse en el bootloader clásico).
- Corrección de la vulnerabilidad descrita en la sección 7.1 en el nuevo bootloader. (keystrokes no son borrados después de la autenticación)
- Corrección de la vulnerabilidad descrita en la sección 7.2 en el nuevo bootloader. (los datos sensibles no son borrados correctamente)
- Corrección de la vulnerabilidad descrita en la sección 7.3 en el nuevo bootloader. (corrupción de memoria)
- Corrección de la vulnerabilidad descrita en la sección 7.4 en el nuevo bootloader. (null pointer, dead code, datos inconsistentes leídos por ConfigRead, puntero erróneo en EFIGetHandles, dereferencia de puntero nulo en la librería gráfica.)

El resultado es que VeraCrypt es mucho más seguro después de esta auditoría, así que os recomendamos actualizar a la versión 1.19 lo antes posible: https://sourceforge.net/projects/veracrypt/

Fuente: https://ostif.org/the-veracrypt-audit-results/

Comentarios