VeraCrypt | Falhas críticas são encontradas em app open-source de criptografia
19 de outubro de 2016Muitas falhas foram encontradas por auditoria no bootloader UEFI do VeraCrypt
Novo update corrige maior parte dos problemas.
Uma nova auditoria de segurança encontrou vulnerabilidades críticas no VeraCrypt, um programa open-source de criptografia completa que é o sucessor direto do muito popular e agora morto TrueCrypt.
Os usuários são encorajados a fazer um upgrade para o VeraCrypt 1.19, que foi liberado nesta semana e inclui patches para a maioria das falhas. Alguns problemas continuam sem solução porque corrigi-los exige mudanças complexas no código e em alguns casos afetaria a compatibilidade reversa com o TrueCrypt.
No entanto, o impacto da maioria desses problemas podem ser evitados ao seguir as práticas seguras mencionadas na documentação ao configurar contêineres criptografados e usando o software.
A auditoria, que foi realizada pela empresa francesa de segurança Quarkslab e patrocinada pelo Open Source Technology Improvement Fund (OSTIF), encontrou oito vulnerabilidades críticas, três de risco médico e 15 falhas de baixo impacto. Algumas delas são problemas sem patches descobertos anteriormente em uma auditoria anterior da TrueCrypt.
Muitas falhas estavam localizadas no bootloader do VeraCrypt para computadores e sistemas que usam a nova UEFI (Unified Extensible Firmware Interface) — a BIOS moderna. O TrueCrypt, que serve como base para o VeraCrypt, nunca teve suporte para a UEFI, forçando os usuários a desabilitar o BOOT da UEFI caso queiram criptografar a partição do sistema.
O bootloader do VeraCrypt compatível com UEFI – o primeiro para programas open-source de criptografia no Windows – foi lançado em agosto e é maior adição ao código base do TrueCrypt feita pelo desenvolvedor chefe do VeraCrypt, Mounir Idrassi. Isso o torna muito menos maduro do que o restante do código, por isso é compreensível que possa ter mais falhas.
Outra mudança feita após a auditoria foi a remoção do padrão de criptografia Russian GOST 28147-89, cuja implementação foi classificada como insegura pelos auditores.
Fonte: http://idgnow.com.br