Errores de seguridad críticos de TrueCrypt finalmente encontrados

Cifrar

Durante varios años, TrueCrypt fue el estándar de oro en las suites de descifrado de discos de PC. Eso cambió hace casi 18 meses, cuando las personas que desarrollaron el software abandonaron abruptamente. Los desarrolladores declararon que el software existente “no era seguro ya que puede contener problemas de seguridad no resueltos”, proporcionaron una versión final del software para descifrar los datos y cerraron el proyecto. Esto fue aún más desconcertante cuando dos extensas auditorías de seguridad no encontraron errores de importancia. A partir de hoy, eso ha cambiado.

El investigador de seguridad James Forshaw encontró dos errores críticos en el programa que podrían comprometer la máquina de un usuario final. Si bien ninguno permitió el acceso de un atacante por la puerta trasera, el Registro informa que ambos podrían haberse utilizado para instalar software espía en la máquina host o registrar las pulsaciones de teclas. Cualquiera de estos podría haber sido suficiente para permitir que un atacante capture la clave de cifrado de la unidad, dependiendo de qué tan buenas fueran las prácticas de seguridad de los usuarios finales.

ForshawTwitter



No está claro cómo estos errores pasaron las auditorías de código realizadas durante el año pasado, pero es muy posible que Forshaw y los equipos de auditoría originales se enfocaran en diferentes aspectos de TrueCrypt. El segundo informe de auditoría, publicado a principios de este año, establece que: 'las diversas implementaciones de AES en configuraciones XTS paralelas y no paralelas fueron un punto de enfoque particular'. Los errores de Forshaw, por el contrario, parecen estar relacionados con otros aspectos del sistema. Como señala Forshaw anteriormente, incluso las auditorías no detectan todos los errores.

Estos errores se han corregido en la bifurcación de TrueCrypt, VeraCrypt, que parcheó a ambos el 26 de septiembre. Tenga en cuenta que los enlaces actuales a las descripciones de cada error son 403, Forshaw normalmente espera una semana para cargar las descripciones.

Nunca sabremos por qué los autores de TrueCrypt abandonaron el proyecto. Claramente, estos errores, aunque importantes, aún pueden corregirse sin comprometer el sistema. Con la misma claridad, VeraCrypt pudo resolverlos en poco tiempo, una vez que Forshaw llamó la atención sobre ellos. Lo que sí sabemos, sin embargo, es que ahora hay muy buenas razones para dejar de usar TrueCrypt y optar por una de las bifurcaciones o soluciones alternativas que se mantienen activamente. TrueCrypt en sí ha demostrado ser lo suficientemente defectuoso como para dejar de ser confiable.

Si tiene curiosidad sobre el software seguro, incluido el cifrado de disco completo, cubrimos el tema extensamente a principios de este año. VeraCrypt es actualmente la alternativa más recomendada a TrueCrypt, pero está lejos de ser la única opción. Tanto OS X como Windows ofrecen soporte para el cifrado de disco completo; si necesita una alternativa a TrueCrypt, existen.

Copyright © Todos Los Derechos Reservados | 2007es.com