image

Encryptiesoftware VeraCrypt patcht TrueCrypt-lekken

dinsdag 29 september 2015, 10:26 door Redactie, 6 reacties

Er is een nieuwe versie van VeraCrypt verschenen, de op TrueCrypt-gebaseerde encryptiesoftware. Een onderzoeker van Google had in TrueCrypt twee lekken ontdekt die ook in VeraCrypt aanwezig waren. Via de lekken kon een lokale aanvaller die al toegang tot het systeem heeft zijn rechten verhogen.

TrueCrypt wordt sinds vorig jaar niet meer ondersteund, waardoor de twee kwetsbaarheden niet worden gepatcht. VeraCrypt is op de broncode van TrueCrypt gebaseerd en wordt nog wel actief onderhouden. Naast de twee kwetsbaarheden zijn ook verschillende andere niet-security gerelateerde bugs verholpen. Gebruikers van VeraCrypt krijgen dan ook het advies om naar versie 1.15 te upgraden.

James Forshaw, de onderzoeker van Google die de kwetsbaarheden ontdekte, stelt dat het hier niet om backdoors gaat, maar dat ze wel ongemerkt door de TrueCrypt-audit heen kwamen. Vorig jaar werd TrueCrypt op de aanwezigheid van backdoors geaudit, waarbij verschillende problemen werden gevonden. Backdoors werden niet aangetroffen. Een paar weken nadat het eerste deel van de audit was afgerond besloten de TrueCrypt-ontwikkelaars met de ontwikkeling van de software te stoppen. De gevonden problemen werden daardoor niet gepatcht, wat ook voor nieuwe kwetsbaarheden geldt.

Reacties (6)
29-09-2015, 11:37 door Anoniem
Ik blijft bij TrueCrypt niet te kraken wat ze er ook van zeggen.
29-09-2015, 13:46 door Anoniem
Door Anoniem: Ik blijft bij TrueCrypt niet te kraken wat ze er ook van zeggen.

Dat denk ik ook. Truecrypt is / was moeilijk te kraken tot grote ergernis van de NSA / FBI etc.
Veracrypt zal naar alle waarschijnlijk wel een deurtje open hebben........ Truecrypt niet........
29-09-2015, 14:45 door Anoniem
Ben ik de enige die het erg bijzonder vindt dat dit door de code-audit is gelekt? Is dit normaal?
29-09-2015, 16:51 door Anoniem
@13:46: Doe geen onzinnige beweringen die je niet kunt staven. De source van Truecrypt is openbaar, net als dat van Veracrypt. Het is een kleine moeite om deze te diffen, en zo de verschillen tussen beiden te zien. Als daar bewust een achterdeur in zou worden gezet valt dat direct op. Dat er genoeg mensen nu bovenop de source zitten en actief problemen aanwijzen blijkt al wel uit het feit dat er nu een researcher binnen Google melding van maakt.

@14:45: Zo gek is dat niet. Zo'n code review is ook maar mensenwerk.Het gaat letterlijk om vele duizenden regels code, daar kun je makkelijk iets over het hoofd zien wat toch onveilig is geïmplementeerd. Sowieso lag de nadruk van die audit met name op het vlak van de cryptofuncties zelf, dat was ook de doelstelling van dat project. Deze bug zit blijkbaar in de driver binnen de Windows applicatie zelf (die zorgt voor de mapping met drive letters), het zou me niets verbazen als ze daar niet of nauwelijks naar gekeken hebben.

Sowieso moeten we dit probleem niet overdrijven. Het is niet alsof een 'tegenstander' nu zomaar je data at rest kan decrypten op commando.
30-09-2015, 10:58 door Anoniem
Privilege escalation is wel degelijk iets om serieus te nemen. Als je user bent met beperkte rechten en mallware op je systeem krijgt dan kan deze natuurlijk ook data lezen die op dat moment door de user geopend is. Echter door dergelijke lekken in software kan er veel meer gebeuren; keyloggers installeren, data, sleutels of wachtwoorden van andere gebruikers stelen of het systeem als springplank gebruiken. UAC geeft ook geen melding omdat de verhoogde rechten via een driver (system) plaatsvinden en niet via officiele aanvraag aan het systeem. Als je als bedrijf dit programma gebruikt om je laptops te beschermen, dan heeft dat bedrijf een probleem.

Misschien kun je dat wel oplossen door de driver van truecrypt te vervangen met die van gepatchte veracrypt mits deze nog dezelfde handle's gebruikt.

Er is eigenlijk maar een feilloze manier om data te beschermen; data die niet bestaat kun je niet stelen. Big data moet weer little data worden, belangrijke informatie moet terug naar het papier en niet relevante informatie moet niet verzameld worden.
30-09-2015, 13:54 door Rarsus
Sluit ik me volledig bij aan.

Een dergelijke bug zorgt er gewoon voor dat, wanneer exploited, je data niet meer de integriteitscheck haalt. Je hebt geen backdoors meer nodig.

@16:51: je hebt gelijk dat de data met deze vulnerability niet offline te decryptiebevel is, mits een aanvaller niet inmiddels online het systeem heeft overgenomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.