Nieuws

Encryptiesoftware VeraCrypt patcht TrueCrypt-lekken

dinsdag 29 september 2015, 10:26 door Redactie, 6 reacties

Er is een nieuwe versie van VeraCrypt verschenen, de op TrueCrypt-gebaseerde encryptiesoftware. Een onderzoeker van Google had in TrueCrypt twee lekken ontdekt die ook in VeraCrypt aanwezig waren. Via de lekken kon een lokale aanvaller die al toegang tot het systeem heeft zijn rechten verhogen.

TrueCrypt wordt sinds vorig jaar niet meer ondersteund, waardoor de twee kwetsbaarheden niet worden gepatcht. VeraCrypt is op de broncode van TrueCrypt gebaseerd en wordt nog wel actief onderhouden. Naast de twee kwetsbaarheden zijn ook verschillende andere niet-security gerelateerde bugs verholpen. Gebruikers van VeraCrypt krijgen dan ook het advies om naar versie 1.15 te upgraden.

James Forshaw, de onderzoeker van Google die de kwetsbaarheden ontdekte, stelt dat het hier niet om backdoors gaat, maar dat ze wel ongemerkt door de TrueCrypt-audit heen kwamen. Vorig jaar werd TrueCrypt op de aanwezigheid van backdoors geaudit, waarbij verschillende problemen werden gevonden. Backdoors werden niet aangetroffen. Een paar weken nadat het eerste deel van de audit was afgerond besloten de TrueCrypt-ontwikkelaars met de ontwikkeling van de software te stoppen. De gevonden problemen werden daardoor niet gepatcht, wat ook voor nieuwe kwetsbaarheden geldt.

FBI waarschuwt studenten voor telefoonscam

Besmette advertenties op YouPorn en Pornhub

Reacties (6)

29-09-2015, 11:37 door Anoniem

Ik blijft bij TrueCrypt niet te kraken wat ze er ook van zeggen.

29-09-2015, 13:46 door Anoniem

Door Anoniem: Ik blijft bij TrueCrypt niet te kraken wat ze er ook van zeggen.

Dat denk ik ook. Truecrypt is / was moeilijk te kraken tot grote ergernis van de NSA / FBI etc.
Veracrypt zal naar alle waarschijnlijk wel een deurtje open hebben........ Truecrypt niet........

29-09-2015, 14:45 door Anoniem

Ben ik de enige die het erg bijzonder vindt dat dit door de code-audit is gelekt? Is dit normaal?

29-09-2015, 16:51 door Anoniem

@13:46: Doe geen onzinnige beweringen die je niet kunt staven. De source van Truecrypt is openbaar, net als dat van Veracrypt. Het is een kleine moeite om deze te diffen, en zo de verschillen tussen beiden te zien. Als daar bewust een achterdeur in zou worden gezet valt dat direct op. Dat er genoeg mensen nu bovenop de source zitten en actief problemen aanwijzen blijkt al wel uit het feit dat er nu een researcher binnen Google melding van maakt.

@14:45: Zo gek is dat niet. Zo'n code review is ook maar mensenwerk.Het gaat letterlijk om vele duizenden regels code, daar kun je makkelijk iets over het hoofd zien wat toch onveilig is geïmplementeerd. Sowieso lag de nadruk van die audit met name op het vlak van de cryptofuncties zelf, dat was ook de doelstelling van dat project. Deze bug zit blijkbaar in de driver binnen de Windows applicatie zelf (die zorgt voor de mapping met drive letters), het zou me niets verbazen als ze daar niet of nauwelijks naar gekeken hebben.

Sowieso moeten we dit probleem niet overdrijven. Het is niet alsof een 'tegenstander' nu zomaar je data at rest kan decrypten op commando.

30-09-2015, 10:58 door Anoniem

Privilege escalation is wel degelijk iets om serieus te nemen. Als je user bent met beperkte rechten en mallware op je systeem krijgt dan kan deze natuurlijk ook data lezen die op dat moment door de user geopend is. Echter door dergelijke lekken in software kan er veel meer gebeuren; keyloggers installeren, data, sleutels of wachtwoorden van andere gebruikers stelen of het systeem als springplank gebruiken. UAC geeft ook geen melding omdat de verhoogde rechten via een driver (system) plaatsvinden en niet via officiele aanvraag aan het systeem. Als je als bedrijf dit programma gebruikt om je laptops te beschermen, dan heeft dat bedrijf een probleem.

Misschien kun je dat wel oplossen door de driver van truecrypt te vervangen met die van gepatchte veracrypt mits deze nog dezelfde handle's gebruikt.

Er is eigenlijk maar een feilloze manier om data te beschermen; data die niet bestaat kun je niet stelen. Big data moet weer little data worden, belangrijke informatie moet terug naar het papier en niet relevante informatie moet niet verzameld worden.

30-09-2015, 13:54 door Rarsus

Sluit ik me volledig bij aan.

Een dergelijke bug zorgt er gewoon voor dat, wanneer exploited, je data niet meer de integriteitscheck haalt. Je hebt geen backdoors meer nodig.

@16:51: je hebt gelijk dat de data met deze vulnerability niet offline te decryptiebevel is, mits een aanvaller niet inmiddels online het systeem heeft overgenomen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer