VeraCrypt verhelpt TrueCrypt-lek en andere kwetsbaarheden
Er is een nieuwe versie van de op TrueCrypt-gebaseerde encryptiesoftware VeraCrypt verschenen die verschillende ernstige beveiligingslekken verhelpt, waaronder een kwetsbaarheid die uit TrueCrypt afkomstig is. De kwetsbaarheden zijn het resultaat van de audit die in september werd afgerond.
VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wilde het Open Source Technology Improvement Fund (OSTIF) hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.
De audit leverde acht ernstige kwetsbaarheden op, drie beveiligingslekken die als medium zijn bestempeld en vijftien lekken die minder ernstig van aard zijn of informatie kunnen lekken. Een groot deel van de gevonden kwetsbaarheden is in VeraCrypt versie 1.19 verholpen. Een aantal problemen is echter nog niet opgelost, vanwege de grote complexiteit van de voorgestelde oplossing. Wel zijn er tijdelijke "workarounds"in de documentatie van VeraCrypt aangegeven.
De doorgevoerde fixes zorgen er onder andere voor dat de GOST 28147-89-versleutelingsoptie is verwijderd, aangezien de implementatie hiervan onveilig was. Daarnaast worden toetsaanslagen na de authenticatie verwijderd, wat ook geldt voor het wissen van gevoelige gegevens. Een andere kwetsbaarheid die is verholpen betreft het lekken van de wachtwoordlengte in de MBR-bootloader. Deze kwetsbaarheid is afkomstig uit TrueCrypt, zo blijkt uit de release notes van VeraCrypt 1.19.
TrueCrypt wordt al geruime tijd niet meer ondersteund, wat inhoudt dat de kwetsbaarheid in deze software niet zal worden verholpen. Eerder werd er ook al een ander TrueCrypt-lek in VeraCrypt gepatcht wat ook nog in TrueCrypt aanwezig is. Naast patches voor de gevonden kwetsbaarheden zijn in versie 1.19 ook andere verbeteringen doorgevoerd, zoals de ondersteuning van EFI-systeemversleuteling op 32-bit versies van Windows. De nieuwste VeraCrypt-versie is te downloaden via veracrypt.codeplex.com.
De één na laatste versie van truecrypt (was dat niet iets met 7.2?) leek voor zover ik weet de enige goede versie.
Maar is Vera nu wel of niet een serieuze goede vervanger?
Een Audit ? Audit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
