Anatoliy bebé | Malwarebytes
Una auditoría de VeraCrypt ha descubierto vulnerabilidades críticas que los atacantes podrían aprovechar para comprometer los datos de los usuarios.
VeraCrypt es un software de seguridad de código abierto. El sucesor de TrueCrypt, el software de cifrado se utiliza en todo el mundo para cifrar archivos individuales, carpetas o discos completos y se basa en el proyecto original con mejoras de seguridad y características nuevas y modernas.
Sin embargo, ningún software está completamente a salvo de ataques y, según la reciente auditoría del software, realizada por la firma de ciberseguridad QuarksLab y patrocinada a través del Open Source Technology Improvement Fund (OSTIF), VeraCrypt 1.8 y sus cargadores de arranque contenían un total de ocho vulnerabilidades críticas, tres fallas medianas y 15 errores adicionales de baja importancia.
Los problemas de seguridad descubiertos por la auditoría incluyen problemas de corrupción de memoria, código inactivo, lecturas de datos inconsistentes, bibliotecas zip no seguras y errores de cifrado.
Uno de los principales problemas que tiene TrueCrypt en relación con la seguridad es la nueva Interfaz de firmware extensible unificada (UEFI) que ahora se utiliza. TrueCrypt, como software heredado, nunca admitió esto, por lo que el nuevo gestor de arranque compatible con UEFI no solo tiene que hacer frente a los errores causados por esto, sino también a las fallas de seguridad que están presentes debido a que la característica es nueva, ya que se lanzó solo en agosto.
La mayoría de estos problemas se solucionaron en VeraCrypt 1.19 y se solicita a los usuarios que actualicen lo antes posible. Sin embargo, no están completamente protegidos de los problemas de seguridad que surgen durante la auditoría.
En Twitterla firma de seguridad Idrix, que trabajó en la auditoría de VeraCrypt, aclaró que la última actualización resuelve todos los problemas relacionados con el software en sí y también resuelve una falla de seguridad heredada de TrueCrypt.
Todos los problemas restantes presentes provienen de los días de TrueCrypt, y solucionarlos en este momento podría causar problemas de compatibilidad con versiones anteriores.
El equipo de VeraCrypt también deshabilitó el estándar de cifrado GOST 28147-89 porque lo considera inseguro. Si bien el contenido existente basado en este estándar aún se puede descifrar, los usuarios no pueden utilizar este algoritmo para futuros proyectos de cifrado.
“Algunos de estos problemas no se han solucionado debido a la alta complejidad de las soluciones propuestas, pero se han presentado soluciones en la documentación de VeraCrypt”, agregaron los investigadores. “VeraCrypt es mucho más seguro después de esta auditoría, y las correcciones aplicadas al software significan que el mundo está más seguro cuando se utiliza este software”.
La guía de 10 pasos para usar Tor para proteger tu privacidad