r   e   k   l   a   m   a
r   e   k   l   a   m   a

W VeraCrypcie załatano groźne luki. A co by było, gdyby to nie był program opensource'owy?

Strona główna AktualnościBEZPIECZEŃSTWO

Po tajemniczym końcu TrueCrypta najpopularniejszym narzędziem na Windowsa do całodyskowego szyfrowania dysków, któremu można było zaufać z racji na niezależne audyty kodu źródłowego został niewątpliwie VeraCrypt. Kolejny z takich audytów pokazuje, jak kluczowa dla tego typu oprogramowania jest otwartość kodu. Niezależni badacze z francuskiej firmy QuarksLab, finansowani z funduszu Open Source Technology Improvement Fund (OSTIF) znaleźli w VeraCrypcie liczne błędy, z których niektóre zagrażały bezpieczeństwu danych użytkowników. Dzięki ich pracy dostępne jest nowe, poprawione wydanie, z którego od tej pory koniecznie należy korzystać.

Osiem luk uznanych za krytyczne, trzy, które uznano za średniej wagi i piętnaście pomniejszych – to wynik przeprowadzonego przez Francuzów audytu. Warte podkreślenia jest to, że niektóre z tych błędów pochodzą jeszcze z TrueCrypta i nigdy nie zostały załatane, gdyż mogło to popsuć wsteczną kompatybilność z TrueCryptem.

Liczne błędy wiązały się też z nowym bootloaderem dla systemów korzystających z UEFI – funkcją unikatową dla VeraCryptu, niedostępną w TrueCrypcie, który działał tylko z klasycznym BIOS-em, zmuszający użytkowników do wyłączania rozruchu UEFI. Błędów można się było spodziewać, to nowy komponent systemu, znacznie mniej dojrzały, niż reszta kodu.

r   e   k   l   a   m   a

Pozostałe problemy dotyczyły słabości w implementacji jednego z algorytmów szyfrujących (rosyjskiego GOST 28147-89) oraz usterek w bibliotekach do archiwizacji i dearchiwizacji plików. Zapobiegawczo zablokowano więc tworzenie nowych kontenerów szyfrowanych wspomnianym algorytmem (będzie można jednak je wciąż otwierać), a problematyczne biblioteki zastąpiono nową, libzip.

Badacze uspokajają, że zagrożenie dla wszystkich tych, którzy stosowali dobre praktyki, nie było duże. Zainteresowanych szczegółami odsyłamy do technicznego raportu. Tutaj jedynie przytoczymy ciepłe słowa, jakie badacze mieli względem głównego dewelopera VeraCryptu, Mounira Idrassiego. Ich zdaniem dowiódł on, że jest w stanie utrzymać i rozwijać tak skomplikowane oprogramowanie, które wymaga głębokiego zrozumienia kernela Windowsa, procesu rozruchowego i kryptografii. Bezpieczeństwo projektu stale rośnie i obecnie VeraCrypt stanowi najlepsze zabezpieczenie prywatności danych dla użytkowników systemów Microsoftu.

Oczywiście sam Microsoft oferuje jako komponent Windowsów znakomicie zintegrowanego z systemem BitLockera, ale jest on dostępny tylko w wersjach profesjonalnych i biznesowych, a poza tym jakoś nigdy nie przeszedł audytu niezależnych ekspertów.

Nową wersję VeraCryptu oznaczoną numerem 1.19, w której załatano zdecydowaną większość odkrytych luk, możecie pobrać z naszej bazy oprogramowania. Polecamy też nasz poradnik, dzięki któremu skutecznie ukryjecie za pomocą tego programu swoje dane przed niepowołanym dostępem.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.