W VeraCrypcie załatano groźne luki. A co by było, gdyby to nie był program opensource'owy?
Po tajemniczym końcu TrueCrypta najpopularniejszym narzędziem naWindowsa do całodyskowego szyfrowania dysków, któremu można byłozaufać z racji na niezależne audyty kodu źródłowego zostałniewątpliwie VeraCrypt. Kolejny z takich audytów pokazuje, jakkluczowa dla tego typu oprogramowania jest otwartość kodu.Niezależni badacze z francuskiej firmy QuarksLab, finansowani zfunduszu Open Source Technology Improvement Fund (OSTIF) znaleźli wVeraCrypcie liczne błędy, z których niektóre zagrażałybezpieczeństwu danych użytkowników. Dzięki ich pracy dostępnejest nowe, poprawionewydanie, z którego od tej pory koniecznie należy korzystać.
Osiem luk uznanych za krytyczne, trzy, które uznano za średniejwagi i piętnaście pomniejszych – to wynik przeprowadzonego przezFrancuzów audytu. Warte podkreślenia jest to, że niektóre z tychbłędów pochodzą jeszcze z TrueCrypta i nigdy nie zostałyzałatane, gdyż mogło to popsuć wsteczną kompatybilność zTrueCryptem.
Liczne błędy wiązały się też z nowym bootloaderem dlasystemów korzystających z UEFI – funkcją unikatową dlaVeraCryptu, niedostępną w TrueCrypcie, który działał tylko zklasycznym BIOS-em, zmuszający użytkowników do wyłączaniarozruchu UEFI. Błędów można się było spodziewać, to nowykomponent systemu, znacznie mniej dojrzały, niż reszta kodu.
Pozostałe problemy dotyczyły słabości w implementacji jednegoz algorytmów szyfrujących (rosyjskiego GOST 28147-89) oraz usterekw bibliotekach do archiwizacji i dearchiwizacji plików.Zapobiegawczo zablokowano więc tworzenie nowych kontenerówszyfrowanych wspomnianym algorytmem (będzie można jednak je wciążotwierać), a problematyczne biblioteki zastąpiono nową, libzip.
Badacze uspokajają, że zagrożenie dla wszystkich tych, którzystosowali dobre praktyki, nie było duże. Zainteresowanychszczegółami odsyłamy do technicznegoraportu. Tutaj jedynie przytoczymy ciepłe słowa, jakie badaczemieli względem głównego dewelopera VeraCryptu, Mounira Idrassiego.Ich zdaniem dowiódł on, że jest w stanie utrzymać i rozwijać takskomplikowane oprogramowanie, które wymaga głębokiego zrozumieniakernela Windowsa, procesu rozruchowego i kryptografii. Bezpieczeństwoprojektu stale rośnie i obecnie VeraCrypt stanowi najlepszezabezpieczenie prywatności danych dla użytkowników systemówMicrosoftu.
Oczywiście sam Microsoft oferuje jako komponent Windowsówznakomicie zintegrowanego z systemem BitLockera, ale jest on dostępnytylko w wersjach profesjonalnych i biznesowych, a poza tym jakośnigdy nie przeszedł audytu niezależnych ekspertów.
Nową wersję VeraCryptu oznaczoną numerem 1.19, w którejzałatano zdecydowaną większość odkrytych luk, możecie pobrać znaszej bazyoprogramowania. Polecamy też naszporadnik, dzięki któremu skutecznie ukryjecie za pomocą tegoprogramu swoje dane przed niepowołanym dostępem.
