Saugumo tyrėjai baigė Atvirojo kodo technologijos tobulinimo fondo remiamą šifravimo platformos „VeraCrypt“ auditą ir nustatė aštuonias kritines, tris vidutinio ir 15 silpnumo vietas. Populiaraus įrankio komanda aptarė audito išvadas „VeraCrypt 1.19“. Taip turėtų veikti saugumo auditai.
OSTIF teigė, kad „VeraCrypt 1.9“ yra saugi, nes dauguma trūkumų buvo pašalinti. Kai kurios spragos šioje versijoje nebuvo pašalintos dėl „labai sudėtingų siūlomų pataisymų“, tačiau jų yra.
„Kol jūs laikotės žinomų problemų dokumentų ir naudojate juos taip, kaip patariama, manau, kad„ VeraCrypt 1.9 “yra viena geriausių FDE [viso disko šifravimo] sistemų“, - sakė Derekas Zimmeris, OSTIF generalinis direktorius ir prezidentas. „Reddit“ klausimynuose „Klausk manęs“. „Zimmer“ taip pat yra virtualaus privataus tinklo paslaugų teikėjo „VikingVPN“ partneris.
OSTIF pasamdė „Quarkslab“ vyresnįjį saugumo tyrėją Jeaną-Baptiste'ą Bédrune'ą ir vyresnįjį kriptografą Marioną Videau, kad patikrintų „VeraCrypt“ kodų bazę, daugiausia dėmesio skiriant 1.18 versijai, ir „DCS EFI Bootloader“. Audito metu daugiausia dėmesio buvo skiriama naujoms saugos funkcijoms, kurios buvo įdiegtos „VeraCrypt“ po 2015 m. Balandžio mėn. „TrueCrypt“ saugumo audito. „VeraCrypt“ yra to apleisto šifravimo įrankio šakutė ir suderinama atgal.
Keturios įkrovos tvarkyklės problemos - klavišų paspaudimai neištrinami po autentifikavimo, neskelbtini duomenys neteisingai ištrinti, atminties sugadinimas ir niekinių / blogų rodyklių nuorodos - buvo aptiktos audito metu ir pašalintos 1.19 versijoje.
Taip pat buvo atkreiptas dėmesys į nedidelio sunkumo įkrovos slaptažodžio trūkumą, kur buvo galima nustatyti slaptažodžio ilgį. Nors pats informacijos nutekėjimas nėra kritinis, nes norint paleisti BIOS atmintį reikia paleisti sistemą ir reikalinga privilegijuota prieiga, pažeidžiamumą reikėjo pašalinti, nes užpuolikas, žinodamas slaptažodžio ilgį, pagreitintų žiauriai jėgai reikalingą laiką. išpuolių, nurodė auditas.
„VeraCrypt“ rėmėsi suspaudimo funkcijomis, kad išspaustų įkrovos įrankį, kai standusis diskas yra užšifruotas, kuriant ir tikrinant atkūrimo diskus, jei sistema yra užšifruota ir naudojama UEFI, ir diegimo metu. Audito metu nustatyta, kad visos glaudinimo funkcijos turėjo problemų.
„VeraCrypt“ naudojo „XZip“ ir „XUnzip“, kurie turėjo žinomų pažeidžiamumų ir buvo pasenę. „Mes primygtinai rekomenduojame arba perrašyti šią biblioteką ir naudoti naujausią„ zlib “versiją, arba geriausia naudoti kitą komponentą„ ZIP “failams tvarkyti“, - sakė auditoriai. „VeraCrypt 1.19“ pažeidžiamas bibliotekas pakeitė šiuolaikiška ir saugesne „libzip“ biblioteka.
UEFI yra viena iš svarbiausių - ir naujausių - funkcijų, pridėtų prie „VeraCrypt“, todėl auditoriai šiai kodo daliai skyrė ypatingą dėmesį. Visas UEFI būdingas kodas yra „VeraCrypt-DCS“ saugykloje ir pagrindinis „VeraCrypt“ kūrėjas jį „laikė daug mažiau subrendusiu nei likusį projektą“, - rašė mokslininkai audito ataskaitoje. "Kai kurios dalys yra neišsamios arba ne visos."
Audito santraukoje OSTIF rašė, kad „po šio audito„ VeraCrypt “yra daug saugesnė, o programinei įrangai pritaikyti pataisymai reiškia, kad pasaulis yra saugesnis naudojant šią programinę įrangą“.
Dėl audito „VeraCrypt“ išmetė GET 28147-89 simetrišką blokinį šifrą, iš pradžių pridėtą „VeraCrypt 1.17“, dėl klaidų, kaip jis buvo įgyvendintas. GOST 28147-89 šifravimas buvo sovietų sukurta alternatyva DES, skirta sustiprinti algoritmą. Auditas nustatė, kad visos glaudžios bibliotekos buvo laikomos pasenusiomis arba prastai parašytomis. Įgyvendinimas „pritrūko“, sakė Zimmeris „Reddit AMA“.
1.9 versijoje vartotojai gali iššifruoti esamus tomus, kurie naudojo šifrą, bet negali sukurti naujų egzempliorių.
Vartotojai, kurie naudojo GOST šifrą, kuris buvo pašalintas kaip audito dalis, turėtų iš naujo užšifruoti senus skaidinius naudodami naujausią versiją. Vartotojai taip pat turėtų iš naujo užšifruoti visas disko šifravimo sistemas, nes buvo išspręsta daugybė problemų, susijusių su įkrovos įkrovikliu. Visi, kurie naudojo ankstesnes nei 1.18 versijas, turėtų iš naujo užšifruoti skaidinius dėl klaidos, susijusios su paslėptų skaidinių atradimu.
„VeraCrypt“ yra „TrueCrypt“ šakutė, kurią kūrėjai staigiai uždarė 2014 m. Gegužės mėn., Užsimindami apie nenurodytas saugumo problemas. Buvo susirūpinta, kad platforma turi užpakalinę duris ar kokį kitą įrankį pažeidžiantį trūkumą. Auditas buvo būtinas norint įvertinti bendrą platformos saugumą.
OSTIF teigė, kad „TrueCrypt 7.1a“ nebeturėtų būti laikoma saugia, nes ji nebėra aktyviai prižiūrima ir ją veikia audito metu atskleistos įkrovos programos programos problemos. Tačiau audito ataskaitoje taip pat teigiama, kad „TrueCrypt 7.1a“ trūkumai neturi įtakos konteinerių ir ne sistemos diskų saugumui.
Dėl neatskleistų problemų lengva atmesti „VeraCrypt“ kaip nesaugų, tačiau tai nepaiso visos audito atlikimo vertės. Jei audito metu buvo nustatyta problemų ir grupė atsisakė spręsti problemas arba neatsakė į auditorių prašymus, tai sukeltų susirūpinimą. Šiuo atveju „Quarkslab“ auditą užbaigė per mėnesį, o prižiūrėtojai nustatė daugybę klausimų ir išsamiai dokumentavo, kaip tvarkyti kitas neišspręstas problemas. Taip, auditoriai rado keletą abejotinų sprendimų ir klaidų, kurių pirmiausia nereikėjo padaryti, tačiau nebuvo jokių probleminių užpakalinių durų ar pažeidžiamumų, kurie pažeistų viso disko šifravimo įrankio vientisumą.
Atvirojo kodo kūrimo pobūdis reiškia, kad šaltinio kodą gali peržiūrėti visi. Tačiau, kaip buvo ne kartą įrodyta per pastaruosius kelerius metus, labai nedaug kūrėjų aktyviai ieško saugumo trūkumų. Štai kodėl, nepaisant „daugelio akių“ požiūrio, „Heartbleed“ ir „Shellshock“ bei kiti kritiniai pažeidžiamumai „OpenSSL“ tęsėsi ne vienerius metus, kol buvo atrasti.
Atlikdami auditą, specialistai patikrina kiekvieną atvirojo kodo programinės įrangos šaltinio kodo eilutę, kad patikrintų kodo vientisumą, atskleistų saugumo trūkumus ir užpakalines duris bei dirbdami su projektu išspręstų kuo daugiau problemų. Auditas paprastai yra brangus - privatus paieškos variklis „DuckDuckGo“ ir virtualaus privataus tinklo paslauga „Viking VPN“ buvo pagrindiniai OSTIF aukotojai šiam auditui atlikti, todėl auditai nėra dažnesni. Tačiau kadangi daugelis komercinių produktų ir kitų atvirojo kodo projektų labai priklauso nuo kelių atvirojo kodo projektų, auditai tampa vis svarbesni.
Užbaigus „VeraCrypt“ auditą, OSTIF laukia „OpenVPN 2.4“ auditų. GnuPG, „Off-the-Record“ ir „OpenSSL“ taip pat yra gairėse. „Linux Foundation“ pagrindinėje infrastruktūros iniciatyvoje buvo parengti viešo „OpenSSL“ audito su NCC grupe planai, tačiau šio projekto būklė šiuo metu nėra aiški.
„Norėčiau, kad galėtume tiesiog pataikyti į kiekvieną projektą, kuris visiems patinka, ir mano sąrašas būtų didžiulis, tačiau mes turime ribotus išteklius, su kuriais dirbame, o finansavimo užtikrinimas yra didžioji mūsų darbo dalis dabar“, - rašė Zimmeris, pažymėdamas, kad OSTIF sutelkia dėmesį apie vieną „perspektyvų“ projektą kiekvienoje kriptografijos srityje.
