VeraCrypt verhelpt TrueCrypt-lek en andere kwetsbaarheden
Er is een nieuwe versie van de op TrueCrypt-gebaseerde encryptiesoftware VeraCrypt verschenen die verschillende ernstige beveiligingslekken verhelpt, waaronder een kwetsbaarheid die uit TrueCrypt afkomstig is. De kwetsbaarheden zijn het resultaat van de audit die in september werd afgerond.
VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wilde het Open Source Technology Improvement Fund (OSTIF) hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.
De audit leverde acht ernstige kwetsbaarheden op, drie beveiligingslekken die als medium zijn bestempeld en vijftien lekken die minder ernstig van aard zijn of informatie kunnen lekken. Een groot deel van de gevonden kwetsbaarheden is in VeraCrypt versie 1.19 verholpen. Een aantal problemen is echter nog niet opgelost, vanwege de grote complexiteit van de voorgestelde oplossing. Wel zijn er tijdelijke "workarounds"in de documentatie van VeraCrypt aangegeven.
De doorgevoerde fixes zorgen er onder andere voor dat de GOST 28147-89-versleutelingsoptie is verwijderd, aangezien de implementatie hiervan onveilig was. Daarnaast worden toetsaanslagen na de authenticatie verwijderd, wat ook geldt voor het wissen van gevoelige gegevens. Een andere kwetsbaarheid die is verholpen betreft het lekken van de wachtwoordlengte in de MBR-bootloader. Deze kwetsbaarheid is afkomstig uit TrueCrypt, zo blijkt uit de release notes van VeraCrypt 1.19.
TrueCrypt wordt al geruime tijd niet meer ondersteund, wat inhoudt dat de kwetsbaarheid in deze software niet zal worden verholpen. Eerder werd er ook al een ander TrueCrypt-lek in VeraCrypt gepatcht wat ook nog in TrueCrypt aanwezig is. Naast patches voor de gevonden kwetsbaarheden zijn in versie 1.19 ook andere verbeteringen doorgevoerd, zoals de ondersteuning van EFI-systeemversleuteling op 32-bit versies van Windows. De nieuwste VeraCrypt-versie is te downloaden via veracrypt.codeplex.com.
De één na laatste versie van truecrypt (was dat niet iets met 7.2?) leek voor zover ik weet de enige goede versie.
Maar is Vera nu wel of niet een serieuze goede vervanger?
Een Audit ? Audit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.