Προγραμματισμός

Το VeraCrypt επιδιορθώνει σφάλματα που εντοπίστηκαν στον έλεγχο ασφαλείας

Οι ερευνητές ασφαλείας ολοκλήρωσαν τον έλεγχο της ανοιχτής πηγής τεχνολογίας βελτίωσης της πλατφόρμας κρυπτογράφησης VeraCrypt και βρήκαν οκτώ κρίσιμα, τρία μεσαία και 15 ευπάθειες χαμηλής σοβαρότητας. Η ομάδα πίσω από το δημοφιλές εργαλείο αντιμετώπισε τα ευρήματα του ελέγχου στο VeraCrypt 1.19. Έτσι πρέπει να λειτουργούν οι έλεγχοι ασφαλείας.

Ο OSTIF είπε ότι το VeraCrypt 1.9 είναι ασφαλές, επειδή έχουν αντιμετωπιστεί τα περισσότερα από τα ελαττώματα. Ορισμένες ευπάθειες δεν αντιμετωπίστηκαν σε αυτήν την έκδοση, λόγω της «υψηλής πολυπλοκότητας για τις προτεινόμενες διορθώσεις», αλλά υπάρχουν λύσεις για αυτές.

"Εφόσον παρακολουθείτε την τεκμηρίωση για γνωστά ζητήματα και τη χρησιμοποιείτε όπως συνιστάται, πιστεύω ότι το [VeraCrypt 1.9] είναι ένα από τα καλύτερα συστήματα FDE [κρυπτογράφηση πλήρους δίσκου] εκεί έξω", δήλωσε ο Derek Zimmer, Διευθύνων Σύμβουλος και Πρόεδρος του OSTIF, σε ένα Ask-Me-Anything Q&A στο Reddit. Η Zimmer είναι επίσης συνεργάτης του εικονικού ιδιωτικού παρόχου υπηρεσιών δικτύου VikingVPN.

Το OSTIF προσέλαβε τον ανώτερο ερευνητή ασφαλείας Quarkslab Jean-Baptiste Bédrune και τον ανώτερο κρυπτογράφο Marion Videau για να ελέγξει τη βάση κώδικα VeraCrypt, εστιάζοντας στην έκδοση 1.18, και το DCS EFI Bootloader. Ο έλεγχος επικεντρώθηκε σε νέες δυνατότητες ασφαλείας που εισήχθησαν στο VeraCrypt μετά τον έλεγχο ασφαλείας του TrueCrypt τον Απρίλιο του 2015. Το VeraCrypt είναι το πιρούνι αυτού του τώρα εγκαταλελειμμένου εργαλείου κρυπτογράφησης και είναι συμβατό με το πίσω μέρος.

Τέσσερα προβλήματα στο bootloader - οι πληκτρολογήσεις δεν διαγράφονται μετά τον έλεγχο ταυτότητας, τα ευαίσθητα δεδομένα δεν έχουν διαγραφεί σωστά, η καταστροφή της μνήμης και οι αναφορές μηδενικών / κακών δεικτών - εντοπίστηκαν στον έλεγχο και διορθώθηκαν στην έκδοση 1.19.

Αντιμετωπίστηκε επίσης ένα ελάττωμα κωδικού πρόσβασης εκκίνησης χαμηλής σοβαρότητας, όπου θα μπορούσε να προσδιοριστεί το μήκος του κωδικού πρόσβασης. Ενώ η ίδια η διαρροή πληροφοριών δεν είναι κρίσιμη, καθώς το σύστημα πρέπει να εκκινηθεί και απαιτείται προνομιακή πρόσβαση για την ανάγνωση της μνήμης BIOS, η ευπάθεια πρέπει να διορθωθεί επειδή ένας εισβολέας που γνωρίζει το μήκος του κωδικού πρόσβασης θα επιταχύνει το χρόνο που απαιτείται για brute-force επιθέσεις, ανέφερε ο έλεγχος.

Το VeraCrypt βασίστηκε σε λειτουργίες συμπίεσης για την αποσυμπίεση του bootloader όταν ο σκληρός δίσκος είναι κρυπτογραφημένος, για να δημιουργήσει και να ελέγξει τους δίσκους ανάκτησης εάν το σύστημα είναι κρυπτογραφημένο και χρησιμοποιεί UEFI και κατά την εγκατάσταση. Ο έλεγχος διαπίστωσε ότι όλες οι λειτουργίες συμπίεσης είχαν προβλήματα.

Το VeraCrypt χρησιμοποιούσε XZip και XUnzip, που είχαν γνωστά τρωτά σημεία και ήταν ξεπερασμένα. "Συνιστούμε ανεπιφύλακτα είτε να ξαναγράψετε αυτήν τη βιβλιοθήκη και να χρησιμοποιήσετε μια ενημερωμένη έκδοση του zlib, ή κατά προτίμηση, να χρησιμοποιήσετε ένα άλλο στοιχείο για το χειρισμό αρχείων Zip", ανέφεραν οι ελεγκτές. Το VeraCrypt 1.19 αντικατέστησε τις ευάλωτες βιβλιοθήκες με το libzip, μια σύγχρονη και πιο ασφαλή βιβλιοθήκη zip.

Το UEFI είναι ένα από τα πιο σημαντικά - και νεότερα - χαρακτηριστικά που προστέθηκαν στο VeraCrypt, έτσι οι ελεγκτές έδωσαν ιδιαίτερη προσοχή σε αυτό το μέρος του κώδικα. Όλος ο ειδικός κώδικας για το UEFI βρίσκεται στο αποθετήριο VeraCrypt-DCS και "θεωρήθηκε πολύ λιγότερο ώριμο από το υπόλοιπο έργο" από τον κύριο προγραμματιστή της VeraCrypt, έγραψαν οι ερευνητές στην έκθεση ελέγχου. "Ορισμένα μέρη είναι ελλιπή ή καθόλου ελλιπή."

Στη σύνοψη ελέγχου, το OSTIF έγραψε ότι "το VeraCrypt είναι πολύ πιο ασφαλές μετά από αυτόν τον έλεγχο και οι διορθώσεις που εφαρμόζονται στο λογισμικό σημαίνουν ότι ο κόσμος είναι ασφαλέστερος κατά τη χρήση αυτού του λογισμικού."

Ως αποτέλεσμα του ελέγχου, η VeraCrypt έριξε το συμμετρικό μπλοκ GOST 28147-89, το οποίο προστέθηκε αρχικά στο VeraCrypt 1.17, λόγω σφαλμάτων στον τρόπο εφαρμογής του. Η κρυπτογράφηση GOST 28147-89 ήταν μια εναλλακτική λύση που αναπτύχθηκε από τη Σοβιετική σε σχέση με το DES, σχεδιασμένη για την ενίσχυση του αλγορίθμου. Όλες οι βιβλιοθήκες συμπίεσης θεωρήθηκαν ξεπερασμένες ή κακώς γραμμένες, σύμφωνα με τον έλεγχο. Η εφαρμογή "πέτυχε", δήλωσε ο Zimmer στο Reddit AMA.

Στην έκδοση 1.9, οι χρήστες μπορούν να αποκρυπτογραφήσουν υπάρχοντες τόμους που χρησιμοποίησαν το κρυπτογράφηση αλλά δεν μπορούν να δημιουργήσουν νέες παρουσίες.

Οι χρήστες που χρησιμοποίησαν την κρυπτογράφηση GOST που καταργήθηκε ως μέρος του ελέγχου θα πρέπει να κρυπτογραφήσουν ξανά παλιά διαμερίσματα χρησιμοποιώντας την πιο πρόσφατη έκδοση. Οι χρήστες θα πρέπει επίσης να κρυπτογραφούν εκ νέου σε όλα τα συστήματα κρυπτογράφησης πλήρους δίσκου, δεδομένου ότι έχουν επιλυθεί ορισμένα ζητήματα με το bootloader. Όποιος χρησιμοποίησε εκδόσεις πριν από το 1,18 θα πρέπει να κρυπτογραφήσει εκ νέου διαμερίσματα λόγω του σφάλματος που σχετίζεται με την ανακάλυψη κρυφών κατατμήσεων.

Το VeraCrypt είναι ένα πιρούνι του TrueCrypt, το οποίο οι προγραμματιστές έκλεισαν απότομα τον Μάιο του 2014, υπαινιγμό σε μη καθορισμένα ζητήματα ασφαλείας. Υπήρχαν ανησυχίες ότι η πλατφόρμα είχε ένα backdoor ή κάποιο άλλο ελάττωμα που θέτει σε κίνδυνο το εργαλείο. Ο έλεγχος ήταν απαραίτητος για την αξιολόγηση της συνολικής ασφάλειας της πλατφόρμας.

Ο OSTIF είπε ότι το TrueCrypt 7.1a δεν πρέπει πλέον να θεωρείται ασφαλές, επειδή δεν βρίσκεται πλέον σε ενεργή συντήρηση και επηρεάζεται από τα ζητήματα του bootloader που αποκαλύφθηκαν στον έλεγχο. Ωστόσο, η έκθεση ελέγχου πρότεινε επίσης ότι οι αδυναμίες του TrueCrypt 7.1a δεν επηρεάζουν την ασφάλεια των κοντέινερ και των μονάδων δίσκου εκτός συστήματος.

Είναι εύκολο να απορρίψετε το VeraCrypt ως μη ασφαλές λόγω των ζητημάτων που αποκαλύφθηκαν, αλλά αυτό αγνοεί ολόκληρη την αξία του ελέγχου. Εάν ο έλεγχος είχε αποκαλύψει ζητήματα και η ομάδα είχε αρνηθεί να επιλύσει τα ζητήματα, ή δεν ανταποκρίνεται σε αιτήματα των ελεγκτών, τότε αυτό θα προκαλούσε ανησυχία. Σε αυτήν την περίπτωση, η Quarkslab ολοκλήρωσε τον έλεγχο σε ένα μήνα και οι συντηρητές διόρθωσαν σημαντικό αριθμό των ζητημάτων και τεκμηρίωσαν λεπτομερώς τον τρόπο χειρισμού των άλλων ζητημάτων που δεν είχαν αντιμετωπιστεί. Ναι, οι ελεγκτές βρήκαν κάποιες αμφισβητήσιμες αποφάσεις και λάθη που δεν θα έπρεπε να είχαν γίνει κατά πρώτο λόγο, αλλά δεν υπήρχαν προβληματικά backdoors ή ευπάθειες που θέτουν σε κίνδυνο την ακεραιότητα του εργαλείου κρυπτογράφησης πλήρους δίσκου.

Η φύση της ανάπτυξης ανοιχτού κώδικα σημαίνει ότι ο πηγαίος κώδικας είναι διαθέσιμος για οποιονδήποτε να εξετάσει. Όμως, όπως έχει δειχθεί επανειλημμένα τα τελευταία χρόνια, πολύ λίγοι προγραμματιστές αναζητούν ενεργά ελαττώματα ασφαλείας. Αυτός είναι ο λόγος, παρά την προσέγγιση «πολλών βολών», οι Heartbleed και Shellshock και άλλες κρίσιμες ευπάθειες παραμένουν στο OpenSSL για χρόνια πριν ανακαλυφθούν.

Με έναν έλεγχο, οι επαγγελματίες εξετάζουν κάθε γραμμή του πηγαίου κώδικα του λογισμικού ανοιχτού κώδικα για να επαληθεύσουν την ακεραιότητα του κώδικα, να αποκαλύψουν τα ελαττώματα ασφαλείας και τους εξωτερικούς χώρους και να συνεργαστούν με το έργο για να διορθώσουν όσο το δυνατόν περισσότερα προβλήματα. Ο έλεγχος είναι συνήθως ακριβός - η ιδιωτική μηχανή αναζήτησης DuckDuckGo και η υπηρεσία εικονικού ιδιωτικού δικτύου Viking VPN ήταν οι πρωταρχικοί δωρητές του OSTIF για αυτόν τον έλεγχο - γι 'αυτό οι έλεγχοι δεν είναι πιο συνηθισμένοι. Ωστόσο, καθώς πολλά εμπορικά προϊόντα και άλλα έργα ανοιχτού κώδικα βασίζονται σε μεγάλο βαθμό σε λίγα έργα ανοιχτού κώδικα, οι έλεγχοι γίνονται όλο και πιο σημαντικοί.

Με τον έλεγχο VeraCrypt ολοκληρωμένο, το OSTIF προσβλέπει σε ελέγχους του OpenVPN 2.4. Το GnuPG, το Off-the-Record και το OpenSSL βρίσκονται επίσης στον οδικό χάρτη. Η βασική πρωτοβουλία υποδομής του Linux Foundation είχε δηλώσει σχέδια για δημόσιο έλεγχο του OpenSSL με την ομάδα NCC, αλλά η κατάσταση αυτού του έργου είναι επί του παρόντος ασαφής.

«Μακάρι να μπορούσαμε απλώς να πετύχουμε κάθε έργο που όλοι αρέσουν, και η λίστα μου θα ήταν τεράστια, αλλά έχουμε πεπερασμένους πόρους για να εργαστούμε και η εξασφάλιση χρηματοδότησης είναι η συντριπτική πλειοψηφία της δουλειάς μας τώρα», έγραψε ο Zimmer, σημειώνοντας ότι το OSTIF σε ένα "πολλά υποσχόμενο" έργο σε κάθε τομέα κρυπτογραφίας.