Project Zero detecta dos nuevas fallas en TrueCrypt

Project Zero detecta dos nuevas fallas en TrueCrypt

Si usas TrueCrypt, el famoso (y descontinuado) software de cifrado, deberías considerar otras opciones. Según sus creadores, es momento de cambiar.

Si eres de las personas preocupadas por su privacidad que acostumbra a cifrar su disco para proteger sus datos en caso de que tu equipo se pierda o sea robado, seguramente conoces TrueCrypt. Un software de cifrado que, durante años, trajo el cifrado fuerte a los equipos domésticos de manera gratuita. Un software muy robusto usado por miles de personas que, de un momento a otro, perdió el soporte de sus creadores. Tanto así que sus mismos creadores postean en su página que lo dejen de usar, que ya no es seguro, aunque no explican por qué.

Lo cierto es que desde ese entonces, han salido varios forks de TrueCrypt, buscando llenar ese vacío que dejó en la comunidad. Aun así, hay gente que hoy día sigue confiando en este software, aunque sus creadores ya no lo hagan. Si eres de esas personas que sigue confiando, quizás esto te haga pensar en moverte a una de las nuevas implementaciones.

James Forshaw, investigador de seguridad de Project Zero ha encontrado dos vulnerabilidades en TrueCrypt que permiten la elevación de privilegios. Aunque estas no permiten desencriptar la data, provee mecanismos para obtener la llave de descifrado a través de la instalación de Malware en la máquina de la víctima.

Ambas vulnerabilidades son catalogadas como críticas y aunque el investigador no ha anunciado públicamente ningún detalle de las vulnerabilidades, anunció que serán publicadas una vez que sean revisadas y corregidas.

Quizás te interese:   Samsung Entrim 4D llevará la realidad virtual a otro nivel

La descripción de las vulnerabilidades según aparecen en el Common Vulnerabilities and Exposures es la siguiente:

[su_box title=»CVE-2015-7358″ box_color=»#272657″ radius=»5″]

Esta vulnerabilidad se produce porque el driver de TrueCrypt no valida correctamente el enlace simbólico usado para asignar las letras de la unidad de los volúmenes cifrados. Como resultado, un atacante puede obtener acceso a un proceso en ejecución y obtener privilegios administrativos completos.

[/su_box]
[su_box title=»CVE-2015-7359″ box_color=»#272657″ radius=»5″]

El driver del controlador de TrueCrypt no valida el usuario en el contexto de seguridad, y un atacante podría suplantar a un usuario autenticado.

[/su_box]

Ya hace un año que los creadores de TrueCrypt abandonaron el proyecto y recomendaron moverse a otro software de cifrado. Desde ese entonces, existen varias alternativas OpenSource que han basado su trabajo en la misma filosofía que TrueCrypt. Entre ellos tenemos a CipherShed y Veracrypt. Veracrypt en su última revisión, ha corregido los fallos antes mencionados, por lo que podría ser una opción si deseas migrar, ya que no se puede actualizar.

Fuente: The Hacker News

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.