Project Zero detecta dos nuevas fallas en TrueCrypt

Publicado el 01 octubre 2015 por Jesús Jiménez @zonageeknet

Si usas TrueCrypt, el famoso (y descontinuado) software de cifrado, deberías considerar otras opciones. Según sus creadores, es momento de cambiar.

Si eres de las personas preocupadas por su privacidad que acostumbra a cifrar su disco para proteger sus datos en caso de que tu equipo se pierda o sea robado, seguramente conoces TrueCrypt. Un software de cifrado que, durante años, trajo el cifrado fuerte a los equipos domésticos de manera gratuita. Un software muy robusto usado por miles de personas que, de un momento a otro, perdió el soporte de sus creadores. Tanto así que sus mismos creadores postean en su página que lo dejen de usar, que ya no es seguro, aunque no explican por qué.

Lo cierto es que desde ese entonces, han salido varios forks de TrueCrypt, buscando llenar ese vacío que dejó en la comunidad. Aun así, hay gente que hoy día sigue confiando en este software, aunque sus creadores ya no lo hagan. Si eres de esas personas que sigue confiando, quizás esto te haga pensar en moverte a una de las nuevas implementaciones.

James Forshaw, investigador de seguridad de Project Zero ha encontrado dos vulnerabilidades en TrueCrypt que permiten la elevación de privilegios. Aunque estas no permiten desencriptar la data, provee mecanismos para obtener la llave de descifrado a través de la instalación de Malware en la máquina de la víctima.

Ambas vulnerabilidades son catalogadas como críticas y aunque el investigador no ha anunciado públicamente ningún detalle de las vulnerabilidades, anunció que serán publicadas una vez que sean revisadas y corregidas.

La descripción de las vulnerabilidades según aparecen en el Common Vulnerabilities and Exposures es la siguiente:

Ya hace un año que los creadores de TrueCrypt abandonaron el proyecto y recomendaron moverse a otro software de cifrado. Desde ese entonces, existen varias alternativas OpenSource que han basado su trabajo en la misma filosofía que TrueCrypt. Entre ellos tenemos a CipherShed y Veracrypt. Veracrypt en su última revisión, ha corregido los fallos antes mencionados, por lo que podría ser una opción si deseas migrar, ya que no se puede actualizar.

Fuente: The Hacker News