TrueCrypt: Primeira Fase do Processo de Auditoria não Encontra Backdoors

Algumas pessoas, certamente, lembram que no ano passado, os especialistas em criptografia Matthew Green e Kenneth Branco, Principal Scientist at Social & Scientific Systems, pediram um crowdfunded de auditoria de segurança pública do TrueCrypt. Muito bem, em face disso, os resultados da primeira fase da auditoria foram publicados, e as notícias são boas em relação ao backdoors potenciais presentes no código. Nessa sequência, a iSEC Partners, empresa de verificação do projeto de teste e software de penetração que foi contratada em dezembro para avaliar o código do TrueCrypt no kernel do Windows, o bootloader, o condutor do sistema de arquivos e as áreas ao redor desse código, relataram que não encontraram nenhuma evidência de backdoors ou código intencionalmente malicioso nas áreas avaliadas", e que as vulnerabilidades encontradas parecem ser plantadas propositadamente, apresentadas como o resultado de erros ao invés de um típico comportamento cybercriminoso."


Ao todo, eles encontraram onze questões de segurança, quatro das quais de gravidade média, quatro de baixa gravidade e três de gravidade "de relevância média". "No geral, o código-fonte, tanto para o bootloader e para o driver de kernel do Windows, não atende aos padrões esperados para código seguro. Isto inclui questões como a falta de comentários, uso de funções inseguras ou obsoletas, tipos de variáveis ​​inconsistentes, e assim por diante", explicaram os especialistas.


Saiba Mais:

[1] Isec Partners https://isecpartners.github.io/news/...ypt-Audit.html