Завершена первая фаза аудита популярной программы для шифрования данных TrueCrypt.
Аудит программы TrueCrypt осуществляется компанией iSec по заказу самих разработчиков TrueCrypt на средства, собранные на краудфандинговом сайте IndieGoGo, где к настоящему времени на эти цели собрано $46420, пожертвованные 1296 пользователями, а также на сайте FundFill.
Отчет iSec о проведенном аудите TrueCrypt 7.1a для Windows доступен здесь.
Как сообщается в отчете, в результате проведенного исследования в TrueCrypt 7.1a для Windows не было обнаружено бэкдоров, но при этом были найдены следующие уязвимости (в скобках указан уровень их опасности):
• Weak Volume Header key derivation algorithm (Medium) • Sensitive information might be paged out from kernel stacks (Medium) • Multiple issues in the bootloader decompressor (Medium) • Windows kernel driver uses memset() to clear sensitive data (Medium) • TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure (Low) • IOCTL_DISK_VERIFY integer overflow (Low) • TC_IOCTL_OPEN_TEST multiple issues (Low) • MainThreadProc() integer overflow (Low) • MountVolume() device check bypass (Informational) • GetWipePassCount() / WipeBuffer() can cause BSOD (Informational) • EncryptDataUnits() lacks error handling (Informational)
Таким образом, всего было обнаружено 11 уязвимостей, из которых 4 имеют средний уровень опасности (medium), еще 4 низкий (low), а еще 3 носят информационный характер.
Как отмечают авторы отчета, обнаруженные уязвимости «судя по всему, являются ненамеренными и появились в результате багов, а не злого умысла».
Что подозрительного в том, что компания заказала аудит собственной программы(open source) другой компании? Неужели желтой прессы перечитали, где даже в HelloWorld встроен бэкдор для ящериков и спецслужб?
RESTORER, 17.04.2014 11:54
"Аудит программы TrueCrypt осуществляется компанией iSec по заказу самих разработчиков TrueCrypt". чемто это всё попахивает).
