Аудит исходного кода TrueCrypt: серьезных угроз не выявлено
Еще в октябре прошлого года iSEC Partners начала аудит TrueCrypt — программы с открытым исходным кодом для шифрования дисков, которая используется миллионами пользователей Windows, Mac и Linux. Результаты работы были опубликованы в документе на сайте opencryptoaudit.org.
Во время изучения кода было обнаружено в общей сложности 11 угроз безопасности пользователей. 4 из них имеют средний уровень опасности, еще 4 — низкий, остальные в принципе тяжело классифицировать из-за их незначительности.
В iSEC отметили, что исходный код загрузчика и драйвер ядра Windows «не соответствуют ожидаемым стандартам исходного кода». Среди обнаруженных проблем отмечается, что TrueCrypt применяет небезопасные и нежелательные функции, также наблюдается недостаток комментариев и отличающиеся типы переменных. Так как TrueCrypt является проектом с открытым исходным кодом, в его разработке участвует множество людей, поэтому подобные проблемы не являются странными.
Исследователи не только критиковали создателей программы шифрования. Так, они отметили наличие качественных справочных материалов, которые содержат рекомендации и подобное описание функций TrueCrypt. Также не было обнаружено бекдоров и какого-либо вредоносного кода, внесенного в код намеренно, а все обнаруженные уязвимости появились в результате ошибок.
Среди уязвимостей отмечается ошибка алгоритма вывода Volume Header, несколько ошибок в декомпрессоре загрузчика, доступность информации из стеков ядра, а также использование драйвером ядра Windows функции memset () для очистки важной информации. Эти уязвимости не несут риска компрометации системы, они только угрожают утечкой конфиденциальной информации.
Сотрудники iSEC порекомендовали сменить среду разработки программы для Windows, потому что она использует инструменты и наборы программ, которые сложно получить от доверенных источников. Также создателям TrueCrypt стоит поработать над качеством своего кода, так как в текущий момент его тяжело изучать и дорабатывать.
Данное исследование является очень значимым в свете недавно обнаруженной уязвимости Heartbleed в наборе OpenSSL, который также имеет открытый исходный код и также используется огромным количеством пользователей. Проекты с открытым исходным кодом в ближайшее время, скорее всего, переживут серьезную переработку, так как интернет-сообщество очень сильно от них зависит, но к их безопасности до недавнего времени относились недостаточно серьезно.
Материалы по теме:
© 3DNews
