VeraCrypt آسیب‌پذیری‌های امنیتی دارد؛ سریع به فکر به‌روزرسانی باشید!

۸پس از آن‌که TrueCrypt به طرز مرموزی سرویس خود را قطع کرد، VeraCrypt به محبوب‌ترین نرم‌افزار متن‌باز رمزگذاری دیسک مبدل شد که توسط فعالان سیاسی، روزنامه‌نگاران، و نیز افراد آگاه از اهمیت حریم خصوصی استفاده می‌شود.
آسیب‌پذیری‌ها یک واقعیت تأسف‌بار برای هر محصول نرم‌افزاری به شمار می‌روند، اما نباید فراموش کرد که همواره فرصت جبران و اصلاح شرایط وجود دارد.
با توجه به محبوبیت بالای VeraCrypt، محققان امنیتی OSTIF (صندوق توسعه‌ی فن‌آوری‌ متن‌باز) توافق نظر دارند که بررسی روی VeraCrypt به‌صورت جداگانه انجام شود؛ این سازمان پژوهش‌گرانی از QuarksLab را در ماه آگوست برای انجام این بررسی‌های موشکافانه استخدام نمود. به این ترتیب کاشف به عمل آمد که VeraCrypt چندان هم بی‌عیب و نقص نیست.
حال بعد از گذشت یک ماه از شروع بررسی‌ها، محققان توانسته‌اند تعدادی از مشکلات امنیتی بستر رمزنگاری محبوب VeraCrypt را کشف کنند که از میان آن‌ها ۸ مورد بحرانی، ۳ مورد متوسط، و ۱۵ مورد از نوع آسیب‌پذیری‌های با شدت پایین برآورد شده‌اند.
محقق امنیتی ارشد Quarkslab، ژان باپتیست بدرون، و رمزنگار ارشد ماریون ویدیاو به تجزیه و تحلیل نسخه‌ی ۱.۱۸ از VeraCrypt و نسخه‌ی ۱.۱۸ از بوت‌لودر DCS EFI پرداخته‌اند، آن‌ها به‌طور ویژه‌ای روی قابلیت‌های جدیدی تمرکز کرده‌اند که از سال گذشته در ممیزی امنیتی TrueCrypt عنوان شده بود.
نرم‌افزار رمزنگاری VeraCrypt از پروژه‌ی TrueCrypt مشتق شده است، اما از لحاظ امنیتی پیشرفت داشته تا امنیت داده‌های کاربران را بیشتر تضمین نماید.
VeraCrypt پروژه‌ای است که شرایط نگه‌داری آن دشوار می‌باشد. برای درک این پروژه بایست از دانش عمیق نسبت به چندین سامانه‌ی عامل مختلف، هسته‌ی ویندوز، زنجیره‌ی راه‌اندازی سامانه و مفاهیم تخصصی رمزنگاری برخوردار بود. پیشرفت‌های صورت‌گرفته توسط IDRIX نشان‌دهنده‌ی برخورداری از این مهارت‌ها می‌باشد.
پژوهش‌‌گران تمامی آسیب‌پذیری‌ها را در یک گزارش بازبینی ۴۲ صفحه‌ای شرح داده‌اند، این گزارش شامل موارد زیر است:
اشکالات مهم در پیاده‌سازی GOST ۲۸۱۴۷-۸۹؛ GOST ۲۸۱۴۷-۸۹ یک بلوک رمز متقارن است که اندازه‌ی بلوک آن ۶۴ بیت می‌باشد؛ گفته می‌شود که این بلوک‌ها را باید به خاطر پیاده‌سازی ناامنی که دارند به کلی حذف کرد.
تمامی کتابخانه‌های فشرده‌سازی از رده خارج هستند و یا ضعیف نگاشته شده‌اند، و باید با کتابخانه‌های امروزی و امن‌تر زیپ نوشته شوند.
چنانچه این سامانه رمزگذاری شود، گذرواژه‌ی راه‌اندازی یا بوت در حالت UEFI، یا طول آن قابل تعیین خواهد بود.
اکثر شکاف‌ها در آخرین نسخه‌ی VeraCrypt از انتشار ۱.۱۹ اصلاح شده است، اما تعداد اندکی از آن‌ها نظیر پیاده‌سازی AES، به خاطر تغییرات مهم انجام‌شده در کد و یا نوع معماری پروژه هنوز وصله نشده‌اند.
به همین خاطر، به استناد OSTIF، VeraCrypt بعد از انجام این بازبینی بسیار امن‌تر شده است، و اصلاحیه‌های صورت‌گرفته در این نرم‌افزار به معنای آن است که جهان با وجود این نرم‌افزار امن‌تر شده است.
به کاربران توصیه می‌شود که جدیدترین نسخه‌ی VeraCrypt، یعنی نسخه‌ی ۱.۱۹ را بارگیری و نصب نمایند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]