Si hay algo que precisa una auditoria de seguridad son los proyectos de cifrado surgidos como bifurcaciones de TrueCrypt. Es algo paradójico que mientras este superó con buena nota un completo análisis de vulnerabilidades una vez ya –misteriosamente– descontinuado, forks como VeraCrypt llamados a tomar el relevo y que gozan de un desarrollo muy activo, carecen de una auditoria. Algo que certifique que los cambios realizados para subsanar deficiencias (especialmente en plataformas Windows) y ampliar las capacidades del código heredado de TrueCrypt, han sido los adecuados.
Eso va a cambiar pronto, ya que los responsables del proyecto han llegado a un acuerdo con The OSTIF (The Open Source Technology Improvement Fund) para llevar a cabo una auditoría independiente de VeraCrypt en busca de backdoors o cualquier posible fallo.
Los fondos necesarios para su realización provienen de donaciones de DuckDuckGO y VikingVPN, que servirán para contratar a los profesionales encargados de auditor el código, pertenecientes a su vez a la compañía QuarksLab.
Los resultados se presentaran a mediados de septiembre, una vez las posibles vulnerabilidades hayan sido parcheadas.
Siempre que no existan contratiempos extraños, como los que ha denunciado la gente de OSTIF, dando por seguro que los servicios de inteligencia de algún país podría estar interceptando sus comunicaciones, después de que varios correos cifrados mediante PGP y enviados entre las diferentes partes (OSTIF, el líder de Veracrypt y QuarksLab) se hayan “perdido”:
Hasta ahora han desaparecido sin dejar rastro, un total de cuatro mensajes de correo electrónico, a partir de diferentes emisores independientes. No solo es no hayan llegado los mensajes, sino que tampoco hay rastro de los correos electrónicos en nuestra carpeta de “enviados”. En el caso de OSTIF, ha sido en la versión business de Gmail (Google Apps for work) donde los emails enviados han desaparecido.
Esto sugiere que actores externos están intentando escuchar o interferir con el proceso de auditoria.
Estamos estableciendo formas alternativas de comunicación cifrada con el fin de seguir adelante con el proyecto de auditoría.
Si los estados-nación están interesados en lo que estamos haciendo es que debemos estar haciendo algo bien ¿verdad?
A estas alturas es difícil decir si esto ha sido una casualidad producto de un fallo de software, un trabajo de interceptación para dificultar la realización de la auditoría o un hackeo que fue mal y dejó demasiadas huellas (esto último casi lo descarto, por lo menos de una agencia de inteligencia; aunque como ahora se dejan las herramientas tiradas por ahí, quien sabe…).
Al igual que pasaba con TrueCrypt, en VeraCrypt se reunen una serie de características, que seguro no son del agrado de muchos gobiernos y agencias estatales: multiplataforma, portable, seguro y sobre todo muy fácil de usar (será por eso último que nadie se mete con GPG)
En todo caso la teoría de la conspiración está servida.
Fuente: lamiradadelreplicante
