Ignorante Informatico
27-03-2009, 08:02
Notizia parecchio preoccupante per gli utilizzatori di TrueCrypt.
Attraverso il NG polacco pl.comp.crypto e la successiva traduzione su comp.sec.tcerz, i programmatori Darek Goscynski e Piotr Krawzietyk, sull'onda di quanto sia già possibile ricavare con tool come TCHunt, hanno reso nota la possibilità di risalire alla presenza di volumi nascosti, mediante l'azione su determinati blocchi e l'analisi entropica di particolari settori del file system usato dal volume nascosto (sembra, infatti, che l'entropia aumenti in corrispondenza dello spazio riservato a quest'ultimo).
I due ricercatori hanno altresì evidenziato una falla nella gestione dei volumi virtuali di TrueCrypt, che permetterebbe di compromettere gli stessi. Infatti, dalle informazioni trapelate, sembrerebbe che il noto software di crittografia non gestisca bene gli object file in memoria, non tenendoli in un'area non paginabile. Questo bug potrebbe essere sfruttato per ricavare informazioni sensibili dal device driver, sfruttando la funzione CRYPTO INFO in Linux e DeviceIoControl in Windows, e risalire così all'algoritmo utilizzato, al vettore di inizializzaione, al modo di operazione e all'hidden volume (nota funzione del programma). Successivamente, ottenuti questi dati, si può procedere all'estrazione della master key, contenuta nella terza area sensibile (vedi figura 1 (http://www.pctunerup.com/up/results/_200903/20090326131806_1.JPG)), necessaria per decriptare i container. Usando questi valori mappati dal device, che puntano a un preciso oggetto kernel (vedi figura 2 (http://www.pctunerup.com/up/results/_200903/20090326131837_2.JPG)), si può estrarre la master key e decriptare il volume e, successivamente - volendo - anche la password, analizzando semplicemente la memoria (vedi figura 3 (http://www.pctunerup.com/up/results/_200903/20090326132026_3.jpg)).
Nei prossimi giorni, secondo quanto fatto sapere, verrà rilasciato un PoC in grado di dimostrare i risultati ottenuti nei test svolti dai due programmatori.
Fonte: pl.comp.crypto (via I2P)
Attraverso il NG polacco pl.comp.crypto e la successiva traduzione su comp.sec.tcerz, i programmatori Darek Goscynski e Piotr Krawzietyk, sull'onda di quanto sia già possibile ricavare con tool come TCHunt, hanno reso nota la possibilità di risalire alla presenza di volumi nascosti, mediante l'azione su determinati blocchi e l'analisi entropica di particolari settori del file system usato dal volume nascosto (sembra, infatti, che l'entropia aumenti in corrispondenza dello spazio riservato a quest'ultimo).
I due ricercatori hanno altresì evidenziato una falla nella gestione dei volumi virtuali di TrueCrypt, che permetterebbe di compromettere gli stessi. Infatti, dalle informazioni trapelate, sembrerebbe che il noto software di crittografia non gestisca bene gli object file in memoria, non tenendoli in un'area non paginabile. Questo bug potrebbe essere sfruttato per ricavare informazioni sensibili dal device driver, sfruttando la funzione CRYPTO INFO in Linux e DeviceIoControl in Windows, e risalire così all'algoritmo utilizzato, al vettore di inizializzaione, al modo di operazione e all'hidden volume (nota funzione del programma). Successivamente, ottenuti questi dati, si può procedere all'estrazione della master key, contenuta nella terza area sensibile (vedi figura 1 (http://www.pctunerup.com/up/results/_200903/20090326131806_1.JPG)), necessaria per decriptare i container. Usando questi valori mappati dal device, che puntano a un preciso oggetto kernel (vedi figura 2 (http://www.pctunerup.com/up/results/_200903/20090326131837_2.JPG)), si può estrarre la master key e decriptare il volume e, successivamente - volendo - anche la password, analizzando semplicemente la memoria (vedi figura 3 (http://www.pctunerup.com/up/results/_200903/20090326132026_3.jpg)).
Nei prossimi giorni, secondo quanto fatto sapere, verrà rilasciato un PoC in grado di dimostrare i risultati ottenuti nei test svolti dai due programmatori.
Fonte: pl.comp.crypto (via I2P)