¿Sigues usando TrueCrypt? ¡Cuidado con estas 2 fallas críticas!

El experto en seguridad James Forshaw ha descubierto dos fallas críticas en el controlador que TrueCrypt instala en sistemas Windows.

securityaffairs.- Malas noticias para los usuarios de Windows que han decidido utilizar TrueCrypt para cifrar sus discos duros, el investigador James Forshaw, un miembro del equipo del Proyecto Zero de Google, ha descubierto dos vulnerabilidades graves que afectan a la popular aplicación.

A pesar de que el mantenimiento de TrueCrypt se ha interrumpido en de mayo de 2014 por sus desarrolladores, es una de las aplicaciones más populares para el cifrado de datos de usuario.

Los autores originales de TrueCrypt advirtieron a los usuarios sobre la posible presencia de "cuestiones de seguridad sin resolver" y los invitó a migrar a BitLocker, la solución de cifrado de disco completo implementada por Microsoft.

James Forshaw ha descubierto dos fallas en el controlador que TrueCrypt instala en sistemas Windows.

Es curioso observar que ninguna de las auditorías previas ha puesto al descubierto ninguna de estas fallas en la aplicación TrueCrypt. En particular, un equipo de investigadores realizó un análisis que duró dos años y que se organizó en dos fases distintas. En la primera fase los expertos analizaron los planos del software y descubrieron sólo 11 temas de severidad media y baja en el software.

En la segunda fase, que finalizó recientemente, los expertos examinaron la implementación de TrueCrypt para generar números aleatorios y algoritmos de clave críticos, y varios conjuntos de suites de cifrado.

Auditores de seguridad y expertos en criptografía de la NCC decidieron analizar el software TrueCrypt en respuesta a los documentos filtrados por Edward Snowden que hipotéticamente planteaban la presencia de una puerta trasera en la aplicación.

TrueCrypt parece ser una pieza de software criptográfico relativamente bien diseñada; el experto en criptografía Matthew Green explicó en una entrada de blog. La auditoría NCC no encontró evidencia de puertas traseras deliberadas, o cualquier defecto de diseño graves que hiciera insegura cualquier instancia del software en la mayoría de los casos.

Ahora, Forshaw explica que un atacante puede explotar la vulnerabilidad para obtener privilegios elevados en un sistema si tienen acceso a una cuenta de usuario limitada.

Forshaw no ha revelado los detalles sobre las dos vulnerabilidades porque él tiene la intención de esperar siete días para el descubrimiento o el lanzamiento de una actualización de seguridad para solucionar el problema.

¿Quién va a solucionar las fallas en TrueCrypt?

Seguro que estos bugs no serán corregidos por los autores originales, sin embargo la vulnerabilidad (CVE-2015-7358 y CVE-2015-7359) parecen haber sido corregidas en VeraCrypt, un spin-off del proyecto original TrueCrypt.

VeraCrypt 1.15 que fue lanzado la semana pasada contiene los parches para las dos vulnerabilidades descubiertas por Forshaw, así como para otros bugs.

Los usuarios que aún utilizan TrueCrypt deben comenzar a utilizar VeraCrypt para evitar problemas, sus desarrolladores ya han solucionado muchos problemas de seguridad que afectan al software original.

Las 5 Mejores Herramientas de Cifrado de Archivos (Encripción)

Mantener seguros sus datos personales no tiene por qué ser difícil, siempre y cuando mantenga el material sensible cifrado (encriptado) y bajo su control. Es por eso que te traemos las mejores cinco herramientas de cifrado de archivos que puedes utilizar para cifrar los datos a nivel local para que sólo tú tengas la llave.

Sin ningún orden en particular:

VeraCrypt (Windows / OS X / Linux)

VeraCrypt es una bifurcación y sucesor de TrueCrypt, que dejó de ser mantenido el año pasado (más sobre ellos más adelante.) El equipo de reclamaciones de desarrollo que han abordado algunas de las cuestiones que se plantearon durante la auditoría de seguridad inicial de TrueCrypt, y al igual que el original, es libre, con versiones disponibles para Windows, OS X y Linux. Si usted está buscando una herramienta de cifrado de archivos que funciona como y le recuerda de TrueCrypt, pero no es exactamente TrueCrypt, eso es todo. VeraCrypt soporta AES (los más utilizados), TwoFish y sistemas de cifrado Serpent, apoya la creación de ocultos, volúmenes cifrados en otros volúmenes. Su código está disponible para revisar, aunque no es de origen estrictamente abierto (porque gran parte de su código base de vino de TrueCrypt.) La herramienta también está en desarrollo constante, con actualizaciones periódicas de seguridad y una auditoría independiente en las etapas de planificación (de acuerdo con los desarrolladores).

Axcrypt (Windows)

AxCrypt es una herramienta  de cifrado de código libre, abierto, de licencia GPL de GNU para Windows que se enorgullece de ser sencillo, eficiente y fácil de usar. Se integra muy bien con el shell de Windows, así que usted puede hacer clic en un archivo para cifrar, o incluso configurar "cronometrado", cifrados ejecutables, por lo que el archivo está bloqueado por un período específico de tiempo y se auto-descifra más tarde, o cuando su destinatario lo recibe. Los archivos con AxCrypt se pueden descifrar a la vista o mantienen desencriptados mientras están en uso, y luego de nuevo automáticamente cifran cuando están modificados o cerrados. Es rápido, demasiado, y le permite seleccionar una carpeta completa o simplemente un grupo grande de archivos y cifrar todos ellos con un solo clic. Es totalmente una herramienta de cifrado de archivos, sin embargo, lo que significa la creación de volúmenes o unidades cifradas está fuera de sus posibilidades. Es compatible con el cifrado AES de 128-bit, ofrece protección contra la fuerza bruta y es excepcionalmente ligera (menos de 1 MB.)

BitLocker (Windows)

BitLocker es una herramienta de cifrado de disco completo integrado en Windows Vista y Windows 7 (Ultimate y Empresa), y en Windows 8 (Empresa y Pro), así como Windows Server (2008 y posteriores). Es compatible con el cifrado AES (128 y 256 bits), y mientras se usa principalmente para el cifrado de todo el disco, también soporta el cifrado de otros volúmenes o una unidad virtual que se puede abrir y acceder como cualquier otra unidad en el equipo. Es compatible con múltiples mecanismos de autenticación, incluyendo contraseñas y números PIN tradicional, una "llave" USB y la tecnología más controvertido Trusted Platform Module (TPM) (que utiliza hardware para integrar llaves en dispositivos) que hace que el cifrado y descifrado transparente para el usuario, sino también viene con una serie de sus propios problemas. De cualquier manera, la integración de BitLocker con Windows (específicamente Windows 8 Pro) lo hace accesible a muchas personas, y una herramienta de cifrado de disco viable para las personas que buscan proteger sus datos si su ordenador portátil o unidades de disco duro de pérdida o robo, en caso de que sus equipos están en peligro , o una empresa que busca asegurar los datos en el campo.

GNU Privacy Guard (Windows / OS X / Linux)

GNU Privacy Guard (GnuPG) es en realidad una implementación de código abierto de Pretty Good Privacy (PGP). Mientras que usted puede instalar la versión de línea de comandos en algunos sistemas operativos, la mayoría de la gente elige a partir de las docenas de interfaces e interfaces gráficas para ello, incluidos los comunicados oficiales que se pueden cifrar todo, desde la dirección de correo electrónico a los archivos comunes a los volúmenes enteros. Todas las herramientas de GnuPG admiten varios tipos de cifrado y sistemas de cifrado, y generalmente son capaces de encriptar archivos individuales de una en una, las imágenes de disco y los volúmenes o unidades externas y los medios de comunicación conectado.

7-Zip (Windows / OS X / Linux)

7-Zip es en realidad un ligero compresor de archivos, nuestra utilidad de archivo favorito para Windows. Aunque es increíble en la compresión y la organización de archivos para un fácil almacenamiento o el envío a través de Internet, es también una fuerte herramienta de cifrado de archivos, y es capaz de convertir archivos individuales o volúmenes enteros en los volúmenes cifrados que sólo tu tienes las llaves. Es completamente gratuito, incluso para uso comercial, admite el cifrado AES de 256 bits, y mientras que la descarga oficial es sólo para Windows, hay versión no oficial para los sistemas Linux y OS X también. La mayor parte del código de 7-Zip es GNU LGPL licencia y la posibilidad de examinar. .7z Comprimido y cifrado (o .zip, si se prefiere) archivos son fáciles de transportar y seguro, y se pueden cifrar con contraseñas y convertir en archivos ejecutables que se auto-descifran cuando llegan a su destinatario. 7-Zip también se integra con el shell del sistema operativo que esté utilizando, por lo que esta por lo general a un clic de distancia de su uso. También es una potente utilidad de línea de comandos.

Elijan el que mejor les parezca y recuerden que la privacidad de nuestros datos es lo mas importante.

Fuente: LifeHacker

Las 5 Mejores Herramientas de Cifrado de Archivos (Encripción)

Mantener seguros sus datos personales no tiene por qué ser difícil, siempre y cuando mantenga el material sensible cifrado (encriptado) y bajo su control. Es por eso que te traemos las mejores cinco herramientas de cifrado de archivos que puedes utilizar para cifrar los datos a nivel local para que sólo tú tengas la llave.

Sin ningún orden en particular:

VeraCrypt (Windows / OS X / Linux)

VeraCrypt es una bifurcación y sucesor de TrueCrypt, que dejó de ser mantenido el año pasado (más sobre ellos más adelante.) El equipo de reclamaciones de desarrollo que han abordado algunas de las cuestiones que se plantearon durante la auditoría de seguridad inicial de TrueCrypt, y al igual que el original, es libre, con versiones disponibles para Windows, OS X y Linux. Si usted está buscando una herramienta de cifrado de archivos que funciona como y le recuerda de TrueCrypt, pero no es exactamente TrueCrypt, eso es todo. VeraCrypt soporta AES (los más utilizados), TwoFish y sistemas de cifrado Serpent, apoya la creación de ocultos, volúmenes cifrados en otros volúmenes. Su código está disponible para revisar, aunque no es de origen estrictamente abierto (porque gran parte de su código base de vino de TrueCrypt.) La herramienta también está en desarrollo constante, con actualizaciones periódicas de seguridad y una auditoría independiente en las etapas de planificación (de acuerdo con los desarrolladores).

Axcrypt (Windows)

AxCrypt es una herramienta  de cifrado de código libre, abierto, de licencia GPL de GNU para Windows que se enorgullece de ser sencillo, eficiente y fácil de usar. Se integra muy bien con el shell de Windows, así que usted puede hacer clic en un archivo para cifrar, o incluso configurar "cronometrado", cifrados ejecutables, por lo que el archivo está bloqueado por un período específico de tiempo y se auto-descifra más tarde, o cuando su destinatario lo recibe. Los archivos con AxCrypt se pueden descifrar a la vista o mantienen desencriptados mientras están en uso, y luego de nuevo automáticamente cifran cuando están modificados o cerrados. Es rápido, demasiado, y le permite seleccionar una carpeta completa o simplemente un grupo grande de archivos y cifrar todos ellos con un solo clic. Es totalmente una herramienta de cifrado de archivos, sin embargo, lo que significa la creación de volúmenes o unidades cifradas está fuera de sus posibilidades. Es compatible con el cifrado AES de 128-bit, ofrece protección contra la fuerza bruta y es excepcionalmente ligera (menos de 1 MB.)

BitLocker (Windows)

BitLocker es una herramienta de cifrado de disco completo integrado en Windows Vista y Windows 7 (Ultimate y Empresa), y en Windows 8 (Empresa y Pro), así como Windows Server (2008 y posteriores). Es compatible con el cifrado AES (128 y 256 bits), y mientras se usa principalmente para el cifrado de todo el disco, también soporta el cifrado de otros volúmenes o una unidad virtual que se puede abrir y acceder como cualquier otra unidad en el equipo. Es compatible con múltiples mecanismos de autenticación, incluyendo contraseñas y números PIN tradicional, una "llave" USB y la tecnología más controvertido Trusted Platform Module (TPM) (que utiliza hardware para integrar llaves en dispositivos) que hace que el cifrado y descifrado transparente para el usuario, sino también viene con una serie de sus propios problemas. De cualquier manera, la integración de BitLocker con Windows (específicamente Windows 8 Pro) lo hace accesible a muchas personas, y una herramienta de cifrado de disco viable para las personas que buscan proteger sus datos si su ordenador portátil o unidades de disco duro de pérdida o robo, en caso de que sus equipos están en peligro , o una empresa que busca asegurar los datos en el campo.

GNU Privacy Guard (Windows / OS X / Linux)

GNU Privacy Guard (GnuPG) es en realidad una implementación de código abierto de Pretty Good Privacy (PGP). Mientras que usted puede instalar la versión de línea de comandos en algunos sistemas operativos, la mayoría de la gente elige a partir de las docenas de interfaces e interfaces gráficas para ello, incluidos los comunicados oficiales que se pueden cifrar todo, desde la dirección de correo electrónico a los archivos comunes a los volúmenes enteros. Todas las herramientas de GnuPG admiten varios tipos de cifrado y sistemas de cifrado, y generalmente son capaces de encriptar archivos individuales de una en una, las imágenes de disco y los volúmenes o unidades externas y los medios de comunicación conectado.

7-Zip (Windows / OS X / Linux)

7-Zip es en realidad un ligero compresor de archivos, nuestra utilidad de archivo favorito para Windows. Aunque es increíble en la compresión y la organización de archivos para un fácil almacenamiento o el envío a través de Internet, es también una fuerte herramienta de cifrado de archivos, y es capaz de convertir archivos individuales o volúmenes enteros en los volúmenes cifrados que sólo tu tienes las llaves. Es completamente gratuito, incluso para uso comercial, admite el cifrado AES de 256 bits, y mientras que la descarga oficial es sólo para Windows, hay versión no oficial para los sistemas Linux y OS X también. La mayor parte del código de 7-Zip es GNU LGPL licencia y la posibilidad de examinar. .7z Comprimido y cifrado (o .zip, si se prefiere) archivos son fáciles de transportar y seguro, y se pueden cifrar con contraseñas y convertir en archivos ejecutables que se auto-descifran cuando llegan a su destinatario. 7-Zip también se integra con el shell del sistema operativo que esté utilizando, por lo que esta por lo general a un clic de distancia de su uso. También es una potente utilidad de línea de comandos.

Elijan el que mejor les parezca y recuerden que la privacidad de nuestros datos es lo mas importante.

Fuente: LifeHacker