La primera parte de la auditoría que fue fundada el año pasado está completa. Mientras varias vulnerabilidades se encontraron, no aparecio ningun tipo de "puerta trasera" hasta el momento (dadas las recurrentes revelaciones de la NSA, se temía esto). El reporte, en inglés, se encuentra acá (https://opencryptoaudit.org/reports/) (pdf).
Las siguientes vulnerabilidades fueron encontradas:
- Weak Volume Header key derivation algorithm (Medium)
- Sensitive information might be paged out from kernel stacks (Medium)
- Multiple issues in the bootloader decompressor (Medium)
- Windows kernel driver uses memset() to clear sensitive data (Medium)
- TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure (Low)
- IOCTL_DISK_VERIFY integer overflow (Low)
- TC_IOCTL_OPEN_TEST multiple issues (Low)
- MainThreadProc() integer overflow (Low)
- MountVolume() device check bypass (Informational)
- GetWipePassCount() / WipeBuffer() can cause BSOD (Informational)
- EncryptDataUnits() lacks error handling (Informational)
FUENTE ~> http://soylentnews.org/article.pl?sid=14/04/15/1622239
Más información del proyecto: http://istruecryptauditedyet.com/
Es una buena iniciativa, después del bug heartbleed se pudo ver cómo software (libre) aún siendo de gran importancia para innumerables industrias, puede recaer en pocos desarrolladores y mal financiados.
Saludos