BR-Linux.org

Lembra quando, no ano passado, surgiram dúvidas profundas sobre o TrueCrypt, popular sistema de criptografia de volumes que é grátis e não é propriamente open source (embora seu código-fonte esteja acessível), e que ninguém sabe quem o criou e mantém?

Pois então: uma auditoria foi iniciada, com base na versão para Windows (que é distribuída como executável e, a princípio, havia dúvida sobre se correspondia diretamente ao código-fonte publicamente disponível), e agora saiu seu relatório, concluindo que não há nenhuma falha intencional nos sistemas verificados, embora haja um ou outro bug que parecem ser decorrentes de erros, e não são profundamente sérios.

Uma segunda auditoria vai começar agora, testando a criptografia em si. Tomara que os autores, sejam eles quem forem, estejam de olho! (via arstechnica.com - “TrueCrypt audit finds “no evidence of backdoors” or malicious code | Ars Technica”)

O OpenBSD, que já mantém o popular OpenSSH,¹ e recentemente passou por problemas financeiros, acaba de iniciar uma nova empreitada que pode melhorar a segurança da Internet: criaram um fork próprio do OpenSSL, para reduzir a chance de que mais algum bug do porte do recente Heartbleed surja no mesmo projeto.

O OpenSSL não é conhecido como grande exemplo de qualidade de código, e os desenvolvedores do fork no âmbito do OpenBSD já começaram com mão pesada, removendo fontes de entropia questionáveis, removendo arquivos de suporte a sistemas operacionais clássicos (MacOS pré OS X, VMS, Netware, etc...), e principalmente removendo wrappers do OpenSSL para uma série de funções do sistema operacional – um desses wrappers, se não estivesse lá, tornaria impossível o bug Heartbleed deixar de ser percebido. Boa sorte, e sucesso! (via undeadly.org - “OpenBSD has started a massive strip-down and cleanup of OpenSSL”)