"Attenzione: usare TrueCrypt non è sicuro perché potrebbe contenere problemi di sicurezza irrisolti". Si apre con questa frase minacciosa la pagina
del famoso progetto dedicato alla crittografia: il progetto è morto,
ufficialmente in concomitanza con l'abbandono di Windows XP da parte di
Microsoft. È stata pubblicata la versione 7.2 del programma per
decrittare i file attualmente protetti e facilitare il passaggio a
Bitlocker.
Gli sviluppatori suggeriscono infatti di usare Bitlocker,
lo strumento di crittografia integrato in Windows, come alternativa. Un
vero e proprio terremoto nel mondo della sicurezza, perché TrueCrypt
per anni è stato un vero e proprio punto di riferimento, un faro nella
notte per chi naviga alla ricerca della migliore privacy.
Ancora più sorprendente è che si consigli di usare Bitlocker: il prodotto Microsoft non ha vulnerabilità note, ma c'è sempre il tema della collaborazione con la NSA e delle backdoor
collocate ad arte in tutti i programmi. Ipotesi, illazioni o fatti
concreti? Non si può affermare con certezza assoluta, ma nel mondo degli
esperti IT in generale si preferiscono altre strade.
La pubblicazione non ha nulla a che vedere con l'audit di sicurezza sullo stesso TrueCrypt. Gli studi per la ricerca di backdoor nascoste non sono ancora terminati, ma per il momento non sono emerse criticità rilevanti.
Forse i risultati ancora da pubblicare sono talmente compromettenti da
aver spinto a questa scelta radicale? Improbabile, ma nemmeno questa
ipotesi si può escludere.
Non è chiaro quindi quali siano i problemi di sicurezza irrisolti segnalati sulla pagina di TrueCrypt; si è speculato
che sia stato compromesso il sito stesso, e sostituito l'eseguibile
della versione 7.2 con un trojan. Un'ipotesi difficile da dimostrare al
momento, ma non si può escludere che tutta la pagina sia una vera e
propria trappola.
I gestori di SourceForge, tuttavia, non hanno rilevato segnali di violazioni sulla pagina in questione - il che sarebbe stato del tutto possibile considerato il recente annuncio
relativo proprio all'aggiornamento del servizio. Per sicurezza,
comunque, meglio evitare di scaricare TrueCrypt 7.2, almeno per ora.
"C'è qualcosa di molto insolito nel codice della 7.2", scrive
infatti un utente del forum di Neowin, "che ho installato in un
ambiente VM protetto. Sta facendo cose strane con la rete… non credo che
questo file sia legittimo… non ho mai visto Truecrypt usare connessioni
in passato".
L'eseguibile è firmato con le chiavi di TrueCrypt ma può solo
decrittare, non viceversa. Sono inoltre state cancellate le versioni
precedenti dai repository ufficiali - ma su GitHub si trovano comunque (grazie Mach00!). Può essere un elaborato tentativo di truffa quindi, ma anche il risultato di pressioni legali
sugli autori di TrueCrypt - un po' com'è accaduto a quelli di Lavabit.
Non si può escludere che TrueCypt 7.2 sia effettivamente l'ultima
versione ufficiale, pubblicata solo per facilitare il passaggio a
Bitlocker, come recita la pagina ufficiale.
Riassumendo: TrueCrypt chiude e consiglia di passare a Bitlocker -
almeno per chi usa Windows. Ci sarebbero problemi di sicurezza, e la
risposta è una nuova versione del software che si comporta in modo
anomale. Sembra che ci sia un mistero da risolvere: secondo voi che è
successo?
Fonte
Sta storia puzza non poco.
Chi lavora nella sicurezza informatica farebbe bene a tenersi stretta la versione 7.1a in attesa di un auspicatissimo fork, possibilmente sotto licenza GNU-GPL.
Nessun commento:
Posta un commento