Alfonso Maruccia

TrueCrypt: nessuna backdoor in vista

Il popolare software di cifratura passa il primo, fondamentale test sulla sicurezza del codice sorgente: gli esperti hanno individuato qualche bug qua e lą ma nulla di troppo serio. Ora si passa alla fase 2 della revisione

Roma - Nel mondo telematico post-Datagate la fiducia nei confronti dei software crittografici è un concetto molto aleatorio, pertanto c'è chi si è impegnato a raccogliere risorse (tramite campagna di crowdfunding) per analizzare in maniera approfondita il codice sorgente di un software diffuso e tradizionalmente considerato "sicuro" come TrueCrypt. I primi risultati della revisione sono arrivati, e sono moderatamente positivi.

Il progetto IsTrueCryptAuditedYet? ha completato la sua fase uno, e il rapporto che ne è conseguito evidenzia il numero e la gravità di problemi individuati all'interno del driver kernel per Windows, del bootloader e del driver per il file system costituenti gli elementi basilari della funzionalità offerta da TrueCrypt.

In totale iSEC Partners (società contattata per la revisione di TrueCrypt) ha scovato 11 vulnerabilità nei componenti sopra indicati, problemi al massimo di media pericolosità ma nulla di particolarmente pericoloso per la salvaguardia dei dati dell'utente.
Nella fase due del processo di auditing si passerà ad analizzare la robustezza delle tecnologie crittografiche adottate da TrueCrypt, vero e proprio "cuore" di un software pensato per cifrare in tempo reale tutti i dati presenti sul disco fisso e nasconderli alla vista di sguardi troppo indiscreti. Per il momento TrueCrypt continua a tenere fede alla sua "mission", e l'esperto di sicurezza Bruce Schneier dice di continuare a utilizzare il tool senza particolari patemi d'animo.

Alfonso Maruccia
47 Commenti alla Notizia TrueCrypt: nessuna backdoor in vista
Ordina
  • - Scritto da: unaDuraLezione
    > - Scritto da: Xena
    >
    > > E, infatti, immagina la caduta di
    > credibilità
    > e
    > > probabilmente di fatturato (almeno in ambito
    > > aziendale) se venisse
    > > confermata.
    >
    >
    > Assolutamente no.
    > Pochi lo sanno, meno ancora seguiranno
    > l'evolversi della faccenda, i più continueranno a
    > comprare.
    > vien quasi voglia di passare dall'altra parte e
    > fare soldi violando la privacy
    > altrui...

    No, aspetta.

    Il comune utente, salvo lodevoli eccezioni, continuerà a comprare Galaxy, anche se sa della vulnerabilità (ammesso che sia confermata), tanto la maggior parte della gente della propria privacy se ne frega o pensa di non essere in pericolo (se così non fosse, non pascolerebbe in continuazione su Facebook, userebbe Tor e simili, invece di farsi intercettare l'IP, ed userebbe la cittografia forte, invece di farsi trovare sul disco fisso informazioni riservate con facilità sconcertante).

    Ma il responsabile della sicurezza di un'azienda, perfino se è poco competente, una volta che ne viene a conoscenza non rischia certo il posto per dare il via libera all'uso aziendale di quegli smartphone, casomai consiglia altre marche.
    Perchè per lui non è neppure importante che una violazione avvenga realmente, basta che ci sia qualcuno che lo critica per aver messo l'azienda a rischio.
    non+autenticato
  • - Scritto da: Xena
    > - Scritto da: unaDuraLezione
    > > - Scritto da: Xena
    > >
    > > > E, infatti, immagina la caduta di
    > > credibilità
    > > e
    > > > probabilmente di fatturato (almeno in
    > ambito
    > > > aziendale) se venisse
    > > > confermata.
    > >
    > >
    > > Assolutamente no.
    > > Pochi lo sanno, meno ancora seguiranno
    > > l'evolversi della faccenda, i più
    > continueranno
    > a
    > > comprare.
    > > vien quasi voglia di passare dall'altra
    > parte
    > e
    > > fare soldi violando la privacy
    > > altrui...
    >
    > No, aspetta.
    >
    > Il comune utente, salvo lodevoli eccezioni,
    > continuerà a comprare Galaxy, anche se sa della
    > vulnerabilità (ammesso che sia confermata), tanto
    > la maggior parte della gente della propria
    > privacy se ne frega o pensa di non essere in
    > pericolo (se così non fosse, non pascolerebbe in
    > continuazione su Facebook, userebbe Tor e simili,
    > invece di farsi intercettare l'IP, ed userebbe
    > la cittografia forte, invece di farsi trovare sul
    > disco fisso informazioni riservate con facilità
    > sconcertante).
    >
    > Ma il responsabile della sicurezza di un'azienda,
    > perfino se è poco competente, una volta che ne
    > viene a conoscenza non rischia certo il posto per
    > dare il via libera all'uso aziendale di quegli
    > smartphone, casomai consiglia altre
    > marche.
    > Perchè per lui non è neppure importante che una
    > violazione avvenga realmente, basta che ci sia
    > qualcuno che lo critica per aver messo l'azienda
    > a
    > rischio.

    samsung lo invita alla presentazione del nuovo galaxy, presentazione che non si in un prestigioso centro congressi londinese. Coime al solito la presentazione si tiene il venerdi' pomeriggio per 20 minuti, ma poi il volo di rietro non e' disponibile fino a domenica sera. Ovviamente Samsung si scusa per il disguido e provvedera' a pagare per il tipo un soggiorno di due notti in un albergo 5 stelle, tanto il volo glielo aveva gia pagato.
    non+autenticato
  • Ci pensano Intel e i produttori di motherboards ad installare i keylogger segreti sull'hardware, cosi' la pass la trovano lo stesso.
    non+autenticato
  • - Scritto da: AxAx
    > Ci pensano Intel e i produttori di motherboards
    > ad installare i keylogger segreti sull'hardware,
    > cosi' la pass la trovano lo
    > stesso.

    Questo non lo si sa.
    Possibile ma tutt'altro che certo.

    E dopo il can-can generato da Snowden (santo subito!) le aziende private ci penseranno due volte prima di mettere delle backdoor in HW o SW, a meno che non siano obbligate per legge (che per ora non c'è).
    non+autenticato
  • contenuto non disponibile
  • contenuto non disponibile
  • Non le tv, al massimo le smarttv. una tv non può mandare messaggi, perché non è connessa in rete.
    non+autenticato
  • Ma che puntualizzazione utile!
    Grazie per il tuo prezioso contributo alla discussione!
    non+autenticato
  • - Scritto da: unaDuraLezione
    > - Scritto da: Xena
    >
    > > E dopo il can-can generato da Snowden (santo
    > > subito!) le aziende private ci penseranno due
    > > volte prima di mettere delle backdoor in HW
    > o
    > SW,
    > > a meno che non siano obbligate per legge
    > (che
    > per
    > > ora non
    > > c'è).
    >
    > Sei piuttosto ottimista.
    > Io pensavo che il mondo alzasse almeno un
    > sopracciglio, invece ogni rivelazione viene presa
    > sempre più spesso con scrollatine di spalle ed
    > ogni volta che si scoprono buchi paurosi (vedi la
    > backdoor nei Galaxy S:
    > http://www.webnews.it/2014/03/13/scoperta-una-back


    Attenzione: ci sono alcune cose sulle quali i rischi di violazione della privacy sono palesi e pertanto sono quasi "scontate", altre no.
    Che uno smartphone sia a rischio di privacy (per tantissimi motivi) è quasi scontato, che lo sia un router casalingo lo è già molto meno, che ci sia una backdoor su un router aziendale o un PC, che può essere usato in azienda, è ciò che sarebbe ritenuto inaccettabile innanzitutto dal mercato professionale (e dai governi) e potrebbe rovinare la reputazione di un'azienda.

    La risposta di Samsung a quella notizia è:
    "Samsung takes consumer privacy and security very seriously and we’d like to assure consumers that our products are safe to use. We are able to confirm that the matter reported by the Free Software Foundation is based on an incorrect understanding of the software feature that enables communication between the modem and the AP chipset".
    Io non so se ha ragione la FSF o la Samsung, ma è proprio per questo genere di cose che, almeno dopo il Datagate, è improbabile che un costruttore inserisca volutamente backdoor nei propri sistemi.
    Al più, come pare abbia fatto MS, aspetta qualche mese in più a tappare falle per "fare un piacere" ad NSA. Ma, dopo Snowden, devono essere molto più attenti a farlo, perchè sono già "sorvegliati speciali" dal pubblico (certamente da quello professionale).
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Xena
    >
    > > Che uno smartphone sia a rischio di privacy
    > (per
    > > tantissimi motivi) è quasi scontato
    >
    >
    > non vedo perché, visto che l'uso di smartphone è
    > ormai essenziale in tutte le realtà e ci girano
    > documenti aziendali
    > importanti.
    >
    > Se mandi in giro un documento aziendale
    > crittografato, l'eventuale backdoor sul router
    > non serve a nulla, mentre la possibilità di
    > arrivare addirittura al processore dello
    > smartphone è
    > determinante.

    Gli smartphone sono ridicoli per la privacy perchè la gente ci carica di tutto (anche quelli per uso aziendale, se non blindati, ma con il BYOD non è semplice blindarli), perchè hanno la localizzazione GPS ecc.
    Quindi in ambito sicurezza è ormai scontato che siano più a rischio dei PC.

    Certamente, una backdoor come quella dei Galaxy (se è vera) è gravissima.
    E, infatti, immagina la caduta di credibilità e probabilmente di fatturato (almeno in ambito aziendale) se venisse confermata.
    Se è vera ed è voluta, certamente non ce l'hanno messa nell'ultimo anno (post-Datagate), come del resto suggerito anche dai modelli coinvolti, alcuni dei quali sono vecchiotti.
    non+autenticato
  • contenuto non disponibile
  • OT. TELEVISORI SAMSUNG
        NON TUTTI SANNO CHE ...


    Per i televisori Samsung (specialmente i modelli più piccoli) ci sono formati video che il televisore non è in grado di riprodurre.

    WORKAROUNDA bocca aperta :
    Basta semplicemente utilizzare la porta seriale di manutenzione per selezionare un modello di televisore superiore, diciamo il top disponibile (tanto è gratis). In questo modo diventeranno disponibili i formati precedentemente "non supportati".

    "Sapete? Esiste un solo principio costante, un solo principio universale ed è l'unica autentica verità. La causalità. Azione. Reazione. Causa... ed effetto" (Merovingio, "Matrix")
    non+autenticato
  • Come volevasi dimostrare (vabbè, per ora è una dimostrazione a metà), TrueCrypt non sembra affatto essere quell'oscuro e sospetto "cavallo di Troia" che tanti spargitori di FUD (in buona o in malafede, disinteressati o interessati?) in questi anni hanno detto.
    Ragione di più per usarlo, ricordandosi sempre che per la propria privacy è importante non farsi intercettae in rete (Tor) ma è ancora più importante e decisivo non farsi trovare con materiale riservato sul disco.
    Cosa che un'infinità di utenti sembra non aver ancora capito.

    TrueCrypt con plausible deniability (hidden volumes) e password complessa e passa la paura (o almeno la maggior parte).
    Spargete la voce, please.

    Attendo con fiducia la seconda parte dell'audit, sarei pronta a scommettere parecchio che non ci sarà la benchè minima backdoor, spero pure che non si trovino neanche bug di codice gravi.
    Nel caso, si correggeranno.

    Gran cosa quest'idea dell'audit, andrebbe fatta "formalmente" pure per Tor, vista l'importanza.
    non+autenticato
  • > Gran cosa quest'idea dell'audit, andrebbe fatta
    > "formalmente" pure per Tor, vista
    > l'importanza.

    E più importante di Tor, per i2p e gnunet.
    non+autenticato
  • - Scritto da: Ben10
    > > Gran cosa quest'idea dell'audit, andrebbe
    > > fatta "formalmente" pure per Tor, vista
    > > l'importanza.

    > E più importante di Tor, per i2p e gnunet.

    Sarebbe ora di avere una vera struttura di revisione che faccia solo quello nei vari programmi.
    Magari ora si fara' chi puo dirlo ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Ben10
    > > > Gran cosa quest'idea dell'audit,
    > andrebbe
    > > > fatta "formalmente" pure per Tor, vista
    > > > l'importanza.
    >
    > > E più importante di Tor, per i2p e gnunet.
    >
    > Sarebbe ora di avere una vera struttura di
    > revisione che faccia solo quello nei vari
    > programmi.
    > Magari ora si fara' chi puo dirlo ?
    Ti sei già offerto volontario?
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: krane
    > > - Scritto da: Ben10
    > > > > Gran cosa quest'idea dell'audit,
    > > andrebbe
    > > > > fatta "formalmente" pure per Tor,
    > vista
    > > > > l'importanza.
    > >
    > > > E più importante di Tor, per i2p e
    > gnunet.
    > >
    > > Sarebbe ora di avere una vera struttura di
    > > revisione che faccia solo quello nei vari
    > > programmi.
    > > Magari ora si fara' chi puo dirlo ?
    > Ti sei già offerto volontario?
    ucci ucci
    non+autenticato
  • - Scritto da: Ben10
    > > Gran cosa quest'idea dell'audit, andrebbe
    > fatta
    > > "formalmente" pure per Tor, vista
    > > l'importanza.
    >
    > E più importante di Tor, per i2p e gnunet.

    Giusto.
    In particolare per I2P, che è basato su "colabrodo" Java (ulteriore ragione per cui uso e consiglio Tor invece di I2P).

    P.S.: sono andata a vedere i commenti all'articolo di Schneier. I troll del FUD sono già al lavoro, ora il ritornello è "come facciamo ad essere sicuri dell'affidabilità di chi ha fatto l'audit?"A bocca aperta
    Non che non me l'aspettassi, ma sono davvero ridicoli (per non dire di peggio).
    non+autenticato
  • - Scritto da: Xena
    > - Scritto da: Ben10
    > > > Gran cosa quest'idea dell'audit, andrebbe
    > > fatta
    > > > "formalmente" pure per Tor, vista
    > > > l'importanza.
    > >
    > > E più importante di Tor, per i2p e gnunet.
    >
    > Giusto.
    > In particolare per I2P, che è basato su
    > "colabrodo" Java (ulteriore ragione per cui uso e
    > consiglio Tor invece di
    > I2P).
    >
    > P.S.: sono andata a vedere i commenti
    > all'articolo di Schneier.
    P.S. guardati l'ultimo di articolo
    non+autenticato
  • detto da chi tifa per un sistema operativo che è un bugwareA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > detto da chi tifa per un sistema operativo che è
    > un bugware
    >A bocca aperta
    aggiornato i server oggi?
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: collione
    > > detto da chi tifa per un sistema operativo
    > che
    > è
    > > un bugware
    > >A bocca aperta
    > aggiornato i server oggi?

    stai ancora usando bitlocker "il superbuggato"?
    non+autenticato
  • Hai buttato i tuoi cd per sostituirli con un supporto più moderno?
    non+autenticato
  • ennesima prova della superiorità del codice opensource
    non+autenticato
  • - Scritto da: collione
    > ennesima prova della superiorità del codice
    > opensource

    Insomma ...
    Diciamo che per software di sicurezza è vero, grazie alla possibilità di auditarlo, ma in generale è opinabile.
    Per la sicurezza sono d'accordo, ma non è che open source di per sè sia sinonimo di qualità o "superiorità".
    non+autenticato