Alfonso Maruccia

TrueCrypt, messaggi indecifrabili dagli sviluppatori

Uno dei tool di sicurezza pił popolari cessa lo sviluppo e il sito ufficiale accoglie gli utenti con allarmanti messaggi di (in)sicurezza. Defacement, trovata pubblicitaria o minacce legali sono le spiegazioni pił accreditate

Roma - Momenti di panico e sconcerto percorrono la community dell'open source in seguito ai messaggi allarmanti lanciati dal sito ufficiale di TrueCrypt, software di cifratura di dischi e partizioni tra i più popolari, recentemente oggetto di un'accurata analisi di sicurezza sul codice sorgente.

Il messaggio sul sito di TrueCrypt

TrueCrypt non è più sicuro e può contenere vulnerabilità non corrette, dice ora il sito del programma, lo sviluppo del progetto è stato interrotto questo maggio in seguito alla fine del supporto ufficiale a Windows XP e gli utenti sono invitati a usare il tool BitLocker integrato da Microsoft nelle versioni successive di Windows (da Vista in poi).

Una versione funzionante di TrueCrypt è ancora disponibile per il download, ma si tratta di un software oramai monco della funzionalità di cifratura e utile solo a decifrare i dati già criptati per trasferirli altrove. Quella che sembra a tutti gli effetti la fine del progetto TrueCrypt, però, scatena polemiche e speculazioni di ogni genere sui reali motivi che si nascondono dietro l'inattesa evoluzione degli eventi.
L'improvvisa modifica della homepage e l'insistente consiglio a usare BitLocker di Microsoft suggeriscono l'idea che TrueCrypt potrebbe aver subito minacce di tipo legale non dissimili da quelle che hanno portato alla chiusura di Lavabit, mentre l'ipotesi di un defacement del sito si fa sempre più improbabile e c'è chi ancora spera in un capovolgimento positivo pensa a una trovata pubblicitaria in anticipo su un annuncio importante.

Col passare delle ore aumentano sconcerto e dubbi, mentre compaiono online le prime liste di software alternativi da usare al posto dell'oramai defunto TrueCrypt. Non aiuta a chiarire la situazione la solita riservatezza degli sviluppatori coinvolti nel progetto, dall'identità sconosciuta e non particolarmente portati a interagire con il pubblico e gli utenti.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTrueCrypt: nessuna backdoor in vistaIl popolare software di cifratura passa il primo, fondamentale test sulla sicurezza del codice sorgente: gli esperti hanno individuato qualche bug qua e lą ma nulla di troppo serio. Ora si passa alla fase 2 della revisione
290 Commenti alla Notizia TrueCrypt, messaggi indecifrabili dagli sviluppatori
Ordina
  • il truecrypt svizzero scaricato ha questo hash:

    SHA-256
    e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2 TrueCrypt Setup 7.1a.exe

    Qualcuno ha la versione scaricata prima della chiusura del sito in modo da poter confermare che i due esegubili siano uguali.
    Sarebbe molto semplice chiudere un sito e distribuire una nuova versione "taroccata backdoor-ata"
    non+autenticato
  • Qui c'è un mirror molto parziale del sito di TrueCrypt scomparso in modo così sospetto:
    http://andryou.com/truecrypt/

    (segnalato da https://www.grc.com/misc/truecrypt/truecrypt.htm )

    Non c'è certamente tutto, ma ci sono le FAQ ed altre informazioni tecniche.
    E fa vedere come era organizzato il sito.

    E mi si venga a dire che chi da dieci anni supportava così il prodotto, in modo decisamente professionale, può abbandonarlo da un giorno all'altro volontariamente e in quel modo, se non fosse stato ricattato o minacciato.
    Si, poi c'era la marmotta che incartava la cioccolata ...
    non+autenticato
  • Si sono spostati in Svizzera, questo la dice tutta:

    http://www.theinquirer.net/inquirer/news/2347787/t...

    E' evidente che il governo Usa/Nsa ha imposto loro di chiudere baracca e burattini.
  • - Scritto da: sisko212
    > Si sono spostati in Svizzera, questo la dice
    > tutta:
    >
    Calma... a me era parso di capire che altri abbiano intenzione di "forkare" il progetto, e che abbiano aperto il sito svizzero... ma non mi pare si dica che siano gli stessi sviluppatori originali...
    non+autenticato
  • ... NSA!
    Un software così efficace ed affidabile non si dismette per presunte incompatibilità parziali con Windwos 8, tantomeno consigliando l'uso di soluzioni M$ che sono dichiaratamente insicure, avendo almeno una backdoor per NSA!
    IO continuerò ad utilizzarne l'ultima versione disponibile penso per diversi annni ancora!
  • Sicuramente è un buon software e la versione da usare è la 7.1a.

    Dimentichiamo le paranoieN.S Aper un attimo.

    Semplicemente sostengo che NON supportando i GPT con il secure boot e non avendo possibilità di supportarlo in futuro hanno quittato perchè si vede che creava troppi problemi agli utente Win 8. Per cui vogliono farne uscire la gente per salvarla dalla non compatibilità futura, ecco perchè costretti a indicare bit locker, perchè hanno perso la battaglia.

    My 2 cents.
    non+autenticato
  • Fino a quando sarà compatibile con Linux vale la pena continuarlo a sviluppare. I sistemi operativi closed source sono per utonti.
    non+autenticato
  • - Scritto da: S.O.
    > Sicuramente è un buon software e la versione da
    > usare è la
    > 7.1a.
    >
    > Dimentichiamo le paranoieN.S Aper un attimo.
    >
    > Semplicemente sostengo che NON supportando i GPT
    > con il secure boot e non avendo possibilità di
    > supportarlo in futuro hanno quittato perchè si
    > vede che creava troppi problemi agli utente Win
    > 8. Per cui vogliono farne uscire la gente per
    > salvarla dalla non compatibilità futura, ecco
    > perchè costretti a indicare bit locker, perchè
    > hanno perso la
    > battaglia.
    >
    > My 2 cents.

    Ma no ...

    Non avrebbe senso chiudere lo sviluppo perchè "creerebbe problemi agli utenti Windows 8", cosa che non è affatto vera perchè in Win8 funziona benissimo con la criptazione dei volumi.
    Non so con la criptazione del S.O. tutto, forse ci saranno problemi, ma questa del criptare tutto il sistema è solo una delle possibilità (tra l'altro, neanche particolarmente conveniente perchè non è comunque possibile nascondere che sul disco esiste un S.O. criptato, come veniva detto dagli stessi autori nel sito ora inopinatamente chiuso).
    Se uno invece cripta dei singoli volumi, che è l'uso di gran lunga più comune, zero problemi con Windows 8.

    Ma anche se fosse vero che ci fossero problemi con Win8, quest'ultimo è ancora così minoritario che sarebbe insensato stoppare tutto ora per un sistema che ci metterà ancora anni per superare Windows XP e Windows 7 e che non ha problemi nell'uso più diffuso (criptazione di volumi).
    Casomai, avrebbero detto: "non criptate tutto Win8" o, estremizzando, "non usatelo, in alcuna forma, con Win8".

    No, qui non si tratta di paranoie, si tratta di pura logica: non c'è alcuna ragione credibile per cui gli autori possano aver fatto ciò che hanno fatto, e NEL MODO in cui lo hanno fatto!, spontaneamente e senza invece avere ricevuto fortissime pressioni.
    Proprio nessuna.
    non+autenticato
  • La ragione c'è, come dice S.O. nel post sopra, è il secure boot di windows IMHO. Per mettere la criptazione integrale devono poter installarsi nella partizione GPT infatti era nel todo list, ed è difficile per un tecnico criptare un Win 8 con secure boot, l'unico modo è mettere un XP che usa mbr, criptarlo, e poi fare l'upgrate a Win8 altrimenti Win 8 ti mette il Sb in GPT e true crypt non può fare niente. Dici poco?
    IMHO la criptazione parziale è inutile almeno sui sistemi commerciali...
    non+autenticato
  • La criptazione parziale e' inutile ?
    Mai avuto necessita' di trasportare dei dati non pubblici ehSorride
    O di gestire dei dati personali ...
    non+autenticato
  • - Scritto da: Senti a me
    > La ragione c'è, come dice S.O. nel post sopra, è
    > il secure boot di windows IMHO. Per mettere la
    > criptazione integrale devono poter installarsi
    > nella partizione GPT infatti era nel todo list,
    > ed è difficile per un tecnico criptare un Win 8
    > con secure boot, l'unico modo è mettere un XP che
    > usa mbr, criptarlo, e poi fare l'upgrate a Win8
    > altrimenti Win 8 ti mette il Sb in GPT e true
    > crypt non può fare niente. Dici
    > poco?

    Ma perchè mai avrebbero dovuto ritirare TC, addirittura facendo sparire tutto il sito!, per problemi SOLO nell'uso di Windows 8/8.1(ad oggi 13% del totale dei desktop, contro quasi l'80% del resto delle versioni di Windows!) e SOLO per la criptazione totale e SOLO se si usa il secure boot (che NON è affatto obbligatorio con WindowsFicoso?
    Avrebbero semplicemente scritto: "non usatelo con Windows 8 e 8.1, per criptare tutto il disco con secure boot".
    E non erano neppure obbligati, e non certo a breve e non certo prima della conclusione dell'audit, a sistemare TC per il secure boot con Windows 8.


    > IMHO la criptazione parziale è inutile almeno sui
    > sistemi
    > commerciali...

    E perchè mai? Mica uno ha necessariamente il bisogno di criptare tutto il disco, ma di solito solo di criptare alcuni archivi.
    E se ha la necessità di criptare un intero ambiente di lavoro, per non lasciare tracce in chiaro, può criptare un'intera macchina virtuale, anche in un volume hidden, e tenere lì dentro sia gli archivi che il sistema operativo stesso.
    Con i processori veloci di oggi ed una quantità di RAM decente (tipo 8 GB) una soluzione del genere funziona benissimo, perfino su dischi meccanici. Provare per credere. Addirittura funziona sufficientemente bene anche se la VM sta su una chiavetta USB 3.0!

    E' la criptazione del disco che è diventata ormai obsoleta, oltretutto non dando nessun vantaggio sulla criptazione dei singoli volumi.
    La forensics analysis è in grado di capire dal record di boot se c'è un SO criptato, tanto quanto può identificare un probabile archivio TC sul file system. In entrambi i casi, inutile cercare di difendersi dicendo che non ci sono: la difesa va affidata alla plausible deniability ("certo che sono archivi TC, questo è quello che c'è dentro. Niente di che, vero?").

    E, comunque, secondo te quanti sono gli utenti commerciali di TC e quanti quelli privati? Secondo me questi ultimi non sono certo meno, anzi credo molti di più.
    E quanti sono gli utenti che criptano tutto il disco e quali i singoli archivi? Idem.
    non+autenticato
  • bhè "il secure boot non è obbligatorio" ah no? e che fai sui windows che arrivano nel pc già installato senza cd per formattare? se lo riformatti poi come fai a non faglielo mettere? ( se lo trova nel bios lo mette in auto ) in pratica, sì c'è la possibilità di non metterlo, ma poi è resa difficilissima.

    io intendevo la security fisica di un pc con il sistema operativo non criptato è nulla, se ti entrano del sistema puoi avere tre macchine virtuali una dentro l'altra criptata ma se l'host è compromesso non serve a nulla, ecco perchè l'abbandono degli sviluppartori, non sarà mai più potente come su XP, si su win 8 bisogna usare l'integrato a sto punto.
    non+autenticato
  • - Scritto da: Senti a me2
    > bhè "il secure boot non è obbligatorio" ah no? e
    > che fai sui windows che arrivano nel pc già
    > installato senza cd per formattare? se lo
    > riformatti poi come fai a non faglielo mettere? (
    > se lo trova nel bios lo mette in auto ) in
    > pratica, sì c'è la possibilità di non metterlo,
    > ma poi è resa
    > difficilissima.

    Difficilissima?
    Ah, non so che razza di PC hai tu, ma in tutti quelli che ho visto è di una banalità sconcertante, lo disattivi da BIOS con una o due scelte, quando vuoi.
    Nulla di più facile.
    E se uno pensa di criptare tutto il disco ma non riesce a settare il BIOS beh ... meglio che lasci perdere!Occhiolino


    > io intendevo la security fisica di un pc con il
    > sistema operativo non criptato è nulla, se ti
    > entrano del sistema puoi avere tre macchine
    > virtuali una dentro l'altra criptata ma se l'host
    > è compromesso non serve a nulla, ecco perchè
    > l'abbandono degli sviluppartori, non sarà mai più
    > potente come su XP, si su win 8 bisogna usare
    > l'integrato a sto
    > punto.

    Ehm ... guarda che se l'host è compromesso, è vero pure se quell'host è criptato su disco, perchè nel momento in cui è decrittato e funziona, è "in chiaro"!A bocca aperta
    Ti entrano nel sistema via internet o via malware (in uno dei tanti modi possibili) ed è indifferente che tu sia in un OS non criptato, in uno criptato o in una VM: sono entrati "nel tuo PC", possono vedere tutto ecc.

    Quindi non c'è proprio nessun vantaggio nel criptare tutto il disco, ormai solo svantaggi.
    Sono le macchine virtuali la soluzione giusta: semplice, efficace, efficiente, versatile, facile da backuppare, con gli snapshot per riportarle ad uno stato precedente ecc.

    E, tra l'altro, tenendole su supporti esterni (anche USB, ormai ci sono chiavette USB 3.0 che hanno prestazioni da SSD, come l'ultima Corsair Voyager GTX, 350-450 MB/s a 120 euro per 128 GB o 200 euro per 256 GB!) si può facilmente occultarle assieme all'archivio TC che le contiene e mettere un'altro grosso ostacolo ai ficcanaso, mentre se si cripta il disco per nascondere il TC si dovrebbe cercare di nascondere un INTERO PC, cosa "un pò più difficile"!Occhiolino

    Una USB come quella citata, grossa come un biscotto, trasformata in un "PC" con SO bootabile, con dentro anche una VM criptata con TC 7.1a (che conserverà dentro di sè archivi e tracce, in modo inviolabile), ha presumibilmente prestazioni migliori di un PC con disco tradizionale e si può nascondere ovunque.
    Un incubo per i ficcanaso!

    VM criptate con TC, dentro entro Live USB: nessun problema neppure con Windows 8.
    La tecnologia aiuta i ficcanaso, ma pure gli utenti!Sorride
    non+autenticato
  • ma se togli il bios poi non hai il cd corrispondente per reinstallare win 8, ne tantomeno un modo per formattarlo in mbr e nemmeno il codice che da OEM poi passa in retail....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | Successiva
(pagina 1/7 - 33 discussioni)