Cosa sta succedendo a TrueCrypt? Prima che i giornali ne inizino a parlare violentemente, volevo fare un riassuntino, in modo che tutti quanti possano essere informati su quanto sta accadendo.
TrueCrypt è (era) una applicazione freeware, con sorgenti disponibili, per creare dei dischi virtuali crittati, o per crittare on-the-fly un file, una partizione o un intero disco (pre-boot authentication). Molto usato su sistemi Windows, era disponibile anche per vari *nix. 0x01 Cosa conosciamo Il sito [1] ora rimanda a truecrypt.sourceforge.net, il quale riporta la seguente scritta: """ WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. ... You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform. """ 0x02 Azioni consigliate Sul sito viene indicata la necessità di passare a soluzioni già presenti sul sistema operativo (bitlocker, OS X encrypted drive). 0x03 Versione 7.2 E' stata rilasciata una versione che contiene solo le funzioni per decrittare; le altre funzioni sono state rimosse. Diff [2], il binario è stato firmato con una chiave appartenente al team di TrueCrypt dal 2004 [3]. 0x04 Sourceforge Sempre su [3], si dice che un impiegato di sourceforge (tale roberto galoppini) abbia spiegato (su hackernews..) che non è stata notata nessuna attività sospetta sull'account sf di truecrypt. 0x05 News dai developers di TrueCrypt Nessuna 0x06 Audit di TrueCrypt TrueCrypt 7.1 è in piena fase di audit. Ha passato la fase 1, e il report è disponibile [4]. Cito: """ During this engagement, the iSEC team identified eleven (11) issues in the assessed areas. Most issues were of severity Medium (four (4) found) or Low (four (4) found), with an additional three (3) issues having severity Informational (pertaining to Defense in Depth). Overall, the source code for both the bootloader and the Windows kernel driver did not meet expected standards for secure code. This includes issues such as lack of comments, use of insecure or deprecated functions, inconsistent variable types, and so forth. ... Finally, iSEC found no evidence of backdoors or otherwise intentionally malicious code in the assessed areas. The vulnerabilities described later in this document all appear to be unintentional, introduced as the result of bugs rather than malice. """ Per news o altre info sull'audit: [5]. A questo punto, non so altro. Io non mi fiderei a scaricare nessun binario, nemmeno se la firma risultasse valida. Passerei a delle alternative (non usate ecryptfs vi prego) e mi divertirei a leggere tutte le teorie che da ieri stanno venendo fuori. Molte le potete trovare qui [6], ne cito alcune: """ TC was Sabu's pet project. Since he was caught and working for the Feds, he has provided the very access everybody is afraid of them now having. Sabu was just released from the service of the Feds a few days ago. Enough time to rewrite the binaries, change the passwords, and disable the whole lot since it's all been compromised for years. Gets rid of a dangerous product, and pisses off the Feds without violating the terms of anything since TC is still available for download, just in a crippled form. """ (N.d.D.) altamente improbabile che uno script kiddie riesca a scrivere TrueCrypt """ Or they were smoked out by NSA, because TrueCrypt encryption was "too good", and Microsoft's BitLocker has an NSA backdoor. """ """ Wayback Machine, search for truecrypt.org Sorry. This URL has been excluded from the Wayback Machine. """ Quali sono le vostre idee? Opinioni? Suggerimenti a riguardo? [1] http://www.truecrypt.org/ [2] https://github.com/warewolf/truecrypt/compare/master...7.2 [3] https://gist.github.com/daveio/14f7d40f05ac68bb2e63 [4] https://opencryptoaudit.org/reports/ [5] http://istruecryptauditedyet.com/ [6] http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website-says-to-switch-to-bitlocker ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
