Giusto per non cadere in paranoie, diffuse gia' abbondantemente, ci sono degli interrogativi senza dubbio interessanti: -a che pro fare una versione solo per la "migration"? se io uso truecrypt ho gia' il tool installato, e posso fare la migrazione come e quando mi pare; (possibile risposta: per "sputtanare" tutto, e chiudere definitivamente il progetto...ma perche?) -perche suggerire un altro software, pure chiuso? a che pro?
<paranoia mode on> in questo momento (ma purtroppo non in futuro) truecrypt mi sembra, da oggi ancora di piu, un'ottima soluzione. e bitlocker meno :) <paranoie mode off> On Thu, May 29, 2014 at 9:05 AM, danimoth <[email protected]> wrote: > > Cosa sta succedendo a TrueCrypt? Prima che i giornali ne inizino a > parlare violentemente, volevo fare un riassuntino, in modo che tutti > quanti possano essere informati su quanto sta accadendo. > > TrueCrypt ?? (era) una applicazione freeware, con sorgenti disponibili, > per creare dei dischi virtuali crittati, o per crittare on-the-fly un > file, una partizione o un intero disco (pre-boot authentication). > Molto usato su sistemi Windows, era disponibile anche per vari *nix. > > 0x01 Cosa conosciamo > > Il sito [1] ora rimanda a truecrypt.sourceforge.net, il quale riporta la > seguente scritta: > > """ > WARNING: Using TrueCrypt is not secure as it may contain unfixed > security issues. ... You should migrate any data encrypted by TrueCrypt > to encrypted disks or virtual disk images supported on your platform. > """ > > 0x02 Azioni consigliate > > Sul sito viene indicata la necessit?? di passare a soluzioni gi?? presenti > sul sistema operativo (bitlocker, OS X encrypted drive). > > 0x03 Versione 7.2 > > E' stata rilasciata una versione che contiene solo le funzioni per > decrittare; le altre funzioni sono state rimosse. Diff [2], il binario ?? > stato firmato con una chiave appartenente al team di TrueCrypt dal 2004 > [3]. > > 0x04 Sourceforge > > Sempre su [3], si dice che un impiegato di sourceforge (tale roberto > galoppini) abbia spiegato (su hackernews..) che non ?? stata notata > nessuna attivit?? sospetta sull'account sf di truecrypt. > > 0x05 News dai developers di TrueCrypt > > Nessuna > > 0x06 Audit di TrueCrypt > > TrueCrypt 7.1 ?? in piena fase di audit. Ha passato la fase 1, e il > report ?? disponibile [4]. Cito: > > """ > During this engagement, the iSEC team identified eleven (11) issues in > the assessed areas. Most issues were of severity Medium (four (4) found) > or Low (four (4) found), with an additional three (3) issues having > severity Informational (pertaining to Defense in Depth). > Overall, the source code for both the bootloader and the Windows kernel > driver did not meet expected standards for secure code. This includes > issues such as lack of comments, use of insecure or deprecated > functions, inconsistent variable types, and so forth. > ... > Finally, iSEC found no evidence of backdoors or otherwise intentionally > malicious code in the assessed areas. The vulnerabilities described > later in this document all appear to be unintentional, introduced as the > result of bugs rather than malice. > """ > > Per news o altre info sull'audit: [5]. > > > A questo punto, non so altro. Io non mi fiderei a scaricare nessun > binario, nemmeno se la firma risultasse valida. Passerei a delle > alternative (non usate ecryptfs vi prego) e mi divertirei a leggere > tutte le teorie che da ieri stanno venendo fuori. Molte le potete > trovare qui [6], ne cito alcune: > > """ > TC was Sabu's pet project. Since he was caught and working for the Feds, > he has provided the very access everybody is afraid of them now having. > > Sabu was just released from the service of the Feds a few days ago. > Enough time to rewrite the binaries, change the passwords, and disable > the whole lot since it's all been compromised for years. Gets rid of a > dangerous product, and pisses off the Feds without violating the terms > of anything since TC is still available for download, just in a crippled > form. > """ > (N.d.D.) altamente improbabile che uno script kiddie riesca a scrivere > TrueCrypt > > """ > Or they were smoked out by NSA, because TrueCrypt encryption was "too > good", and Microsoft's BitLocker has an NSA backdoor. > """ > > """ > Wayback Machine, search for truecrypt.org > > Sorry. > > This URL has been excluded from the Wayback Machine. > """ > > > Quali sono le vostre idee? Opinioni? Suggerimenti a riguardo? > > > [1] http://www.truecrypt.org/ > [2] https://github.com/warewolf/truecrypt/compare/master...7.2 > [3] https://gist.github.com/daveio/14f7d40f05ac68bb2e63 > [4] https://opencryptoaudit.org/reports/ > [5] http://istruecryptauditedyet.com/ > [6] > > http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website-says-to-switch-to-bitlocker > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
