Molti in giro sperano o si auspicano che siano morti gli sviluppatori... togliendo truecrypt dalla circolazione non mi sembra che restino altre soluzioni ufficialmente non approvate dall'NSA... e sappiamo cosa vuol dire, stiamo convergendo ormai a qualsiasi livello verso un mondo senza privacy.
Marco -- Marco Bettini Soluzioni Informatiche via Emilia Levante 144/4 40139 Bologna P.I. 02379501204 C.F. BTTMRC74T11L117Q N.tel : +39-05119907013 N.cell.: +39-3663269252 Messagenet: +39-07441906072 Fax: +39-0510544722 Google+: google.com/+MarcoBettini LinkedIn: http://www.linkedin.com/in/bettinim Solo il 10% di UNIX e' in codice assembly il resto e' C!! Only about 10 % of UNIX is assembly code the rest is C!! Gli antichi credevano che al di l?? delle Colonne d'Ercole ci fosse Chuck Norris. The ancients believed that beyond the Pillars of Hercules there was Chuck Norris Il contenuto di questa e-mail ?? strettamente personale ai sensi della legge 196/03. Ogni abuso potr?? essere perseguito legalmente Il 29/mag/2014 10:24 "danimoth" <[email protected]> ha scritto: > > Cosa sta succedendo a TrueCrypt? Prima che i giornali ne inizino a > parlare violentemente, volevo fare un riassuntino, in modo che tutti > quanti possano essere informati su quanto sta accadendo. > > TrueCrypt ?? (era) una applicazione freeware, con sorgenti disponibili, > per creare dei dischi virtuali crittati, o per crittare on-the-fly un > file, una partizione o un intero disco (pre-boot authentication). > Molto usato su sistemi Windows, era disponibile anche per vari *nix. > > 0x01 Cosa conosciamo > > Il sito [1] ora rimanda a truecrypt.sourceforge.net, il quale riporta la > seguente scritta: > > """ > WARNING: Using TrueCrypt is not secure as it may contain unfixed > security issues. ... You should migrate any data encrypted by TrueCrypt > to encrypted disks or virtual disk images supported on your platform. > """ > > 0x02 Azioni consigliate > > Sul sito viene indicata la necessit?? di passare a soluzioni gi?? presenti > sul sistema operativo (bitlocker, OS X encrypted drive). > > 0x03 Versione 7.2 > > E' stata rilasciata una versione che contiene solo le funzioni per > decrittare; le altre funzioni sono state rimosse. Diff [2], il binario ?? > stato firmato con una chiave appartenente al team di TrueCrypt dal 2004 > [3]. > > 0x04 Sourceforge > > Sempre su [3], si dice che un impiegato di sourceforge (tale roberto > galoppini) abbia spiegato (su hackernews..) che non ?? stata notata > nessuna attivit?? sospetta sull'account sf di truecrypt. > > 0x05 News dai developers di TrueCrypt > > Nessuna > > 0x06 Audit di TrueCrypt > > TrueCrypt 7.1 ?? in piena fase di audit. Ha passato la fase 1, e il > report ?? disponibile [4]. Cito: > > """ > During this engagement, the iSEC team identified eleven (11) issues in > the assessed areas. Most issues were of severity Medium (four (4) found) > or Low (four (4) found), with an additional three (3) issues having > severity Informational (pertaining to Defense in Depth). > Overall, the source code for both the bootloader and the Windows kernel > driver did not meet expected standards for secure code. This includes > issues such as lack of comments, use of insecure or deprecated > functions, inconsistent variable types, and so forth. > ... > Finally, iSEC found no evidence of backdoors or otherwise intentionally > malicious code in the assessed areas. The vulnerabilities described > later in this document all appear to be unintentional, introduced as the > result of bugs rather than malice. > """ > > Per news o altre info sull'audit: [5]. > > > A questo punto, non so altro. Io non mi fiderei a scaricare nessun > binario, nemmeno se la firma risultasse valida. Passerei a delle > alternative (non usate ecryptfs vi prego) e mi divertirei a leggere > tutte le teorie che da ieri stanno venendo fuori. Molte le potete > trovare qui [6], ne cito alcune: > > """ > TC was Sabu's pet project. Since he was caught and working for the Feds, > he has provided the very access everybody is afraid of them now having. > > Sabu was just released from the service of the Feds a few days ago. > Enough time to rewrite the binaries, change the passwords, and disable > the whole lot since it's all been compromised for years. Gets rid of a > dangerous product, and pisses off the Feds without violating the terms > of anything since TC is still available for download, just in a crippled > form. > """ > (N.d.D.) altamente improbabile che uno script kiddie riesca a scrivere > TrueCrypt > > """ > Or they were smoked out by NSA, because TrueCrypt encryption was "too > good", and Microsoft's BitLocker has an NSA backdoor. > """ > > """ > Wayback Machine, search for truecrypt.org > > Sorry. > > This URL has been excluded from the Wayback Machine. > """ > > > Quali sono le vostre idee? Opinioni? Suggerimenti a riguardo? > > > [1] http://www.truecrypt.org/ > [2] https://github.com/warewolf/truecrypt/compare/master...7.2 > [3] https://gist.github.com/daveio/14f7d40f05ac68bb2e63 > [4] https://opencryptoaudit.org/reports/ > [5] http://istruecryptauditedyet.com/ > [6] > > http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website-says-to-switch-to-bitlocker > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
