Tra una pausa e l’altra oggi sono rimasto sconvolto nel leggere la notizia che Truecrypt ha chiuso i battenti.
Per chi non lo sapesse Truecrypt è un famosissimo software di crittografia che permette di proteggere i propri dati criptando singoli file o interi hard disk e personalmente l’ho usato molto spesso per proteggere i miei dati ad esempio criptando l’intero disco rigido del portatile che mi porto dietro in Università. Questo software era considerato uno dei migliori per proteggere i propri dati ma oggi leggendo alcuni siti di news IT ho letto l’amara notizia della chiusura dello sviluppo di Truecrypt e infatti andando sul sito ufficiale si può vedere questo risultato:
Sul sito si legge che questo programma POTREBBE contenere delle falle e di passare a BitLocker e che dal momento che il supporto a Windows XP è terminato se si usa Win7/8 di utilizzare BitLocker. Quando ho letto questo la prima cosa che ho pensato è stata: SERIAMENTE?. Ora farò venire un po’ di dubbi anche a voi. Partiamo da un fatto accaduto nel 2008: l’FBI e non il Federal Beer Inspectors ma quelli veri arrestò un brasiliano chiamato Daniel Dantas e gli sequestrarono un hard disk criptato con Truecrypt e NON RIUSCIRONO A DECRIPTARLO(potete leggere la notizia qui). Da qui il mio primo dubbio: è vero che da allora (Daniel Dantas usava la versione 5.1) il software è stato aggiornato diverse volte ma possibile che con le nuove versioni siano state create delle falle? Se la versione 5.1 è stata in grado di resistere agli attacchi di gente non proprio alle prime armi come l’FBI perché all’improvviso la versione 7.1a POTREBBE avere bug e notare che non è una nuova versione ma la versione 7.1a è uscita circa 2 anni fa e da allora non sono stati trovati rilevanti bug di sicurezza.Quindi mi puzza molto la storia del POTREBBE contenere bug.
La seconda cosa strana è aver citato Windows XP…che senso ha? è vero che Microsoft ha terminato il supporto a questo sistema operativo ma TC funziona benissimo anche su Win 7 (il mio portatile utilizza Windows 7) quindi aver scritto quella frase non ha senso, ci sono migliaia di utenti che lo utilizzano su altri sistemi operativi senza problemi e inoltre sono un po’ riluttante ad affidarmi a Bitlocker di MS una società americana che quando metto insieme 2 parole multinazionale + america = governo (sento in lontananza un eco NSA NSA NSA….). Questo non è mai stato confermato ovvero che MS lavori con qualche agenzia governativa ma i fatti avvenuti negli ultimi periodi mi fanno venire qualche dubbio sulle backdoor. Inoltre Bitlocker è un programma chiuso ovvero non è possibile vedere il source code per poter controllare eventuali “buchi”, e poi perchè consigliare proprio Bitlocker?
La terza cosa strana è l’uscita improvvisa della versione 7.2; ovvero se gli autori di Truecrypt sanno che c’è un bug perché non risolverlo? perché rilasciare una versione 7.2 se poi ha un bug? e sopratutto perché rimuovere tutte le vecchie versioni dal sito?Queste sono domande che possono sembrare ovvie ma non hanno risposta. Quindi cercherò di dare una risposta alla “Mistero”. Come già detto varie volte la versione 7.1a era considerata sicura e prima che il sito venisse modificato si poteva leggere che lo sviluppo stava continuando anche se in modo molto lento rispetto al passato ma comunque stava continuando e questo software era un prodotto valido. Inoltre era possibile scaricare il codice sorgente del programma e anche questo è stato rimosso dal sito cosa alquanto strana perché un’ analisi di quest’ ultimo avrebbe potuto confermare la presenza di bug cosa che anche questo già detto non è mai stata trovata nella versione 7.1a. La versione rilasciata ovvero la 7.2 permette solo di decriptare i volumi criptati con Truecrypt ma non di crearne di nuovi strano no? Inoltre risulta che la versione 7.2 abbia la “Digital Signatures” originale quindi viene difficile pensare ad uno scherzo o quantomeno a uno strano errore. Inoltre all’interno del source code della nuova versione è presente un file readme che contiene le stesse scritte di pericolo del sito
Tutto questo mi porta a pensare a 2 possibili ragioni
- Pressioni legali sui creatori di Truecrypt da parte di qualcuno stile NSA come successe con Lavabit
- Un hack da parte di qualcuno per screditare Truecrypt
Tutto questo potrebbe essere collegato al fatto che gli utenti di Sourceforge siano stati costretti a cambiare la password la settimana scorsa bug nel cambio password? Il sito Sourceforge dove è ospitato il sito del progetto Truecrypt non è stato vittima di attacchi in questi giorni quindi anche questo va escluso.
Molte cose non tornano. Fatto sta che anche se fosse uno “scherzo di cattivo gusto” la fiducia di molti utenti è stata compromessa (la mia compresa) e ci vorrà del tempo prima che si fidino ancora di questo programma. Se avete installato la versione 7.1a non disperatevi e attendete novità e notizie attendibili prima di decriptare l’hard disk o i vari volumi e inoltre se avete i file di installazione e sorgente di TC 7.1a teneteli ben stretti. Personalmente ritengo che stando a quello che ho visto la versione 7.1a per ora sia da considerarsi sicura NON SCARICATE ASSOLUTAMENTE LA 7.2.
2 risposte su “Truecrypt Chiude Cospirazione o Verità ?”
Io crittografo sempre con il software default in Mint / Ubuntu . che sia affidabile?
Il sistema di crittografia di Ubuntu è abbastanza buono,ma molto dipende anche dalla password che utilizzi