Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[Gioxx]

Non è una bella notizia sfortunatamente:
http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/







EDIT by miki64.
Ecco dei link per scaricare delle versioni SICURE di TrueCrypt (sono le versioni originali, create prima della notizia su riportata):
-  TrueCrypt 7.1.a;
- altro mirror.

[deckard]

Mi sorge spontaneo un dubbio, a parte il fatto che nessuna opera dell'igegno umano è perfetta a prescindere da tuttissimi i punti di vista... Esiste un 'alternativa che sia ragionevolmente sicura ?!?

[Iceberg]

Mi sorge spontaneo un dubbio, non è che la migliore alternativa possibile a TrueCrypt sia TrueCrypt?
Versione 7.1a.

[miki64]

Non ne capisco nulla, ma se il codice di TrueCrypt è aperto non dovrebbe essere possibile implementare delle patch per la sicurezza? 

[Iceberg]

Anche io non ci capisco nulla, prendo le scorciatoie, ci metto fantasia, aggiungo logica, mescolo, non agito.
E...

C'è stata una richiesta di inserire delle backdoor in TrueCrypt, richiesta che non puoi rifiutare.
Gli autori non hanno ceduto, hanno preferito chiudere bottega.
Probabilmente per eludere la legge che imponeva loro di non parlare di questa richiesta si sono inventati quella pagina farsa. Dove è spiegato per filo e per segno cosa non fare.

Dovevo scrivere romanzi... altro che Ian Fleming... ciò non toglie che potrei anche averci preso.

[Geko]

iceberg mi ha preceduto,ma stavo per dire a miki che la questione è molto più complicata:il modo in cui questo strano annuncio è apparso su Sourceforge lascia spazio a molti dubbi,una delle spiegazioni probabili se non la più probabile è quella addotta da Iceberg.
Io andrei anche oltre,non posso provarlo ma chi mi garantisce che la procedura di auditing avviata da non ho capito bene chi subito prima di questo annuncio,non avesse scoperto qualcosa che non andava già nelle versioni precedenti?
Uno dei trucchi preferiti dagli spioni è indebolire di proposito standard crittografici universalmente usati e di cui tutti tendono a fidarsi.

Un pò di letture interessanti dal blog di un esperto:
https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html

[miki64]

Geko, il bello è che invece TrueCrypt sembrava immune da queste cose, leggi "TrueCrypt è sicuro, non contiene alcuna backdoor. Ma le indagini continuano".
Boh... 

[Iceberg]

Andiamo oltre l'oltre.
Il problema potrebbe essere nato proprio dalla procedura di controllo che non ha scoperto falle.
Potevi lasciare in giro un programma di crittografia senza backdoor?

L'ultima versione di TrueCrypt è del febbraio 2012, pre Snowden, il dopo Snowden avrà reso il programma troppo noto, troppo usato. Troppo scomodo.

[deckard]

Quindi se quello che Iceberg afferma da discepolo di Giulio Andreotti è vero almeno in parte la versione 7.2 potrebbe essere sicura e hanno preferito chiudere baracca e burattini per evitare di doverla inserire in una versione 7.2.qualcosa (Forse è meglio lasciare le considerazioni su Truecrypt in una discussione a parte...)
E comunque la distribuzione Tails per l'anonimato ha pianificato di trovare un sostituto a Truecrypt in tempo per il rilascio della versione 2.0 e pare che abbiano iniziato a lavorarci sopra l'anno scorso a Ottobre, se non prima. Quindi pochi mesi dopo l'inizio del Datagate e qualche mese prima che Truecrypt venisse dichiarato sicuro (l'articolo sul sito ilSoftware è del 15 Aprile di quest'anno), ma forse insicuro con il rilascio della versione 7.2

[Iceberg]

pagina farsa. Dove è spiegato per filo e per segno cosa non fare.

la versione 7.2 potrebbe essere sicura e hanno preferito chiudere baracca e burattini per evitare di doverla inserire in una versione 7.2.qualcosa

Evitare come la peste la non versione 7.2, la versione 7.2 non esiste.

Aprire una apposita discussione?
Qualcosa di più generale partendo dal particolare?
Open source: quando la teoria si scontra con la realtà
Sottotitolo.
Dal DRM in Firefox alla chiusura di TrueCrypt
Vedo nero il futuro dei nostri figli e nipoti, ma solo per qualche secolo, poi le cose miglioreranno. A quel tempo ci risentiremo e riprenderemo la discussione.
(Libera citazione dal libro dell'Apocalisse)

[gialloporpora]

http://truecrypt.ch/

sembra che gli svizzeri si stiano dando da fare per approfittare della sfiducia sulle aziende informatiche made in USA e cercare di conquistare mercato.

[Megabyte]

Bene bene... c'è aria di fork!!

Visto che è impensabile che un progetto di successo come TrueCrypt sparisca da un giorno all'altro (anche perché non c'è in giro nulla di paragonabile) e visto che ovviamente nessuno crede alla scusa dei presunti "buchi di sicurezza" (?!), speriamo che presto rinasca (= continui) dove possa svilupparsi libero da "condizionamenti" e "vincoli" di qualunque tipo.

[Iceberg]

Ancora Svizzera.
Mozilla sta prendendo in considerazione l'idea di trasferirvisi? 

Sembra una battuta ma sarebbe un bel colpo per rilanciare la fiducia nell'azienda.
Già penso allo slogan:
Firefox OS Made in Switzerland mica pizza e fichi.
 

[miki64]

Un po' di informazioni in italiano:
http://www.ilsoftware.it/articoli.asp?tag=TrueCrypt-non-e-sicuro-si-legge-sulla-home-del-progetto_11012

[miki64]

  Quanto ho letto in questi giorni su TrueCrypt!

Gli anonimi autori di TrueCrypt, per me, sono stati letteralmente scovati da qualche grossa organizzazione governativa USA (la solita NSA...  e chi se no? Non certo lo SHIELD o l'HYDRA!) e si sono visti imporre una backdoor sul loro prodotto.
Quindi, consci che un rifiuto avrebbe potuto degenerare in un processo a proprio carico (come è accaduto con Lavabit), hanno trovato un modo per far intendere alla gente che tutto stava andando per il peggio.
Hanno quindi pubblicato un annuncio anomalo per dire di usare il programma  closed-source BitLocker di Microsoft perché è più sicuro...
Infatti, gli anonimi autori di TrueCrypt sanno benissimo che né NSA e né Microsoft possono dire che è insicuro (altrimenti nessuno lo userebbe e il backdoor che ha quel programma non varrebbe a nulla), e sanno benissimo che un'alta quota di informatici avrebbe capito al volo che un software di crittografia closed souce, made in USA, come BitLocker non può essere minimamente paragonabile ad un software open source per di più - in questo periodo - analizzato da terzi.
In parole povere, in realtà hanno detto il contrario di quello che hanno scritto.

Tra le altre cose, l'annuncio utilizza un inglese un po' stentato (“Using TrueCrypt is not secure as it may contain unfixed security issues”) in cui alcune lettere iniziali formano la sigla NSA, per cui si potrebbe leggere come “Using TrueCrypt is NSA”, cioè "Usare TrueCrypt è NSA".

Adesso mi è tutto un po' più chiaro, tranne una cosa che vi dirò dopo.
1) Il software TrueCrypt nasce, pare, in Bulgaria.
2) Col tempo viene sviluppato da misteriosi autori. Il perché del mistero è presto detto: probabilmente tali autori lavorano proprio nel campo della sicurezza informatica e quindi vorrebbero creare un prodotto sopra le parti, davvero efficace e migliore di tutti.
3) Il prodotto si diffonde bene in tutto il Web, ma la sua licenza non è chiara. Solo oggi capiamo il perché: era tutto un confondere le acque per salvaguardare gli autori (evidentemente lungimiranti).
4) La diffusione del prodotto, che inizia ad essere a prova di bomba, comincia a dare fastidio a qualcuno che ha interesse a scardinare le sue difese. Ecco la cosa che non mi spiego: chi ha ordinato al gruppo di esperti di sicurezza informatica di studiare il codice di TrueCrypt? Perché? Quando?
5) La prima sentenza degli esperti è: TrueCrypt non contiene falle. Attenzione, non dicono che non contiene backdoor, ma che non contiene falle, questo è importante.
6) Improvvisamente, mentre gli esperti continuano la loro seconda tornata di prove sul prodotto, ecco che scoppia la notizia riportata da Gioxx nel primo post: TrueCrypt non è sicuro, si chiude.
Però troppe cose non convincono, come su detto, e si potrebbero leggere invece in maniera diversa.
"TrueCrypt è troppo sicuro. Non riusciamo a scardinarlo. Vi facciamo credere tramite i suoi anonimi autori - che abbiamo scovato e ricattato - che non sia sicuro, così lo abbandonate. E in più vi proponiamo una versione 7.2 che in realtà contiene un backdoor, se proprio volete continuare a utilizzarlo."
7) Gli autori di TrueCrypt escono con un annuncio che dice praticamente il contrario di quanto scrivono.
Sono costretti a chiudere ma danno la loro zampata finale.
8 ) C'è da chiedersi adesso: la seconda tornata di prove degli esperti informatici che cosa scoprirà? TrueCrypt 7.1.a sarà davvero scevro da falle oppure tali esperti saranno anche loro intimiditi e costretti a dichiarare che il prodotto presenta delle falle di sicurezza?
9) Un'altra possibilità (indipendentemente dall'esame pubblico approfondito del codice di TrueCrypt, tuttora in corso e dalla possibilità di trovare delle falle molto gravi e indipendentemente dalla fuga dei suoi autori) è quella che grazie al fatto che TrueCrypt è software aperto (open source), chiunque ha il diritto di prenderne in mano lo sviluppo ulteriore e quindi chi ha orchestrato tutto questo potrebbe ritrovarsi un pugno di mosche in mano...

Ok, fine del fumetto. 



Adesso una bella notizia. 
Un anonimo informatico pugliese cinquantenne - bello come un Adone e con un'intelligenza molto sopra la media - che a tempo perso modera in un Forum di pazzi scatenati, mette a vostra disposizione le "introvabili" ultime versioni di TruCrypt 7.1a in italiano, per Windows e Linux, in versione portatile e installer per il primo s.o., assolutamente senza backdoor o infezioni varie in quanto scaricate e custodite in tempi non sospetti, comprensive di guide e trucchi per l'utilizzo.

Potrete scaricare TrueCrypt 7.1.a da qui:
https://kdrive.infomaniak.com/app/share/360509/f6a2714e-b0a5-47cc-99d4-27a8920f6dcc