Notizie: puoi sempre seguire i nostri aggiornamenti su Twitter (@MozillaItalia) e Facebook (/MozillaItalia)

Autore Topic: TrueCrypt: forse non è open source, forse non è sicuro...  (Letto 29937 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline bibbolo

  • Post: 1087
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #135 il: 04 Ottobre 2017 23:36:55 »
Figurati non voglio mica distoglierti dai tuoi impegni, del resto anche io per impegni vari utilizzo il forum, dove spesso si trova in modo più rapido la soluzione rispetto allo studio di chissà quali documentazioni e per di più in inglese (non che non lo conosca, ma sempre meglio leggere in italiano..).

Io posto quando ho dei dubbi (o se posso dare una mano a chi ne pone su un argomento che conosco), poi chi sa risponda :wink:

Offline deckard

  • Post: 3677
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #136 il: 23 Luglio 2018 17:24:52 »
Cryptomator come possibile erede di TrueCrypt
Gioxx  —  14/05/2018 — In Tech & Coding
Potrebbe valere la pena di fare una prova, ma come sempre il consiglio è quello di essere pronti, preparati, attivi, reattivi e proattivi perché non si sa mai ciò che potrebbe capitare.

Offline deckard

  • Post: 3677
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #137 il: 03 Giugno 2021 15:47:01 »
VeraCrypt: quanto è sicuro e quali sono i suoi punti deboli - IlSoftware.it
giovedì 3 giugno 2021 (Articolo) di Michele Nasi

Offline miki64

  • Moderatore
  • Post: 35538
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #138 il: 03 Giugno 2021 19:00:49 »
Io, caro Deckard, a tutt'oggi continuo ad utilizzare (anche se raramente rispetto a prima) True Crypt senza problemi.   ;)

Offline miki64

  • Moderatore
  • Post: 35538
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #139 il: 02 Febbraio 2023 17:10:46 »
Ci sono delle novità, ma forse è meglio fare un riepilogo per coloro che leggeranno per la prima volta questo topic (e questo post nello specifico).

Riassunto delle puntate precedenti
Improvvisamente, a maggio 2015, esplode una notizia-bomba. Il noto programma open source di de/crittaggio file e hard disks, TrueCrypt, cessa la sua attività con un comunicato "misterioso" sul proprio sito.



Nel comunicato, gli autori - che sono stati sempre anonimi  ma dalle firme digitali sembra che siano proprio loro - affermano  che il loro prodotto non è più sicuro, ne consigliano una versione aggiornata (7.2) per decrittare i volumi precedentemente crittografati con la versione 7.1a e addirittura consigliano l'utilizzo di software similare (ma proprietario e closed souce, stavolta, prodotto dalla filogovernativa Microsoft) per il futuro.

Ad avere orchestrato tutto questo sembra che ci sia la NSA statunitense (l'organismo del Dipartimento della difesa degli Stati Uniti d'America che, insieme alla CIA e all'FBI, si occupa della sicurezza nazionale).

Il comunicato ufficiale degli autori è contraddittorio, tra le righe  - oltre al consigliare il software di Microsoft - si possono scovare riferimenti proprio alla NSA, inoltre contestualmente si diffonde la notizia che la versione 7.1a non è sicura poiché sono stati scovati due gravi "bug" (errori di programmazione che compromettono la sicurezza) da James Forshaw, membro del Project Zero di Google che ha identificato le vulnerabilità dopo il processo di auditing del software (e ricordiamo che Google è un'altra azienda statunitense filogovernativa). Tuttavia, altre autorevole fonti concludono invece tale auditing con un giudizio di fatto positivo (qui il link anche all'audit del Fraunhofer Institute for Secure Information Technology) con qualche segnale di attenzione qua e là: occorrerebbero determinate condizioni (difficilmente riproducibili nella realtà) per mettere realmente KO il software esaminato!

Citazione
Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell’accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359).

Citazione
Però dovete essere collegati come amministratori, avere la partizione montata ed aver lasciato la macchina non bloccata o infettata da qualche malware che ne consenta il controllo remoto

Inoltre, come riporta l'articolo di Andrea M (link) c'è qualcos'altro che non convince.
Citazione
La terza cosa strana è l’uscita improvvisa della versione 7.2; ovvero se gli autori di Truecrypt sanno che c’è un bug perché non risolverlo? Perché rilasciare una versione 7.2 se poi ha un bug? E sopratutto perché rimuovere tutte le vecchie versioni dal sito?

Si scatenano quindi blogger, vlogger, giornalisti, opinionisti,  (più all'estero che in Italia, ovviamente) e dopo il clamore iniziale tutto - come è nell'ordine delle cose - il clamore inizia ad affievolirsi.





Trama della puntata odierna
Tuttavia un sito italiano di software open source non molla la presa: dietro le quinte, in questi sei anni  - anche se senza accanimento - "qualcuno" è stato sempre alla ricerca di novità su questa notizia e occorre dire che non è stato semplice scovare notizie... sembra tutto ormai dimenticato, come se la questione fosse accaduta dozzine e dozzine di anni prima, su un altro pianeta.
Nel frattempo, però, sempre quel "qualcuno" notava un particolare curioso: alcuni articoli del Web che parlavano della questione TrueCrypt o della questione Lavasoft... dopo un po' scomparivano!
Ora, sparire dal Web è anche questo nell'ordine delle cose, un sito chiude per mille motivi... meno ordinario è però che sparisca una sola, determinata pagina di quel sito e non l'intero sito.

Quel "qualcuno" nota che scompare anche la pagina del link riportato nella citazione qui sotto...
Citazione
Partiamo da un fatto accaduto nel 2008: l’FBI  [...] arrestò un brasiliano chiamato Daniel Dantas e gli sequestrarono un hard disk criptato con Truecrypt e NON RIUSCIRONO A DECRIPTARLO (potete leggere la notizia qui). Da qui il mio primo dubbio: è vero che da allora (Daniel Dantas usava la versione 5.1) il software è stato aggiornato diverse volte ma possibile che con le nuove versioni siano state create delle falle? Se la versione 5.1 è stata in grado di resistere agli attacchi di gente non proprio alle prime armi come l’FBI perché all’improvviso la versione 7.1a POTREBBE avere bug e notare che non è una nuova versione ma la versione 7.1a è uscita circa 2 anni fa e da allora non sono stati trovati rilevanti bug di sicurezza. Quindi mi puzza molto la storia del POTREBBE contenere bug.

Se scorrete all'indietro questo topic, scoprirete che diversi link contenuti NON funzionano più (oppure non funzionano i link collegati al link principale). E non è un problema di https...
Qualche esempio al volo:

http://truecrypt.ch/

https://fullcirclemagazine.org/issue-86/

http://fullcirclemagazine.org/issue-87/

https://labs.riseup.net/code/issues/5373

https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325

http://www.oversecurity.net/2015/01/21/decifrare-truecrypt-senza-la-password-dumpando-la-ram/

https://mastermind.atavist.com/he-always-had-a-dark-side

https://veracrypt.codeplex.com/license
http://librecrypt.eu/

Orbene, senza fare i cospirazionisti, ma qui qualcosa non va... E che qualcosa non quadra è il link riportato sul primo post che lo rivela: infatti non so se i file su Github ci sono tutti, ma sicuramente (verificate per credere!) il link a Dropbox
Citazione
TrueCrypt 7.1.a;
- altro mirror.
non funziona più!
Qual è la cosa strana? Beh... Chi ha fornito il link dice di non essersi accorto che dal suo cloud... la cartella è sparita!

Cancellazione involontaria dell'utente? No, assolutamente.
Inaccessibilità temporanea? No, neppure.
Link sbagliato? No, niente affatto, è lo stesso link (l'ultimo) riportato in questo post, ultimo paragrafo.

E adesso?
Adesso il Forum italiano che più di tutti ha approfondito la questione si riorganizza e ben presto metterà daccapo online la versione TrueCrypt 7.1.a , magari pure con qualcosa in più... E non su Dropbox, Google Drive, OneDrive ma sullo spazio cloud di Kdrive di Infomaniak, che è pure svizzero.

Voglio proprio vedere se scomparirà daccapo! ;)


¡oɔıouɐɹɐd oddoɹʇ ıǝs '46ıʞıɯ ¿"oıƃƃɐʇoqɐs"
« Ultima modifica: 03 Febbraio 2023 12:28:50 da miki64 »

Offline deckard

  • Post: 3677
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #140 il: 02 Febbraio 2023 22:52:38 »
[OMISSIS...]
https://labs.riseup.net/code/issues/5373
[OMISSIS...]
L'issue è stato cancellato o hanno modificato il link. La distribuzione Tails per l'anonimato abbia pianificato di trovare un sostituto a Truecrypt in tempo per il rilascio della versione 2.0 e pare che avessero iniziato a lavorarci sopra l'anno prima a Ottobre, se non prima addirittura (in tempi meno sospetti). Quindi pochi mesi dopo l'inizio del Datagate e qualche mese prima che Truecrypt venisse dichiarato "non insicuro" in prima istanza e "completamente insicuro" con il rilascio della nuova versione.

Offline miki64

  • Moderatore
  • Post: 35538
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #141 il: 03 Febbraio 2023 13:12:14 »
Grazie, Deckard.

Per quanto mi riguarda, adesso nei nostri due post i link che non funzionavano sono stati ripristinati (da Dropbox a KDrive. come detto).

Offline Iceberg

  • Moderatore
  • Post: 9041
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #142 il: 03 Febbraio 2023 13:50:40 »
Alcuni link potrebbero essere scomparsi per anzianità?
Nessun download per alcnui anni e rimozione per inutilizzo.

Questo programma non è più aggiornato da 11 anni, dal 7 febbraio 2012.
Chi vuoi che lo utilizzi più? Quanti lo avranno cercato in questi 11 anni?
Mai utilizzare programmi non aggiornati, come ho sempre sostenuto!


Offline miki64

  • Moderatore
  • Post: 35538
Re:TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #143 il: 03 Febbraio 2023 13:59:23 »
Come ho più volte scritto, io lo utilizzo ancora nella versione portatile con Windows.

Del resto, utilizzo ancora un piccolo, stupido, introvabile file portatile che fa qualcosa che l'Esplora risorse di Windows non ha mai fatto decentemente (e non farà mai decentemente): la rinomina dei file in massa...  :fischio:

0 Utenti e 1 Visitatore stanno visualizzando questo topic.