Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[bibbolo]

Figurati non voglio mica distoglierti dai tuoi impegni, del resto anche io per impegni vari utilizzo il forum, dove spesso si trova in modo più rapido la soluzione rispetto allo studio di chissà quali documentazioni e per di più in inglese (non che non lo conosca, ma sempre meglio leggere in italiano..).

Io posto quando ho dei dubbi (o se posso dare una mano a chi ne pone su un argomento che conosco), poi chi sa risponda

[deckard]

Cryptomator come possibile erede di TrueCrypt
Gioxx  —  14/05/2018 — In Tech & Coding
Potrebbe valere la pena di fare una prova, ma come sempre il consiglio è quello di essere pronti, preparati, attivi, reattivi e proattivi perché non si sa mai ciò che potrebbe capitare.

[deckard]

VeraCrypt: quanto è sicuro e quali sono i suoi punti deboli - IlSoftware.it
giovedì 3 giugno 2021 (Articolo) di Michele Nasi

[miki64]

Io, caro Deckard, a tutt'oggi continuo ad utilizzare (anche se raramente rispetto a prima) True Crypt senza problemi.   

[miki64]

Ci sono delle novità, ma forse è meglio fare un riepilogo per coloro che leggeranno per la prima volta questo topic (e questo post nello specifico).

Riassunto delle puntate precedenti
Improvvisamente, a maggio 2015, esplode una notizia-bomba. Il noto programma open source di de/crittaggio file e hard disks, TrueCrypt, cessa la sua attività con un comunicato "misterioso" sul proprio sito.



Nel comunicato, gli autori - che sono stati sempre anonimi  ma dalle firme digitali sembra che siano proprio loro - affermano  che il loro prodotto non è più sicuro, ne consigliano una versione aggiornata (7.2) per decrittare i volumi precedentemente crittografati con la versione 7.1a e addirittura consigliano l'utilizzo di software similare (ma proprietario e closed souce, stavolta, prodotto dalla filogovernativa Microsoft) per il futuro.

Ad avere orchestrato tutto questo sembra che ci sia la NSA statunitense (l'organismo del Dipartimento della difesa degli Stati Uniti d'America che, insieme alla CIA e all'FBI, si occupa della sicurezza nazionale).

Il comunicato ufficiale degli autori è contraddittorio, tra le righe  - oltre al consigliare il software di Microsoft - si possono scovare riferimenti proprio alla NSA, inoltre contestualmente si diffonde la notizia che la versione 7.1a non è sicura poiché sono stati scovati due gravi "bug" (errori di programmazione che compromettono la sicurezza) da James Forshaw, membro del Project Zero di Google che ha identificato le vulnerabilità dopo il processo di auditing del software (e ricordiamo che Google è un'altra azienda statunitense filogovernativa). Tuttavia, altre autorevole fonti concludono invece tale auditing con un giudizio di fatto positivo (qui il link anche all'audit del Fraunhofer Institute for Secure Information Technology) con qualche segnale di attenzione qua e là: occorrerebbero determinate condizioni (difficilmente riproducibili nella realtà) per mettere realmente KO il software esaminato!

Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell’accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359).

Però dovete essere collegati come amministratori, avere la partizione montata ed aver lasciato la macchina non bloccata o infettata da qualche malware che ne consenta il controllo remoto

Inoltre, come riporta l'articolo di Andrea M (link) c'è qualcos'altro che non convince.

La terza cosa strana è l’uscita improvvisa della versione 7.2; ovvero se gli autori di Truecrypt sanno che c’è un bug perché non risolverlo? Perché rilasciare una versione 7.2 se poi ha un bug? E sopratutto perché rimuovere tutte le vecchie versioni dal sito?

Si scatenano quindi blogger, vlogger, giornalisti, opinionisti,  (più all'estero che in Italia, ovviamente) e dopo il clamore iniziale tutto - come è nell'ordine delle cose - il clamore inizia ad affievolirsi.





Trama della puntata odierna
Tuttavia un sito italiano di software open source non molla la presa: dietro le quinte, in questi sei anni  - anche se senza accanimento - "qualcuno" è stato sempre alla ricerca di novità su questa notizia e occorre dire che non è stato semplice scovare notizie... sembra tutto ormai dimenticato, come se la questione fosse accaduta dozzine e dozzine di anni prima, su un altro pianeta.
Nel frattempo, però, sempre quel "qualcuno" notava un particolare curioso: alcuni articoli del Web che parlavano della questione TrueCrypt o della questione Lavasoft... dopo un po' scomparivano!
Ora, sparire dal Web è anche questo nell'ordine delle cose, un sito chiude per mille motivi... meno ordinario è però che sparisca una sola, determinata pagina di quel sito e non l'intero sito.

Quel "qualcuno" nota che scompare anche la pagina del link riportato nella citazione qui sotto...

Partiamo da un fatto accaduto nel 2008: l’FBI  [...] arrestò un brasiliano chiamato Daniel Dantas e gli sequestrarono un hard disk criptato con Truecrypt e NON RIUSCIRONO A DECRIPTARLO (potete leggere la notizia qui). Da qui il mio primo dubbio: è vero che da allora (Daniel Dantas usava la versione 5.1) il software è stato aggiornato diverse volte ma possibile che con le nuove versioni siano state create delle falle? Se la versione 5.1 è stata in grado di resistere agli attacchi di gente non proprio alle prime armi come l’FBI perché all’improvviso la versione 7.1a POTREBBE avere bug e notare che non è una nuova versione ma la versione 7.1a è uscita circa 2 anni fa e da allora non sono stati trovati rilevanti bug di sicurezza. Quindi mi puzza molto la storia del POTREBBE contenere bug.

Se scorrete all'indietro questo topic, scoprirete che diversi link contenuti NON funzionano più (oppure non funzionano i link collegati al link principale). E non è un problema di https...
Qualche esempio al volo:

http://truecrypt.ch/

https://fullcirclemagazine.org/issue-86/

http://fullcirclemagazine.org/issue-87/

https://labs.riseup.net/code/issues/5373

https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325

http://www.oversecurity.net/2015/01/21/decifrare-truecrypt-senza-la-password-dumpando-la-ram/

https://mastermind.atavist.com/he-always-had-a-dark-side

https://veracrypt.codeplex.com/license
http://librecrypt.eu/

Orbene, senza fare i cospirazionisti, ma qui qualcosa non va... E che qualcosa non quadra è il link riportato sul primo post che lo rivela: infatti non so se i file su Github ci sono tutti, ma sicuramente (verificate per credere!) il link a Dropbox

-  TrueCrypt 7.1.a;
- altro mirror.

non funziona più!
Qual è la cosa strana? Beh... Chi ha fornito il link dice di non essersi accorto che dal suo cloud... la cartella è sparita!

Cancellazione involontaria dell'utente? No, assolutamente.
Inaccessibilità temporanea? No, neppure.
Link sbagliato? No, niente affatto, è lo stesso link (l'ultimo) riportato in questo post, ultimo paragrafo.

E adesso?
Adesso il Forum italiano che più di tutti ha approfondito la questione si riorganizza e ben presto metterà daccapo online la versione TrueCrypt 7.1.a , magari pure con qualcosa in più... E non su Dropbox, Google Drive, OneDrive ma sullo spazio cloud di Kdrive di Infomaniak, che è pure svizzero.

Voglio proprio vedere se scomparirà daccapo!


¡oɔıouɐɹɐd oddoɹʇ ıǝs '46ıʞıɯ ¿"oıƃƃɐʇoqɐs"

[deckard]

[OMISSIS...]

https://labs.riseup.net/code/issues/5373

[OMISSIS...]

L'issue è stato cancellato o hanno modificato il link. La distribuzione Tails per l'anonimato abbia pianificato di trovare un sostituto a Truecrypt in tempo per il rilascio della versione 2.0 e pare che avessero iniziato a lavorarci sopra l'anno prima a Ottobre, se non prima addirittura (in tempi meno sospetti). Quindi pochi mesi dopo l'inizio del Datagate e qualche mese prima che Truecrypt venisse dichiarato "non insicuro" in prima istanza e "completamente insicuro" con il rilascio della nuova versione.

[miki64]

Grazie, Deckard.

Per quanto mi riguarda, adesso nei nostri due post i link che non funzionavano sono stati ripristinati (da Dropbox a KDrive. come detto).

[Iceberg]

Alcuni link potrebbero essere scomparsi per anzianità?
Nessun download per alcnui anni e rimozione per inutilizzo.

Questo programma non è più aggiornato da 11 anni, dal 7 febbraio 2012.
Chi vuoi che lo utilizzi più? Quanti lo avranno cercato in questi 11 anni?
Mai utilizzare programmi non aggiornati, come ho sempre sostenuto!

[miki64]

Come ho più volte scritto, io lo utilizzo ancora nella versione portatile con Windows.

Del resto, utilizzo ancora un piccolo, stupido, introvabile file portatile che fa qualcosa che l'Esplora risorse di Windows non ha mai fatto decentemente (e non farà mai decentemente): la rinomina dei file in massa...