Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[deckard]

Someone is Spying on Researchers Behind VeraCrypt Security Audit
Tuesday, August 16, 2016 Mohit Kumar
Fonte The Hacker News

[miki64]

Per me lo fanno per essere sicuri che non si crei un clone dell'impenetrabile TrueCrypt ... 

[deckard]

Veracrypt 1.18a https://veracrypt.codeplex.com/

Domanda:

"...ma cosa te ne farai poi della crittografazione tu che usi il computer per svago e a casa... cosa avrai mai da nascondere?!"

Risposta:

"...se con il dito ti mostro la luna, tu guardi il dito o la luna?"

Non bisogna essere spie o terroristi o essere Edward Snowden per aver bisogno della crittografia: basta, per farla semplice e senza entrare troppo nel personale pur rimanendo nel legale, avere l'home banking e utilizzare i propri terminali per connettersi. Sono talmente tante le informazioni che rimangono sui nostri dischi che è sufficiente il primo "topo" di appartamento e il non sapere chi acquisterà la sua merce rubata per mettere a rischio i nostri conti correnti. Con queste considerazioni c'è qualcuno che pensa che perdere qualche secondo per digitare una password sia deprecabile o ancora peggio "stupido"? C'è ancora qualcuno che continua a guardare il dito?

Considerazione tratta da VeraCrypt e la fine de "Il tempo delle mele"... e fatta da retalv.

Poi la domanda è che cosa bisogna nascondere e a quali sguardi: guardie, ladri, curiosoni, pasticcioni peggio di Anna Never (di dylandoghiana memoria) che pensano di fare cosa utile, pubblicitari che fanno analisi comportamentale sulla mia navigazione e su altre cose per propormi chissà quale prodotto, o le compagnie assicurative che vogliono sapere se ho fatto ricerce su neoplasie, melanomi, e malattie correlate, et cetera...
Non bisogna essere spie o terroristi o essere Edward Snowden per aver bisogno che i propri dati vengano gestiti correttamente.

[miki64]

Veracrypt 1.18a https://veracrypt.codeplex.com/

Domanda:

"...ma cosa te ne farai poi della crittografazione tu che usi il computer per svago e a casa... cosa avrai mai da nascondere?!"

Risposta: Che cosa hai da nascondere tu che ti celi sotto un nickname e non un nome e un cognome?

Ecco la risposta che darei io agli imbecilli che fanno questa domanda, amico mio!   

[deckard]

[...]
Risposta: Che cosa hai da nascondere tu che ti celi sotto un nickname e non un nome e un cognome?
[...]

Questa in realtà è una domanda intelligente, a cui si può rispondere intelligentemente (*) e le domande non sono mai indiscrete. Lo sono, talvolta, le risposte. O parafrasando il concetto "Non esistono domande stupide, solo le risposte (**) possono esserlo!"
(*) Le informazioni su una persona iniziano dal poter associare nome e cognome a una persona. E se una persona adopera un nomignolo o un nome d'arte può semplicemente voler essere prudente in un "mondo telematico" in cui non sa chi siano tutti i suoi interlocutori. Ci si può poi aggiungere che tutte le informazioni su una persona hanno un valore che non è solo economico, se non si paga per un prodotto a volte si è il prodotto con tutto il bagaglio di informazioni che ci si porta appresso.
(**) Le solite mode dei nomignoli che sembrano "Cool"... salvo poi rendere disponibili tramite reti sociali una marea di informazioni ancora più importanti...
Partendo da ciò che Paolo Attivissimo pubblica sul blog del Disinformatico si può dire che non ci sono solo le due o tre o 98 cose che Facebook sa dell'utente, ci sono anche le informazioni che l'utente inserisce e che permettono a chi vi ha accesso di leggere e di ottenere anche lui diverse di codeste informazioni.
Se poi ci aggiungiamo il fatto che WhatsApp passerà dati a Facebook arriviamo alla conclusione che

Vale, come sempre, la solita regola: chi usa un’app fornita gratuitamente da un’azienda che invece l’ha pagata miliardi di dollari deve aspettarsi prima o poi di essere trattato non come cliente, ma come prodotto.

Merovingio: La scelta è solo un'illusione creata e posta tra chi ha potere... e chi non ne ha.

[deckard]

Se non ritenete "opportuno" passare a Veracrypt potete cifrare il disco (o parte di esso, ndr) tramite Luks. Cosa utile per chi adopera Linux, specialmente Tails.

[miki64]

Scaricate TrueCrypt dai siti che vi abbiamo segnalato io e Gioxx!   

Avete scaricato WinRAR dal sito italiano? Potrebbe essere un trojan

Ed ecco un'alternativa open source, sicura, free, in italiano, efficiente e versatile a Winrar, visto che ne stiamo parlando: http://www.7-zip.org/download.html   

[deckard]

Occhio a StrongPity, il malware che si insidia in WinRAR e TrueCrypt

Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi.

di Nino Grasso pubblicata il 12 Ottobre 2016, alle 15:01 nel canale Sicurezza

[bibbolo]

Se non ritenete "opportuno" passare a Veracrypt potete cifrare il disco (o parte di esso, ndr) tramite Luks. Cosa utile per chi adopera Linux, specialmente Tails.

Quindi ormai possiamo dire con certezza che Veracrypt è il legittimo ed ufficiale erede di Truecrypt? Da quando è successa la strana misteriosa (e credo ancora irrisolta) interruzione di Truecrypt non so più di quale software fidarmi, riponevo quasi cieca fiducia in TC..

[deckard]

Io non ho certezze da offrirti se non una, ma ritengo che sia abbastanza affidabile.
Comunque sia suggerisco di adoperare sempre l'ultima versione e di scaricarla solo da fonti affidabili.
Rimane sempre valido il consiglio di adoperare le solite prudenze nell'uso di un computer e di un supporto con dei dati cifrati al suo interno.

VeraCrypt 1.19 fixes security vulnerabilities
By Martin Brinkmann on October 18, 2016 in Security

[bibbolo]

Uno dei problemi principali del passaggio da TC a VC credo sia proprio questo:

Another downside is that the storage format is not compatible with TrueCrypt's storage format which means that you will still have to find a way to convert TrueCrypt partitions to VeraCrypt format.

[deckard]

L'annotazione di cui parli è in questo articolo di Giugno 2014.
Nel frattempo le cose potrebbero essersi evolute.

[miki64]

Da quando è successa la strana misteriosa (e credo ancora irrisolta) interruzione di Truecrypt non so più di quale software fidarmi, riponevo quasi cieca fiducia in TC..

Come già detto più volte: continua a riporre cieca fiducia in quel software e scaricalo dai link sicuri che ti abbiamo fornito all'inizio di questo topic. 
Tutto il resto, per il momento, o è infarcito di backdoor o è ancora acerbo, non abbandonate una nave che non fa acqua.   

[bibbolo]

Figurati, io ce l'ho installato da anni sui miei pc e ho i file setup scaricati a loro volta dai siti allora attendibili.. no mi pareva di aver capito, sia da quanto afferma deckard e sia da quanto si legge in questi siti linkati, che in realtà essendo stato abbandonato lo sviluppo è più probabile che le vulnerabilità le abbia TC piuttosto che il nuovo VC...

[deckard]

La vulnerabilità più grande risiede nel ritenere un programma "invulnerabile" e scevro da difetti, bug, falle, al punto da poter creare nell'utente una certa "invincibilità" tale da fargli abbandonare anche le necessarie cautele.
Truecypt 7.1a è stato oggetto di profonda analisi ed era ragionevolmente sicuro.
Ma la sicurezza arriva da un comportamento prudente anche senza arrivare all'eccesso del "Quiet, Paranoid, Skilled Hacker" (<=Click, tipologia simile agli hacker etici sotto diversi aspetti).
Stanno lavorando su Veracrypt, ma questo è un progetto che non è ancora maturo.
Stanno lavorando su Veracrypt, ma questo non significa che abbiano corretto tutte le vulnerabilità e che non ci siano difetti di progettazione tali da renderlo "defective by design".
Il problema di Truecrypt, ora come ora, non risiede nelle vulnerabilità che ha o che potrebbe avere (cosa comunque meritevole di considerazione), ma nel fatto che nel frattempo si è arrivati a Windows 10 Anniversary Edition, ci sono stati almeno quattro rilasci "maggiori" di Kernel Linux, e via discorrendo.

Rimangono sempre valide le considerazioni fatte nel già citato articolo di Marco Calamari, "Cassandra Crossing/ Dopo Truecrypt", articolo in cui si diceva che l'unica vera alternativa a TC era TC 7.1a.
Ma come spiegato nell'articolo (già citato), sempre di Marco Calamari, "Cassandra Crossing/ Un tranquillo weekend di TrueCrypt", si arriva alla conclusione che l'erede di TC 7.1a dovrebbe essere il Linux Unified Key Setup, abbreviato LUKS.
https://en.wikipedia.org/wiki/Linux_Unified_Key_Setup
https://it.wikipedia.org/wiki/Linux_Unified_Key_Setup

Soluzione, rimanete affamati, rimanete prudenti, e soprattutto tenetevi Truecrypt 7.1a (come più volte fatto notare da Miki64, voce di uno che parla nel deserto, o forse doveva essere "voce di uno che parla, nel deserto preparate la strada del S...").
[Spostare una virgola due parole prima o dopo può cambiare il senso a un discorso...]