Cerca nel blog

2014/05/30

Misteriosa chiusura di Truecrypt: “è insicuro”, dice il suo sito

Credit: Naked Security
L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sul sito di TrueCrypt, popolare software libero usato da oltre un decennio per cifrare potentemente il contenuto dei dischi per tenerlo al riparo da occhi indiscreti e consigliato da esperti del calibro di Edward Snowden, è comparso un annuncio talmente sorprendente che molti hanno sospettato la burla o l'intrusione: “ATTENZIONE: Usare TrueCrypt non è sicuro, perché può contenere problemi di sicurezza non risolti”.

L'annuncio prosegue dicendo che lo sviluppo del software è terminato e che gli utenti dovrebbero migrare verso altri prodotti. L'unica giustificazione fornita per questa decisione repentina è che i principali sistemi operativi supportati da TrueCrypt ora offrono un proprio sistema di cifratura dei dischi.

Ad aumentare il mistero contribuiscono lo stile molto dilettantesco dell'annuncio (tipico dei comunicati fatti da intrusi) e il fatto che viene offerta una nuova versione di TrueCrypt, la 7.2, che a quanto pare è in grado soltanto di decifrare i dischi cifrati (se se ne ha la chiave) ma non di crearne di nuovi. Sembrebbe una versione mirata per aiutare gli utenti a migrare, appunto, verso altri prodotti, ma a questo punto la fiducia in TrueCrypt è ormai vicina allo zero.

C'è chi ipotizza che questo software sia stato abbandonato dagli sviluppatori su pressioni governative o commerciali e che per motivi legali non si possa dichiararlo apertamente (come è successo al provider Lavabit dopo le rivelazioni di Snowden). Probabilmente è una coincidenza, ma l'annuncio usa un inglese un po' stentato (“Using TrueCrypt is not secure as it may contain unfixed security issues”) in cui alcune lettere iniziali formano la sigla NSA, per cui si potrebbe leggere come “Using TrueCrypt is NSA”, ossia “Usare TrueCrypt è NSA”. Enigmatico e inquietante, ma scegliendo opportunamente le iniziali si può tirar fuori di tutto e tecnicamente la cosa non ha molto senso.

Un'altra possibilità è che l'esame pubblico approfondito del codice di TrueCrypt, tuttora in corso, abbia trovato delle falle molto gravi che hanno spinto a rinunciare al suo sviluppo, ma la prima fase di quest'esame non ha rivelato nulla. Il lavoro di verifica procede comunque, nonostante la fuga precipitosa degli sviluppatori, grazie al fatto che TrueCrypt è software aperto (open source) e quindi se i suoi creatori originali lo abbandonano chiunque ha il diritto di prenderne in mano lo sviluppo ulteriore.

Circola anche l'ipotesi che il sito che ospita TrueCrypt, ossia SourceForge, sia stato violato e che l'annuncio sia stato scritto dagli aggressori, ma SourceForge dice di non aver avuto segnalazioni di violazioni.

Più semplicemente, come suggerisce l'analisi di Ars Technica, può darsi che gli sviluppatori originali (che lavoravano da anni sotto strettissimo anonimato) si siano semplicemente stufati di dedicare tanto sforzo a un progetto gratuito. Questa sembra la spiegazione più attendibile al momento, anche perché gli sviluppatori hanno pubblicato alcuni commenti in questo senso e la cronologia sembra supportare questo scenario.


In un modo o nell'altro, come scrive Naked Security, il danno è fatto: se l'annuncio è autentico, il progetto TrueCrypt è terminato, per una ragione o per l'altra; se è falso, l'affidabilità del progetto nel suo stato attuale è stata compromessa irrimediabilmente e molti si staranno chiedendo se il software al quale si sono affidati per anni per proteggere i propri dati cruciali è in realtà da tempo vulnerabile. Finché non sarà completata la verifica del suo codice e non sarà rilasciata una versione che ne corregge le lacune, TrueCrypt diventa così un'altra vittima illustre del clima di paranoia creato dall'NSA e dalle sue attività d'intrusione nei software e nell'hardware degli utenti comuni.

Nessun commento: